Scribd Logo
Upload

Welcome to Scribd!

  • CloudSafe Presentation at Vodafone (CeBIT 2011)

    Uploaded by

    CloudSafe
    204 views13 pages
    [German] Presentation at the Vodafone CeBIT 2011 Speakers Corner, held by Roberto Valerio, MD of CloudSafe

    Original Title

    CloudSafe Presentation @ Vodafone (CeBIT 2011)

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    [German] Presentation at the Vodafone CeBIT 2011 Speakers Corner, held by Roberto Valerio, MD of CloudSafe

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    204 views13 pages

    CloudSafe Presentation at Vodafone (CeBIT 2011)

    Uploaded by

    CloudSafe
    [German] Presentation at the Vodafone CeBIT 2011 Speakers Corner, held by Roberto Valerio, MD of CloudSafe

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 13

    CLOUD STORAGE:

    SICHERHEIT UND DATENSCHUTZ

    Roberto Valerio, CloudSafe GmbH

    2. März 2011
    Vodafone CeBIT 2011 Speakers Corner
    Roberto Valerio CloudSafe GmbH

    Gründer CloudSafe.com Verschlüsselte Cloud Storage


    Verschlüsselte Kommunikation
    Programmierung : 20 Jahre
    IT-Projekte: 10 Jahre Gründung November 2009
    Startup-Erfahrung: 5 Jahre Online Plattform: cloudsafe.com
    Übersicht

    CLOUD STORAGE
    ๏ Public Cloud Services
    ๏ Auftragsdatenverarbeiter nach §§ 9, 11 BDSG
    ๏ Keine Funktionsübertragung: Anbieter bearbeitet die Daten nicht

    ๏ I. Datenschutz
    ๏ Vorgaben
    ๏ Umsetzung
    ๏ II. Sicherheit
    ๏ Kriterien
    ๏ Umsetzung
    I. DATENSCHUTZ
    ๏ Abgrenzung der Daten nach dem BDSG:
    ๏ Personenbezogene Daten: Kunden- und Mitarbeiterdaten
    ๏ Besondere personenbezogen Daten: Ethnische Herkunft,
    Gesundheit, Politische Ansichten & Religion und weitere (§ 3
    Abs. 9 BDSG)
    ๏ Daten mit Sonderregelungen: Finanzdienstleistungen,
    Telekommunikation, steuerrechtlich relevante und
    berufsstandbezogene Daten

    ๏ Einfacher Personenbezug kann jederzeit durch


    Anonymisierung aufgehoben werden.
    ๏ Nutzer von Cloud Storage bleibt verantwortlich für den
    Umgang mit den Daten!
    Datenschutz

    PFLICHTEN
    ๏ Pflichten für die Auslagerung von personenbezogenen
    Daten:
    ๏ "Sorgfältige" Auswahl:
    ๏ Nutzer muß selber überprüfen, ob der Anbieter in der
    Lage ist, den Datenschutz nach BDSG zu gewährleisten.

    ๏ Regelmäßige Überprüfung
    ๏ Hier ist es hilfreich, wenn der Anbieter lokal anerkannte
    Zertifikate vorweisen kann, z.B. EuroCloud SaaS Gütesiegel.

    ๏ Gleiches gilt für implizite Verträge.

    ๏ Bußgelder bis 50.000 Euro möglich.


    Datenschutz

    VERTRAGSGESTALTUNG
    ๏ Schriftform

    ๏ Gegenstand der Datenverarbeitung

    ๏ "Welche Daten"?

    ๏ Sub-Unternehmerschaft

    ๏ "Erfüllen eventuelle Subunternehmer des Anbieters die


    gleichen Kriterien wie der Anbieter?"

    ๏ Haftungsfrage: Ohne vertragliche Regelung bleibt die


    Haftung für alle personenbezogenen Daten beim
    Nutzer.
    Datenschutz

    EXKURS: AUSLAND
    ๏ Überlassung von personenbezogenen Daten ohne explizite
    Erlaubnis der betroffenen Person ist möglich, aber nur
    innerhalb der EU/EWR.
    ๏ Überlassung der Daten an Anbieter außerhalb der EU/EWR
    nur nach ergänzender Vertraglichen Regelung.
    ๏ Z.B. US-EU Safe Harbor: Erhöhte Anforderungen an die
    Überprüfung!
    ๏ Alternative: Die Daten werden innerhalb des gültigen
    Raumes verschlüsselt
    ๏ lokal mit PGP oder intermediär durch CloudSafe oder
    ähnliche Anbieter (Stichwort "Host-Proof Hosting")
    Datenschutz

    ZUSAMMENFASSUNG
    ๏ Sorgfalt bei der Auswahl des Anbieters.

    ๏ Regelmäßige Überprüfung - oder Zertifikate.

    ๏ Im Vertrag unbedingt Haftungsfragen klären.

    ๏ Ansonsten Haftung gegenüber den eigenen


    Kunden einschränken.

    ๏ Notfalls bei Mitarbeiterdaten auf bestimmte


    Cloud Services verzichten.

    ๏ Alternativ: Rechtskonform verschlüsseln.


    II. SICHERHEIT
    ๏ Erster Schritt ist die Information:

    ๏ BSI - Bundesamt für Sicherheit in der


    Informationstechnik
    ๏ "Mindestanforderungen an Cloud Computing"

    ๏ EuroCloud e.V.

    ๏ "Leitfaden Recht, Datenschutz & Compliance"

    ๏ BITKOM e.V.

    ๏ "Leitfaden Cloud Computing – Was Entscheider


    wissen müssen" (Kapitel 4)
    Sicherheit

    TECHNISCHE KRITERIEN
    ๏ Kriterien zur Evaluierung von Public Cloud Storage Anbietern:
    ๏ Transport der Daten: "Wie ist der Transport meiner Daten geschützt."
    ๏ Stellen Sie sicher, daß der Anbieter die Daten bis zum Ablageort durchgängig verschlüsselt.

    ๏ Ablage der Daten: "Wo und wie werden meine Daten abgelegt."
    ๏ Redundanz
    ๏ Betriebssicherheit

    ๏ Identitäts- und Zugriffsverwaltung "Wer kann auf meine Daten zugreifen."


    ๏ Transparenz und Nachverfolgbarkeit der Administration beim Anbieter
    ๏ Alternativ: Verschlüsselung gegenüber dem Anbieter (Host Proof Hosting)
    Sicherheit

    ORGANISATORISCHE KRITERIEN
    ๏ Sicherheitsmanagement
    ๏ ITIL, ISO 27002
    ๏ Sicherheitsarchitektur
    ๏ Redundanz, Zugangskontrolle, Netzsicherheit, Server-
    und Storage-Sicherheit
    ๏ Verschlüsselte Kommunikation
    ๏ Rechtemanagement, Mitarbeiterkontrolle
    ๏ Monitoring, Incident Management, Notfallmanagement
    Sicherheit

    ZUSAMMENFASSUNG
    ๏ Überprüfen Sie den Anbieter, bevor Sie
    personengebundene Daten übermitteln.
    ๏ Halten Sie sich bei der Überprüfung des
    Sicherheitskonzepts an Standards
    ๏ BITKOM, BSI, eco

    ๏ Bewerten Sie den Anbieter genau so, wie Sie


    eine interne Infrastruktur bewerten würden.
    VIELEN DANK
    für Ihre Aufmerksamkeit

    You might also like