Best Practice Compliance bei Informationssicherheit und
Datenschutz
Dr. Waldemar Grudzien DuD 2021
Berlin, 16. Juni 2021
Kontaktbeschränkung Lockdown für alle
Eliminierung des Virus
2 Wochen Quarantäne für Infizierte und Kontaktpersonen
Grundlegendes Ziel durch
Zur Diskussion vom Montag „Tötet Datenschutz?“, ein Vergleich zwischen Deutschland und Taiwan (aus BLZ vom 07.06.2021) 1
1 Quelle: Berliner Zeitung am 7. Juni 2021, RA Henning von Zanthler: Von Taiwan lernen
Aspekt
> 89.000 46
COVID-19 Tote bis Ende Mai 2021
83 Mio. 24 Mio.
Bevölkerung
3,5 Mio 6.100
Infizierte (registriert)
-4,9% +3,1%
Wirtschaftsleistung 2020
~730 Mrd. $ 2 Mrd. $
Pandemiebekämpfung
Kontaktnachverfolgung freiwillig Kontaktnachverfolgung mandatorisch Quarantäneüberwachung 2 Wochen Datenschutz
Zeitlich begrenzt, örtlich begrenzt Keine Ausgangssperren
Für alle über viele Monate Keine
Lockdown
Wie
▪Zettel, CWA, luca, Telefon
▪
Maskenpflicht ab 29.04.20
▪
RKI und StIKo nur beratend
▪
Quarantäne nach Zufall
▪
Apps, Polizeibesuch (falls Handy aus)
▪
Maskenpflicht von Anfang an
▪
Starke durchsetzende Institutionen
▪
Quarantänehotels für alle Heimkehrer Hotellerie, Gastronomie, Fitness, Handel
(nicht lebensnotwendig), …
Berufsverbote Keine
CORE – internationaler Technologie Think Tank & Partner technologiegetriebener Institutionen
Quelle: CORE SE
CORE ist vertrauensvoller Partner für das Management geschäftskritischer Technologie-Transformationen
In 2020 steuerte CORE in mehr als 60 Projekten IT Budgets in signifikanter Höhe in fünf Industrien
CORE – Experten in IT-Analyse, IT-Beratung, IT-Solution Design und der IT-Implementierungssteuerung
Fakten
CORE ist eine unabhängige Partnerschaft, geführt von sechs gewählten Partnern und ausschließlich eigenfinanziert.
CORE ist vertrauensvoller Part- ner für Klienten und Institutionen:
▪ Mitglied des DIN und zertifiziert nach ISO 27001
▪ Mitglied des BIAN (Seman- tische Banking API Definition)
▪ Regelmäßiger Austausch mit deutschen und europäischen Institutionen
Mit Büros in Europa …
… und der Golf-Region
Generalisten und Experten arbeiten mit den Methoden der Strategieberater und den Tools des Software Engineerings. CORE erarbeitet IT-Strategien und steuert Softwareentwicklung für Industrien, in denen Informationstechnologien geschäftskritische Bedeutung einnimmt.
