Einsatz von Cloud-Diensten: Anforderungen an und Umgang mit Security

Die Nutzung von Cloud-Diensten und die Auslagerung von Daten in eine Cloud sind in der Unternehmenswelt längst selbstverständlich geworden. Häufig ist "die Cloud" die passende Antwort auf schnelllebige IT-Technologie, zunehmende Spezialisierung und hohen Kostendruck.
Mit dem Einsatz von Cloud-Angeboten müssen Security-Fragen jedoch ggf. auf andere Weise betrachtet und gelöst werden, als Unternehmen es bislang gewohnt sind.
In diesem Workshop der GI-Fachgruppe SECMGT soll betrachtet werden, welche Anforderungen an Sicherheit im Cloud-Umfeld bestehen, wie Unternehmen unterschiedlicher Größe mit ihren Sicherheitsanforderungen in der Cloud umgehen und ob es alternative  Konzepte für ein Cloud-Security-Management gibt.

Zeit und Ort
am Freitag, 13.04.2018, von 10:15 - ca. 17:00 Uhr

in Frankfurt am Main bei DB Systel GmbH
60329 Frankfurt am Main, Jürgen-Ponto-Platz 1
(7 Gehminuten vom Hauptbahnhof Frankfurt am Main - Wegbeschreibung)

Hinweis auf Continuing Professional Education (CPE)

Der Besuch der GI SECMGT-Workshops berechtigt zu CPE-Punkten.
Details siehe separate Info-Seite zum CPE-Programm.

10:15

Kirsten Messer-Schmidt, Sprecherin der
Fachgruppe

Begrüßung & Vorstellung der Fachgruppe SECMGT

Vorstellung der Sponsoren DB Systel GmbH (Gastgeber) und BSI Group Deutschland GmbH (Getränke)

10:40

 

Dr. Patrick Grete, Referent, Projektleiter für die Erstellung des C5, Bundesamt für Sicherheit in der Informationstechnik

Sicherer Einsatz von Cloud-Diensten: Wie geht die Bundesverwaltung bei diesem Thema vor?

Cloud-Dienste sicher für die eigenen Geschäftsprozesse einzusetzen, ist eine große Herausforderung für die Informationssicherheit einer Institution. Da Sicherheit immer eine eigenverantwortliche Aufgabe ist, kann es keine abschließende Liste von Maßnahmen geben, die für alle Dienste und alle Schutzbedarfe passt. In diesem Vortrag geht es darum, wie die Bundesverwaltung dieser Herausforderung begegnet ist. Dafür hat das BSI einen Prozess in einem Mindeststandard nach BSIG §8 festgeschrieben und mit den C5 Mindestanforderungen an die Sicherheit von Cloud-Diensten definiert. Diese Vorgehensweise ist auch außerhalb der Bundesverwaltung illustrativ und wird hier vorgestellt.

11:25

Kommunikationspause – Zeit zum Wissensaustausch

11:40

Prof. Dr. Eberhard von Faber, Chief Security Advisor, IT Division, T-Systems: Joint Security Management: Ein organisationsübergreifendes Konzept für Anwender und Anbieter

Kein Unternehmen kann heute noch komplexe IT-Services marktgerecht aus eigener Kraft bereitstellen. Anwenderunternehmen bedienen sich spezialisierter IT-Dienstleister und letztere greifen auf Komponenten und Dienste aus einem weit gefächerten Zuliefernetzwerk zurück. Dies ist Folge einer zunehmenden Industrialisierung der IT-Produktion, die durch eine starke Arbeitsteilung gekennzeichnet ist. Damit dabei die Sicherheit nicht auf der Strecke bleibt, wird ein unternehmensübergreifendes Sicherheitsmanagement benötigt. Das Konzept „Joint Security Management“ beschreibt, wie Anwenderunternehmen und Lieferanten organisationsübergreifend kompetent zusammenarbeiten, um sicherzustellen, dass die mit der Nutzung von IT verbundenen Geschäftsrisiken beherrschbar bleiben. Das „Joint Security Management“ beschränkt sich nicht auf das „Was“, es beschreibt das „Wie“ und bietet eine konkrete, direkt umsetzbare Gebrauchsanweisung.

12:25

Mittagspause – Zeit zum Wissensaustausch

14:10

Uwe Rühl, Leitender Berater/Geschäftsführung, Rucon Gruppe:Sektor-spezifischen ISMS für Cloud-Lösungen

Der Vortrag beschäftigt sich mit folgenden Fragen:

  • Wie ist mit Cloud-Services aus Sicht der Informationssicherheit umzugehen? Welche Maßnahmen sind relevant?
  • Wieviel Sicherheit ist für Cloud-Services möglich?
  • Welches Vertrauen können Cloud-Service-Zertifizierungen erzeugen? Der Schwerpunkt wird dabei auf den beiden ISO/IEC Standards ISO 27017 und 27018 liegen.
  • Kann die Erweiterung eines ISMS nach ISO/IEC 27001 mit ISO/IEC 27018 ausreichend sein, um die Anforderungen der EU-DSGVO zu erfüllen?
  • Ausblick auf die Zertifizierungstätigkeit in diesem Umfeld

14:55

Kommunikationspause – Zeit zum Wissensaustausch

15:10

Robert Freudenreich, Geschäftsführer/CTO, Secomba GmbH (boxcryptor):

Sicherheit von Cloud-Anwendungen durch Identitätsmanagement und Ende-zu-Ende Verschlüsselung (Anwender- und Anbietersicht)

Ein zentral gesteuertes Identity & Access Management ist elementarer Baustein für die Sicherheit von Cloud-Anwendungen im Unternehmenseinsatz. Dieses sorgt für einen reibungslosen Ablauf des Identity Lifecycles von der Erstellung (Provisioning) bis zur Löschung (Deprovisioning) eines Benutzerkontos. Zusätzliche kann Sicherheit kann durch den Einsatz von Ende-zu-Ende Verschlüsselung erreicht werden, wodurch der Cloud-Anbieter selbst keinen Zugriff auf die Daten seiner Kunden hat. Beide Themen werden im Vortrag sowohl aus Anwender- als auch aus Anbietersicht beleuchtet.

Keywords: Identity & Access Management - Identity Lifecycle - Single Sign-On (SAML) - End-to-End Encryption

15:55

Kommunikationspause – Zeit zum Wissensaustausch

16:10

Moderierte Diskussion/Erfahrungsaustausch

Erfahrungen der Teilnehmer mit dem Einsatz von Cloud-Diensten in ihren Unternehmen und dem Umgang mit Security-Anforderungen

16:45

Ende der Veranstaltung


http://fg-secmgt.gi.de/workshops/2018-04-13-einsatz-von-cloud-diensten-anforderungen-an-und-umgang-mit-security.html