Cloud Computing
Veranstaltungsort
DB Systel GmbHFrankfurt am Main, Deutschland
Beschreibung
Details zu den Vorträgen
Alex Didier Essoh (BSI): IT-Grundschutz und Cloud Computing
In den letzten Jahren hat das Thema Cloud Computing in Medien, Politik,
Wissenschaft und Wirtschaft immens an Bedeutung gewonnen. Die Attraktivität
des Cloud Computing für Kunden besteht insbesondere
- in der enormen Flexibilität bei der Buchung, Nutzung und Stilllegung von
Rechenzentrums-Kapazitäten je nach aktuellem und ggf. auch nur kurzzeitigem
Bedarf, - im hohen Einsparpotential im Bereich der ansonsten lokal vorzuhaltenden, zu
wartenden und in kurzen Zyklen zu erneuernden IT-Systeme - und in der ubiquitären Verfügbarkeit von hochkomplexen Geschäftsanwendungen,
unabhängig von geographischen Standorten des Unternehmens oder der
Organisation.
Die noch zögerliche Akzeptanz von Cloud Computing trotz des wirtschaftlichen
und technischen Potenzials beruht vor allem auf Bedenken zur
Cloud-Sicherheit. Daher werden derzeit im BSI erste Überlegungen zur
Erstellung von Sicherheitsempfehlungen an die potentiellen Kunden zur
sicheren Auswahl und Nutzung von Cloud-Diensten sowie zu
Sicherheitsempfehlungen an die Anbieter zur sicheren Bereitstellung von
Cloud-Diensten erarbeitet. Mittelfristig sollen diese Überlegungen in Form
eines IT-Grundschutz-Bausteins in die IT-Grundschutz-Kataloge einfließen.
Im Rahmen des Vortrages werden einige aus Sicht des IT-Grundschutzes als
kritisch identifizierte Bereiche von Cloud Computing aufgezeigt und
Best-Practices zur Absicherung der adressierten Bereiche vorgestellt.
Prof. Dr. Eberhard von Faber (T-Systems GEI): IT als Fremdleistung - Risikomanagement und Strategien für Anwender
Anwender lagern IT-Leistungen zunehmend an externe Dienstleister aus.
Geschäftsrisiken sind jedoch untrennbar mit der Tätigkeit des Unternehmens
verbunden und lassen sich im Gegensatz zur IT nicht einfach "outsourcen".
Das unternehmerische Risikomanagement muss die ausgelagerten Teile mit
einbeziehen und bewerten. Der Beitrag adressiert inhärente Probleme und
zeigt Strategien, Methoden und Maßnahmen für das Risikomanagement auf. Dabei werden die Aufgabenteilung zwischen Anwender und Dienstleister betrachtet,
Kriterien für die Anbieterauswahl diskutiert und ein Vorgehensmodell für
Anwenderunternehmen skizziert. Anwender haben die Auswahl zwischen
verschiedenen Dienstleistungsmodellen von Managed Services über Hosting bis
Cloud-Computing. Der Beitrag stellt ein Klassifizierungsschema für die
Modelle vor, das sieben Dienstleistungsmodelle exemplarisch enthält und
einordnet. Anhand dieses Schemas können "Risikoparameter" identifiziert
werden. Inwiefern Sie zum Sicherheitsproblem werden, erfordert neben der
Betrachtung grundlegender Sicherheitsaspekte die Untersuchung modell- und
implementierungsspezifischer Faktoren. Hier stößt der Anwender jedoch an
grundsätzliche Grenzen, weil effektive Arbeitsteilung automatisch
Intransparenz mit sich bringt. Abschließend wird dafür ein Lösungsweg
skizziert.
Wolfgang Kandek (Qualys): Sicherheitsaspekte im Betreib eines "Software as a Service" Systems - Beispiel QualysGuard
Software as a Service (Saas) Systeme haben in den letzten 10 Jahren zu
einem Umbruch in der Datenverarbeitung in vielen Organisationen
beigetragen. Heutzutage gibt es sogar schon einige Unternehmen die
generell Anwendungen, die unter SaaS erbracht werden bevorzugen, da sie
deren Flexibilität und Kostenstruktur schätzen. Anwendungen wie
"Customer Relationship Management" (CRM) mit Salesforce.com, E-Mail
Sicherheitlösungen von Postini, Messagelabs und eleven, E-mail von
Google's GMail und neuerdings auch Text- und Tabellenverarbeitung können
jetzt kostengünstig und leistungsfähig über das Internet erbracht
werden - immer auf dem neusten Stand und ohne Wartungsarbeiten für den
Endbenutzer.
QualysGuard ist eine mittlerweile 10 Jahre alte SaaS Lösung, welche im
Sicherheitsbereich angesiedelt ist, und dem Endbenutzer eine
Anwendung zur Schwachstellenanalyse von Windows, Linux, Unix und anderen
Betriebsssystemen und deren Applikationen bereitstellt. Wir werden uns die
Architektur von QualysGuard ansehen, mit besonderem Fokus auf die
Sicherheitsaspekte, die während des Designs, der Entwicklung und dem
Produktionsbetrieb von QualysGuard in Betracht gezogen werden.
Rain Dr. Christiane Bierekoven (Rödl & Partner): Cloud-Computing - Die Herausforderung für die Daten- und Rechtssicherheit
- Gelten die bisherigen Lizenzmodelle noch?
- Vertragliche Einordnung der Cloudleistungen
- Datenschutz in neuer Dimension - Checkliste Datenschutz bei Beauftragung
eines Cloud - Datensicherheit - Wer haftet für Datenverlust
- Elektronische Archivierung in der Wolke? - Heute beginnt die Zukunft von morgen
Werner Streitberger (Fraunhofer SIT): Cloud-Computing-Sicherheit - Taxonomie der Sicherheitsaspekte und Herausforderungen für die IT-Sicherheit
Die Sicherheit von Cloud-Computing-Systemen ist einer der wichtigsten
Gründe, warum Cloud-Dienste nicht von Unternehmen eingesetzt werden. Aus
diesem Grund hat das Fraunhofer-Institut für sichere Informationstechnologie
im Rahmen seiner Studie zum Thema Cloud-Computing-Sicherheit eine Taxonomie wichtiger Sicherheitsaspekte entwickelt, die die Bereiche Infrastruktur, Anwendung und Plattform, Verwaltung und Compliance umfasst.
Der Vortrag wird zuerst allgemein die Sicherheitsherausforderungen von
Cloud-Computing-Systemen vorstellen und anschließend auf die Taxonomie der
Cloud-Computing-Sicherheit präsentieren. Ausgewählte Bereiche der Taxonomie
wie beispielsweise Identitäts- und Zugriffverwaltung werden detailliert
betrachtet und anhand von konkreten Beispielen diskutiert. Den Vortrag
abschließen werden die wichtigsten 10 Do's and Dont's der
Cloud-Computing-Sicherheit, die aus Konsumentensicht beachtet werden
sollten.
Moderation
Jürgen Falkner (Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO,
Leiter Competence Team Softwaretechnik)