Jahr der Gründung 2010
Experten
~120
Umsatz ’20
~40 mEUR Projektstandorte
Business
Technology
~60 Projects
Banking
Public sector Insurance
Others Media
CORE – Experten in der Gestaltung von Technologieeinsatz für zukunftsfähige Geschäftsmodelle
Dr. Waldemar Grudzien
▪ Implementierung DSMS und ISMS im Bankenumfeld
▪ Einführung ISMS in der pharmazeutischen Industrie
▪ Gap-Fit-Analysen zu DSMS div. Unternehmensgrößen
▪ Beseitigung 44er Findings im Datenschutz in Finanzsektor
▪ Leiter Datenschutzteam luca
▪ ISO-Standardisierung Kryptographie und Biometrie
▪ IT-SiG und NIS-RL mit entwickelt
▪ UP KRITIS 7 Jahre geleitet
▪ DSB/ ISB für Kunden zw. 26 und 3.000 MA
▪ ISMS bis zur ISO-Zertifizierung / DSMS
▪ Vorstand des Bitkom AK Informationssicherheit Tätigkeit im DS und IS
Schwerpunkte als Berater im DS und IS
Es gibt keine zweite Chance für den ersten Eindruck – Unternehmens- webseiten liefern diesen auch bzgl. Datenschutz und IT-Sicherheit
1 https://securityheaders.com/| 2 Art. 6 Abs. 1 lit. f DSGVO
Ausweisung und Verwendung von Cookies
Verarbeitung auf Grundlage des berechtigten Interesses2
6
1
3
1
5
E
A B C D F
0
E
13
1 2
11
2 3
Teilweise konform
Konform Nicht konform
Cookie Consent Management Ausgewiesene Cookies
15
1 Konform
Nicht konform
13
2 1
Teilweise konform Nicht konform Konform
Ergebnisse der Evaluierung von 16 teilnehmenden Organisationen
Handhabung Privacy Shield (seit 16.07.2020 ungültig)
Security Header Grades1
Digitalisierung eröffnet vielfältige Chancen für Unternehmen, aber Informationstechnologie ist auch für die „andere Seite“ verfügbar
Quelle: CORE
Cloud Computing
Künstliche Intelligenz
Big Data
Automatisierung Mobilität
CEO Fraud
Bußgelder
Erpressungen
Cybercrime
Data Leaks
Branchenübergreifende Trends verlagern … … Angriffe und Schäden in den digitalen RaumInformationssicherheit und Datenschutz gewinnen an Relevanz und sollten der Geschäfts- und IT-Strategie ebenbürtig gestaltet werden
Quellen: 1 Bitkom Research | 2 CMS | 3 COREresearch | 4 Gartner | 5 Informationssicherheits- & Datenschutzstrategie
Prognose weltweiter Public Cloud Umsätze (USA) in Mrd. USD4 Von Cyberangriffen betroffene Unternehmen in Deutschland1
DSGVO Bußgelder in Europa (kumulativ)2 Anzahl von Gesetzen und Verordnungen (kumulativ)3
1 3 4 5 7
7
11
14
17
23
2017 2018 2019 2020 2021
Datenschutz
Informationssicherheit
28% 26%
13%
51% 53%
75%
2017
2015 2019
+10.1%
Vermutlich betroffen Betroffen
€ 100 Mio.
€ 200 Mio.
€ 300 Mio.
Dec- 19
Aug- 20 Apr-
19 Dec-
18
Aug- 19 Jul-
18
Apr- 20
Feb- 21 44102 1055043 1216457 8172
141
2021
2019 2020
38
2022
184 199
243
294 +16,9%
IaaS
SaaS PaaS
...
