20.11.2009 - Cloud Computing

Ort und Zeit

am Freitag, 20. November 2009

von 10:15-17:00 Uhr

in Frankfurt-Niederrad bei DB Systel GmbH
60528 Frankfurt am Main, Hahnstr. 40
Tel.: +49 (0)69-265-50500 Fax: 069-265-20950
http://www.bahn.de  

auf Einladung von Herrn Dr. Damm von DB Systel GmbH

Details zu den Vorträgen

Alex Didier Essoh (BSI): IT-Grundschutz und Cloud Computing

In den letzten Jahren hat das Thema Cloud Computing in Medien, Politik,
Wissenschaft und Wirtschaft immens an Bedeutung gewonnen. Die Attraktivität
des Cloud Computing für Kunden besteht insbesondere

  1. in der enormen Flexibilität bei der Buchung, Nutzung und Stilllegung von
    Rechenzen­trums-Kapazitäten je nach aktuellem und ggf. auch nur kurzzeitigem
    Bedarf,
  2. im hohen Einsparpotential im Bereich der ansonsten lokal vorzuhaltenden, zu
    wartenden und in kurzen Zyklen zu erneuernden IT-Systeme
  3. und in der ubiquitären Verfügbarkeit von hochkomplexen Geschäftsanwendungen,
    unab­hängig von geographischen Standorten des Unternehmens oder der
    Organisation.

Die noch zögerliche Akzeptanz von Cloud Computing trotz des wirtschaftlichen
und  technischen Potenzials beruht vor allem auf Bedenken zur
Cloud-Sicherheit. Daher werden derzeit im BSI erste Überlegungen zur
Erstellung von Sicherheitsempfehlungen an die potentiellen Kunden zur
sicheren Auswahl und Nutzung von Cloud-Diensten sowie zu
Sicherheitsempfehlungen an die Anbieter zur sicheren Bereitstellung von
Cloud-Diensten erarbeitet. Mittelfristig sollen diese Überlegungen in Form
eines IT-Grundschutz-Bausteins in die IT-Grundschutz-Kataloge einfließen. 

Im Rahmen des Vortrages werden einige aus Sicht des IT-Grundschutzes als
kritisch identifizierte Bereiche von Cloud Computing aufgezeigt und
Best-Practices zur Absicherung der adressierten Bereiche vorgestellt.

[Download als PDF]  

Prof. Dr. Eberhard von Faber (T-Systems GEI): IT als Fremdleistung - Risikomanagement und Strategien für Anwender

Anwender lagern IT-Leistungen zunehmend an externe Dienstleister aus.
Geschäftsrisiken sind jedoch untrennbar mit der Tätigkeit des Unternehmens
verbunden und lassen sich im Gegensatz zur IT nicht einfach "outsourcen".
Das unternehmerische Risikomanagement muss die ausgelagerten Teile mit
einbeziehen und bewerten. Der Beitrag adressiert inhärente Probleme und
zeigt Strategien, Methoden und Maßnahmen für das Risikomanagement auf. Dabei werden die Aufgabenteilung zwischen Anwender und Dienstleister betrachtet,
Kriterien für die Anbieterauswahl diskutiert und ein Vorgehensmodell für
Anwenderunternehmen skizziert. Anwender haben die Auswahl zwischen
verschiedenen Dienstleistungsmodellen von Managed Services über Hosting bis
Cloud-Computing. Der Beitrag stellt ein Klassifizierungsschema für die
Modelle vor, das sieben Dienstleistungsmodelle exemplarisch enthält und
einordnet. Anhand dieses Schemas können "Risikoparameter" identifiziert
werden. Inwiefern Sie zum Sicherheitsproblem werden, erfordert neben der
Betrachtung grundlegender Sicherheitsaspekte die Untersuchung modell- und
implementierungsspezifischer Faktoren. Hier stößt der Anwender jedoch an
grundsätzliche Grenzen, weil effektive Arbeitsteilung automatisch
Intransparenz mit sich bringt. Abschließend wird dafür ein Lösungsweg
skizziert.

[Download als PDF]   

Wolfgang Kandek (Qualys): Sicherheitsaspekte im Betreib eines "Software as a Service" Systems - Beispiel QualysGuard

Software as a Service (Saas) Systeme haben in den letzten 10 Jahren zu
einem Umbruch in der Datenverarbeitung in vielen Organisationen
beigetragen. Heutzutage gibt es sogar schon einige Unternehmen die
generell Anwendungen, die unter SaaS erbracht werden bevorzugen, da sie
deren Flexibilität und Kostenstruktur schätzen. Anwendungen wie
"Customer Relationship Management" (CRM) mit Salesforce.com, E-Mail
Sicherheitlösungen von Postini, Messagelabs und eleven, E-mail von
Google's GMail und neuerdings auch Text- und Tabellenverarbeitung können
jetzt kostengünstig und leistungsfähig über das Internet erbracht
werden - immer auf dem neusten Stand und ohne Wartungsarbeiten für den
Endbenutzer.

QualysGuard ist eine mittlerweile 10 Jahre alte SaaS Lösung, welche im
Sicherheitsbereich angesiedelt ist, und dem Endbenutzer eine
Anwendung zur Schwachstellenanalyse von Windows, Linux, Unix und anderen
Betriebsssystemen und deren Applikationen bereitstellt. Wir werden uns die
Architektur von QualysGuard ansehen, mit besonderem Fokus auf die
Sicherheitsaspekte, die während des Designs, der Entwicklung und dem
Produktionsbetrieb von QualysGuard in Betracht gezogen werden.

[Download als PDF]  

RAin Dr. Christiane Bierekoven (Rödl & Partner): Cloud-Computing - Die Herausforderung für die Daten- und Rechtssicherheit

  • Gelten die bisherigen Lizenzmodelle noch?
  • Vertragliche Einordnung der Cloudleistungen
  • Datenschutz in neuer Dimension - Checkliste Datenschutz bei Beauftragung
    eines Cloud
  • Datensicherheit - Wer haftet für Datenverlust
  • Elektronische Archivierung in der Wolke? - Heute beginnt die Zukunft von morgen

[Download als PDF]  

Werner Streitberger (Fraunhofer SIT): Cloud-Computing-Sicherheit - Taxonomie der Sicherheitsaspekte und Herausforderungen für die IT-Sicherheit

Die Sicherheit von Cloud-Computing-Systemen ist einer der wichtigsten
Gründe, warum Cloud-Dienste nicht von Unternehmen eingesetzt werden. Aus
diesem Grund hat das Fraunhofer-Institut für sichere Informationstechnologie
im Rahmen seiner Studie zum Thema Cloud-Computing-Sicherheit eine Taxonomie wichtiger Sicherheitsaspekte entwickelt, die die Bereiche Infrastruktur, Anwendung und Plattform, Verwaltung und Compliance umfasst.

Der Vortrag wird zuerst allgemein die Sicherheitsherausforderungen von
Cloud-Computing-Systemen vorstellen und anschließend auf die Taxonomie der
Cloud-Computing-Sicherheit präsentieren. Ausgewählte Bereiche der Taxonomie
wie beispielsweise Identitäts- und Zugriffverwaltung werden detailliert
betrachtet und anhand von konkreten Beispielen diskutiert. Den Vortrag
abschließen werden die wichtigsten 10 Do's and Dont's der
Cloud-Computing-Sicherheit, die aus Konsumentensicht beachtet werden
sollten.

[Download als PDF]  

Moderation

Jürgen Falkner (Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO,
Leiter Competence Team Softwaretechnik)

[Download als PPT]