Beschreibung
Die Nutzung von Cloud-Diensten und die Auslagerung von Daten in eine Cloud sind in der Unternehmenswelt längst selbstverständlich geworden. Häufig ist "die Cloud" die passende Antwort auf schnelllebige IT-Technologie, zunehmende Spezialisierung und hohen Kostendruck.
Mit dem Einsatz von Cloud-Angeboten müssen Security-Fragen jedoch ggf. auf andere Weise betrachtet und gelöst werden, als Unternehmen es bislang gewohnt sind.
In diesem Workshop der GI-Fachgruppe SECMGT soll betrachtet werden, welche Anforderungen an Sicherheit im Cloud-Umfeld bestehen, wie Unternehmen unterschiedlicher Größe mit ihren Sicherheitsanforderungen in der Cloud umgehen und ob es alternative Konzepte für ein Cloud-Security-Management gibt.
Hinweis auf Continuing Professional Education (CPE)
Der Besuch der GI SECMGT-Workshops berechtigt zu CPE-Punkten.
Details siehe separate Info-Seite zum CPE-Programm.
Programm
10:15 | Kirsten Messer-Schmidt, Sprecherin der Fachgruppe Begrüßung & Vorstellung der Fachgruppe SECMGT
Vorstellung der Sponsoren DB Systel GmbH (Gastgeber) und BSI Group Deutschland GmbH (Getränke) |
10:40 | Dr. Patrick Grete, Referent, Projektleiter für die Erstellung des C5, Bundesamt für Sicherheit in der Informationstechnik Sicherer Einsatz von Cloud-Diensten: Wie geht die Bundesverwaltung bei diesem Thema vor? Cloud-Dienste sicher für die eigenen Geschäftsprozesse einzusetzen, ist eine große Herausforderung für die Informationssicherheit einer Institution. Da Sicherheit immer eine eigenverantwortliche Aufgabe ist, kann es keine abschließende Liste von Maßnahmen geben, die für alle Dienste und alle Schutzbedarfe passt. In diesem Vortrag geht es darum, wie die Bundesverwaltung dieser Herausforderung begegnet ist. Dafür hat das BSI einen Prozess in einem Mindeststandard nach BSIG §8 festgeschrieben und mit den C5 Mindestanforderungen an die Sicherheit von Cloud-Diensten definiert. Diese Vorgehensweise ist auch außerhalb der Bundesverwaltung illustrativ und wird hier vorgestellt. |
11:25 | Kommunikationspause – Zeit zum Wissensaustausch |
11:40 | Prof. Dr. Eberhard von Faber, Chief Security Advisor, IT Division, T-Systems: Joint Security Management: Ein organisationsübergreifendes Konzept für Anwender und Anbieter Kein Unternehmen kann heute noch komplexe IT-Services marktgerecht aus eigener Kraft bereitstellen. Anwenderunternehmen bedienen sich spezialisierter IT-Dienstleister und letztere greifen auf Komponenten und Dienste aus einem weit gefächerten Zuliefernetzwerk zurück. Dies ist Folge einer zunehmenden Industrialisierung der IT-Produktion, die durch eine starke Arbeitsteilung gekennzeichnet ist. Damit dabei die Sicherheit nicht auf der Strecke bleibt, wird ein unternehmensübergreifendes Sicherheitsmanagement benötigt. Das Konzept „Joint Security Management“ beschreibt, wie Anwenderunternehmen und Lieferanten organisationsübergreifend kompetent zusammenarbeiten, um sicherzustellen, dass die mit der Nutzung von IT verbundenen Geschäftsrisiken beherrschbar bleiben. Das „Joint Security Management“ beschränkt sich nicht auf das „Was“, es beschreibt das „Wie“ und bietet eine konkrete, direkt umsetzbare Gebrauchsanweisung. | |
12:25 | Mittagspause – Zeit zum Wissensaustausch | |
14:10 | Uwe Rühl, Leitender Berater/Geschäftsführung, Rucon Gruppe:Sektor-spezifischen ISMS für Cloud-Lösungen Der Vortrag beschäftigt sich mit folgenden Fragen: - Wie ist mit Cloud-Services aus Sicht der Informationssicherheit umzugehen? Welche Maßnahmen sind relevant?
- Wieviel Sicherheit ist für Cloud-Services möglich?
- Welches Vertrauen können Cloud-Service-Zertifizierungen erzeugen? Der Schwerpunkt wird dabei auf den beiden ISO/IEC Standards ISO 27017 und 27018 liegen.
- Kann die Erweiterung eines ISMS nach ISO/IEC 27001 mit ISO/IEC 27018 ausreichend sein, um die Anforderungen der EU-DSGVO zu erfüllen?
- Ausblick auf die Zertifizierungstätigkeit in diesem Umfeld
| |
14:55 | Kommunikationspause – Zeit zum Wissensaustausch | |
15:10 | Robert Freudenreich, Geschäftsführer/CTO, Secomba GmbH (boxcryptor): Sicherheit von Cloud-Anwendungen durch Identitätsmanagement und Ende-zu-Ende Verschlüsselung (Anwender- und Anbietersicht) Ein zentral gesteuertes Identity & Access Management ist elementarer Baustein für die Sicherheit von Cloud-Anwendungen im Unternehmenseinsatz. Dieses sorgt für einen reibungslosen Ablauf des Identity Lifecycles von der Erstellung (Provisioning) bis zur Löschung (Deprovisioning) eines Benutzerkontos. Zusätzliche kann Sicherheit kann durch den Einsatz von Ende-zu-Ende Verschlüsselung erreicht werden, wodurch der Cloud-Anbieter selbst keinen Zugriff auf die Daten seiner Kunden hat. Beide Themen werden im Vortrag sowohl aus Anwender- als auch aus Anbietersicht beleuchtet.
Keywords: Identity & Access Management - Identity Lifecycle - Single Sign-On (SAML) - End-to-End Encryption | |
15:55 | Kommunikationspause – Zeit zum Wissensaustausch | |
16:10 | Moderierte Diskussion/Erfahrungsaustausch
Erfahrungen der Teilnehmer mit dem Einsatz von Cloud-Diensten in ihren Unternehmen und dem Umgang mit Security-Anforderungen | |
16:45 | Ende der Veranstaltung |