Vision
Statistiken verstärken die Dringlichkeit der Vereinigung der Strategien
Eine Gefährdung der Daten – und Informationssicherheit hat weitreichende indirekte und direkte Kosten zur Folge
Quellen: 1 Bitkom (2019), Angriffsziel deutsche Wirtschaft: mehr als 100 Milliarden Euro Schaden pro Jahr; Prozentzahlen wurden aus Ursachen der Cyberangriffskosten der letzten zwei Jahre abgeleitet | 2 Geldinstitute (2020), Millionenschäden: Die Kosten eines Datenlecks
Folgen und Kostenfaktoren bei einer Gefährdung der Daten- und Informationssicherheit
Durchschnittlich anfallende Kosten von Cyberattacken (nach Ursachen)2 Von Cyberangriffen betroffene Unternehmen1
Nicht betroffen Betroffen
25%
75%
13%
20%
9%
49%
51%
Rechtskosten und DS-Maßnahmen Sonstige Kosten (z.B. Erpressung)
Schadenshöhe insgesamt Umsatzeinbußen
21%
18%
Kosten der Aufdeckung
14%
Patentenrechts- verletzungen Kosten der Behebung
Ø EUR 4,3 Mio.2
Reputations- schäden
5%
Indirekte Kosten oder Umsatzeinbuße
Direkte Kosten Globale Schadenshöhe
je erfolgreichem Cyberangriff in 2019
Am Beispiel der Cyberattacke „Emotet“ verdeutlicht sich beispielhaft die Bedrohung für die Unternehmens-IT und das Schadenspotential
Quelle: Heise Emotet Webinare
Ablauf Emotet bei Heise Auswahl von Folgen der Cyberattacke
Emotet C2
Emotet Infected System(s)
Trickbot C2 Pushes TrickBot Payload
TrickBot Infection Process
Actors monitor for high profile infected organizations
Actor deploys Ryuk on selected target
Victim Network is Ransomed
▪ Mindestens 5 verschiedene Emotet/ Trickbot-Samples
▪ Über 100 infizierte Windows-Computer
▪ Active Directory (zentrale Windows-Nutzerverwaltung) komplett korrumpiert
Sofortiger IT-Lockdown wurde aufwendiger Fehlersuche vorgezogen, da zielführender und kostengünstiger
Umsatzeinbußen
Kosten durch IT-Lockdown für 2 Tage werden auf mind. EUR 50.000 taxiert 2
Investitionen in Sicherheit
▪ Neue Lizenzen (Windows 10)
▪ Neue Monitoring Tools
▪ Komplette Security-Bestandsaufnahme 3
Kosten für externe Expertise
Notwendige Unterstützung durch externe Experten ca. EUR 50.000
1
Reputation
Heise als IT- und Technologieverlag mit ca.
1.000 MA erfuhr Häme und offene Abneigung
4
Analyse von Emotet zeigt bekannte Schwachstellen in der IT auf, diese zu beseitigen wird nächste Attacken nicht vollständig verhindern
Quelle: Heise Emotet Webinare 1 Datenschutz-Folgenabschätzung | 2 Datenschutzmanagementsystem | 3 Informationssicherheitsmanagementsystem
Wir empfehlen den strukturierten Aufbau bzw. die Weiterentwicklung von Managementsystemen zur Informationssicherheit und Datenschutz („Zwei Seiten der selben Medaille)
Awareness in der richtigen Reihenfolge
1. IT: Problembewusstsein schaffen und Problem angehen 2. Management: bessere Maßnahmen kosten Geld
3. Mitarbeiter: alle abholen und mitnehmen Auszug präventiver Ansätze
Schutzbedarfsanalyse (SBA)
▪ Bestimmung Assets, Schutzziele, Bedrohungen, Maßnahmen
▪ SBA ist wesentlicher Teil einer DSFA
1und damit Kern eines DSMS
2▪ SBA ist ein Kernartefakt eines ISMS
3ISMS (Informationssicherheitsmanagementsystem)
▪ Durch Aufbau eines ISMS werden alle Sicherheitsthemen adressiert
▪ Kein Asset und keine Maßnahme wird „vergessen“
▪ Durch Zertifizierung des ISMS wird Nachweis über Sicherheit erbracht B
C A Einschätzung von Heise
Es wird weiterhin Infektionen und Kompromittierungen geben, bei denen die bestehenden
Schutzmaßnahmen
versagen werden. Es gibt keine „Silver bullet for the win“, in der Summe reduzieren aber die Maßnahmen das Risiko/
den Schaden auf ein erträgliches Maß.
Angriffsvektor und –durchführung sind wohl bekannt, Maßnahmenbündel muss auf Organisation abgestimmt sein
▪
ISO 27701 ergänzt ISO 27001 in 39 Punkten um personenbezogene Daten und “rettet” die DSGVO in den Standard durch 2 Anhänge (für Verantwortliche und Auftragsverarbeiter)
Dekonstruktion des ISO 27701-Standards führt zur Erkenntnis manche Dinge vereint zu betrachten, aber separat zu managen
Transformation ISO 27001 zu ISO 27701 Umsetzung über
Die Frage ist auch, was eine Datenschutzaufsicht sehen möchte: einen Bericht zur ISO 27701 Konformität oder das Verarbeitungsverzeichnis, das Löschkonzept, die DSE und die Vertragsarchitektur
„Rettung“ der DSGVO
ISO 27701 Änderungen
Security Controls
Anhang 1 HLS
Anhang 2 7
32
4
4 ISO 27001
HLS
Security Controls
+ =
▪
IT-, Informations- und Datensicherheit am besten mit ISMS gemäß ISO 27001 implementieren
▪
Datenschutz mit DSMS gemäß DSGVO implemen- tieren (ISO 27701 nicht empfohlen da Doppelarbeit)
20 IS-Artefakte 9 DS-ArtefakteVerarbeitungsverzeichnis Datenschutz-Leitlinie Datenschutzbeauftragter DS-Schulung
Löschkonzept
Vertraulichkeitserklärung Hinweise für Entwickler Betroffenenrechtekonzept DSFA (bei Bedarf) Risikomanagement
SOA
Mobile Device Policy Informationsklassifizierung
…
Hinweise für Entwickler Dokumentenlenkung Vendor ISMS Zertifikat Interne Audits
Da Informationssicherheit und Datenschutz immer relativ sind, empfiehlt sich ein stufenweiser Aufbau der Managementsysteme
1 ISO27701 nach aktuellem Stand keine „DSGVO-Zertifizierung“ gemäß Art. 42 DSGVO Quelle: CORE
Datenschutz Informationssicherheit
ISMS-Zertifizierung nach ISO 27001 & DSMS Audit
Aufbau DSMS - ISO-Zertifizierung nach
27701 nicht möglich
1▪ Positive Außen - und Kundenwirkung
▪ Nachhaltige interne Verankerung in der Organisation
▪ Nachweis für Informationssicherheit und Datenschutz
▪ Verbindliche IS-Organisation
▪ Compliance zum ISO-Standard
▪ Management-Review
▪ Basis Informationssicherheit und Datenschutz
▪ Mitigation ausgewählter Risiken
▪ Vermeidung von Bußgeldern
Durch die Erfüllung der Top IS 10 sind bereits 28% für eines zertifizierungsfähigen ISMS abgedeckt
▪ Verbindliche IS-Organisation
▪ Compliance zum ISO-Standard
▪ Management-Review durchgeführt Aufbau ISMS -
Zertifizierungsfähigkeit nach ISO 27001
Aufbau DSMS - ISO-Zertifizierung nach
27701 nicht möglich
1Mindestanforderungen angelehnt an ISO 27001
(IS TOP 10)
Herstellung Gesetzes- konformität zur DSGVO
(DS TOP 10)
Stufenweiser Aufbau der Managementsysteme für Informationssicherheit und Datenschutz
Mit Umsetzung von Mindestanforderungen als pragmatischem Start wird grundsätzliche Vermeidung von Vorfällen und Sanktionen erreicht
Quelle: CORE
Risikobehandlung 1
Retention Policy 2
Benannte Informationsschutzbeauftragte (ISB) 3
Informationsklassifizierung 4
Lieferantenmanagement 5
Rollen- und Rechtekonzept 6
Notfallmanagement (inkl. Geschäftsfortführung) 7
Backup & Wiederherstellung 8
Zutritt, Zugang, Zugriff 9
Management von Sicherheitsvorfällen 10
Datenschutz-Folgenabschätzung (DSFA) 1
Löschkonzept 2
Benannte Datenschutzbeauftragte (DSB) 3
Verzeichnis der Verarbeitungstätigkeiten (VV) 4
Auftragsverarbeitungskonzept 5
Datenschutzleitlinie/ -richtlinie 6
Datenschutzerklärung/ en 7
Betroffenenrechtekonzept 8
Kontinuierliche Schulung 9
Technisch-organisatorische Maßnahmen (TOM) 10
Inhaltliche Ergänzung/ Abhängigkeit bei ISMS und DSMS
Aufgeführte Themen sichern Mindestanforderungen der Informationssicherheit und Datenschutz – zwei Seiten einer Medaille! (Bußgelder im Datenschutz sind auch durch Vorfälle aus Informationssicherheit möglich)
Mindestanforderungen ISMS (“Grundsätze ordnungsgemäßer IT-Sicherheit” - GOIS)
Mindestanforderungen DSMS (“Grundsätze
ordnungsgemäßen Datenschutzes” - GODS)
Ein zertifiziertes ISMS nach ISO 27001 erfüllt nicht nur die Ziele der Informationssicherheit, sondern auch Aspekte des Datenschutzes
1 Security Controls sind die Sicherheitsziele aus ISO 27001, zu denen ISO 27002 Umsetzungshinweise gibt Quelle: CORE
Vorhandenes und zertifiziertes
ISMS HLS
Führung Planung Unterstützung Kontext der Organisation 5
6 7 4
ISO 27001 -HLS
Betrieb 8
Bewertung der Leistung 9
Verbesserung 10
Organisation der Informationssicherheit Personalsicherheit
Verwaltung der Werte Informationssicherheitsrichtlinien A.6
A.7 A.8 A.5
ISO 27001 Security Controls
Kryptographie A.10
Betriebssicherheit A.12
Kommunikationssicherheit A.13
Anschaffung, Entwickl. & Instandhalten von Systemen A.14
Lieferantenbeziehungen A.15
Physische und umgebungsbezogene Sicherheit A.11
Handhabung von Informationssicherheitsvorfällen A.16
IS-Aspekte beim Business Continuity Management A.17
Compliance A.18
Zugangssteuerung A.9
1. Zugangskontrolle 2. Datenträgerkontrolle
4. Benutzerkontrolle
7. Eingabekontrolle 8. Transportkontrolle 9. Wiederherstellbarkeit 10. Zuverlässigkeit 3. Speicherkontrolle
5. Zugriffskontrolle 6. Übertragungskontrolle
11. Datenintegrität 12. Auftragskontrolle 13. Verfügbarkeitskontrolle 14. Trennbarkeit
Auszug ISO 27001 Annex A A.9 Access Control
A.9.1 Business requirements of access control
A.9.1.1 Access control policy
A.9.1.2 Access networks and network services
A.9.2 User access management
A.9.2.1 User registration and de-registration A.9.2.2 User access provisioning
A.9.2.3 Management of privileged access rights
A.9.2.4 Review of user access rights A.9.2.5 Removal or adjustment of access rights
A.9.3 User responsibilities
A.9.3.1 Use of secret authentication information
A.9.4 System and application access control A.9.4.1 Information access restriction
….
HLS und Security Controls nach ISO 27001
Beispielhaft abgeleitete Maßnahmen zur Erreichung…
…der TOM gelistet nach §64 BDSG
Technik Alle Maßnahmen der Cybersicherheit und die technischen Maßnahmen aus ISO 27001, z.B.: Netzwerksegmentierung, Verschlüsselung, DDos Protection, Firewall, Loganalyse, Einbezug von Pentesting, Privacy-by-Design und Privacy-by-Default
Recht
Über Compliance (A.18) unmittelbar in ISMS eingebunden, unmittelbare Unterstützung DSB und mittelbare ISB, angemessene personelle und organisatorische Ausstattung notwendig
Datenschutz und Informationssicherheit sind miteinander über TOM verbunden und adressieren verschiedene Unternehmensdimensionen
Quelle: CORE
Nachfolgend vertieft
Personal Maßnahmen vor, während und nach Beendigung der Beschäftigung, z.B.: PolFz, Vertraulichkeitsvereinbarung, regelmäßige Schulungen und On-/ Offboarding, Qualifi- zierung Informationssicherheitsbeauftragter (ISB) und Datenschutzbeauftragter (DSB) Organi- sation
Aufstellung geeigneter Strukturen in Gremien, Personal und Technik zur Erfüllung aller Compliance-Anforderungen, z.B.: DSB, ISB, Compliance-Funktion, Management Attention, Einbindung ISB/ DSB in Entscheidungsprozesse, Vendor-Review, … etc.
1. Zugangskontrolle 2. Datenträgerkontrolle
4. Benutzerkontrolle
7. Eingabekontrolle 8. Transportkontrolle 9. Wiederherstellbarkeit 10. Zuverlässigkeit 3. Speicherkontrolle
5. Zugriffskontrolle 6. Übertragungskontrolle
11. Datenintegrität 12. Auftragskontrolle 13. Verfügbarkeitskontrolle 14. Trennbarkeit
TOM gelistet nach §64 BDSG Umsetzung in verschiedenen Unternehmensdimensionen
Cloud-Technologie ist ein „Megatrend“ der aktuellen IT-Entwicklungen und wird in praktisch jedem Unternehmen mittlerweile eingesetzt
Quellen: 1 COREresearch 2020 I 2 Bitkom Cloud Monitor I 3 extrapolated
Nutzung von Cloud-Angeboten durch deutsche Unternehmen mit kontinuierlichem Wachstum2
40 44
54
65 66
73 76
19
13 14 15 16 17 18 20 21
853 953
+41%
+76%
CAGR +11%
Zyklus der Technologieentwicklung1(schematisch) Leistungsfähigkeit
der Technologie (Kosten/ Nutzen)
Mainframe Open-
Systems
2000 2005
1995
Entwicklungs- phase
Wachstums- phase
Alterungs- phase Reife-
phase
Cloud
2020 2015
in %3 Entwicklung der Leistungsfähigkeit von Informationstechnologie
Actual Forecast
Obwohl die Vorteile einer Cloud vielfältig sind, ist der breite Einsatz auch in sensibleren Bereichen der Unternehmens-IT
noch begrenzt, da Sicherheit und Datenschutz vielen Entscheidern risikobehaftet erscheinen
Quelle: 1 Synergy Research Group 33%
18%
8%
6%
5%
3%
2%
2%
Die großen Cloud-Anbieter AWS, Microsoft, Google Cloud stellen sehr umfangreiche Dienste „on demand“ zur Verfügung
Durch Bezug von Services aus der Azure Cloud erhält der Nutzer Zugang zu insgesamt 423 Tools, die in 22 Themen-
gruppen organi-
siert sind
Weder die
Qualität noch die Vielfalt der
Tools können Anwender selbst aus eigener Kraft nachbilden
Bezug von Services aus
Ökosystem ermöglicht die volle Konzentration
auf die eigenen, den Wettbewerb
differenzie- rende Kern- kompe- tenzen
Verzicht
auf Cloud Services bedeutet Mehrarbeit
für eigenesub-
optimale Bereitstellung dieser Services
Weltweiter Marktanteil von
Anbietern im Q4 20191 Microsoft Azure (als ein Beispiel für einen Hyperscaler)im Überblick
Cloud-Ökosysteme bieten mächtige Standard-Werkzeuge für Informationssicherheit, Datenschutz und Compliance
Quelle: CORE
32 28 25 22 9
Identity management Security monitoring Security basics
Network Management/
Governance 116
Inkludierte Werkzeuge der Cloud-Anbieter (insb. Hyperscaler) tragen wesentlich zur Compliance bei (hier am Beispiel von MS Azure)
Azure Portal
M365 Admin Center M Endpoint Manage- ment Admin Center M365 Compliance Center
M Intune Portal
▪ DLP: Data Loss Prevention
▪ Information Governance
▪ Information Protection
▪ Records Management
▪ Communication Compliance
▪ Insider Risk Management
▪ Audit
▪ Data Investigations
▪ Data Subject requests
▪ eDiscovery
▪ MDM Mobile Device Management
▪ MAM Mobile App Management Other Portals
Security Portals
M Defender Security Center
Security &
Compliance Center
Azure Defender Portal
M Defender for Identity Portal Cloud App Security Portal
M365 Security Center
▪ Defender for Endpoint
▪ Defender for Office 365
▪ Microsoft 365 Defender
▪ Überwachung, Reaktion verdächtiger Aktivitäten
▪ Attack time line
▪ Filtering panel, Search bar, Health center
Werkzeuge gegen Emotet
Physische Sicherheit:
Physische Sicherheit der Azure Rechenzentren
Identität/ Zugang: Azure Active Directory/ Single Sign-On, Multi- Factor Authentification
Perimeter: Distributed-Denial-of- Service Protection, Azure
Firewall, Log Analytics
Netzwerk: Logging & Auditing Network Access Control, Monitoring & Threat Detection Verarbeitung: Härtung Virtueller Maschinen (VM), Endpoint
protection, Housekeeping Applikation: VM (mit Backup, Verschlüsselung etc.), Container Sicherheit
Daten: Hoch verfügbare
Datenbanken, Verschlüsselung in transport & at rest
Azure bietet viele technische Maßnahmen zur Erfüllung der Anforderungen und Sicherheitsziele
Quelle: CORE I 1 High Level Structure
Security Controls
HLS
110
33
14
213 3
14
4 5
6
6
7
13
4
2
7
14 2
15
8 7 5
7 4
2
3
13
21
1
4 2
5 3 2 ISO 27001 Sicherheitsziele über 7 Sicherheitsebenen
4 5
7 8 6
9 10
A.5 A.6 A.8 A.9 A.7
A.11 A.13 A.10 A.12
A.15 A.16 A.14
A.17 A.18
Übersicht ISO 27001 Anforderungen und Anzahl zugehöriger Sicherheitsziele
71 von 136 Sicherheits- zielen können ganz oder teilweise mit technischen Maß- nahmen von Microsoft Azure umgesetzt werden
Erfüllte Sicherheitsziele Nicht erfüllte Sicherheitsziele
Herrschaft über die Daten
Prinzipbedingt hat der Provider Zugriff zu den Daten Mindestmaß an internen Fähigkeiten
Skillset der Mitarbeiter nicht optimal an die Know-how-Bedarfe der Cloud angepasst
Gewährleistung der Datenschutzkonformität
Geschäft mit US-amerikanischen Hyperscalern ist derzeit mit Unsicherheit aus Wegfall des EU-US Privacy Shield belegt
Abhängigkeiten von Providern
Gefahr des Lock-Ins in einer Cloud mit der Konsequenz der Akzeptanz aller Implikationen in Bezug auf Kosten und Funktionalität
Politische Unwägbarkeit
Politisch motivierte Restriktionen der Cloud-Nutzung durch Gesetzgeber und Aufsicht
Risiken, die mit der Nutzung der Cloud verbunden sind, müssen durch entsprechende Maßnahmen mitigiert werden
Quelle: CORE
Risiken der Cloud-Nutzung… … bedürfen gezielter Mitigationen
Gezielte Fortbildung und/ oder bedarfsgerechte Akquise neuer Mitarbeiter
Neben Technisch-Organisatorischen Maßnahmen die vertragliche
Absicherung sicherstellen
Analyse eigener Datenflüsse und
Auftragsverarbeiter sowie Vorbereitung auf neue EU-Standardvertragsklauseln
Entwicklung einer Exit-Strategie,
sowohl in technischer Hinsicht als auch mit Bezug zu rechtlichen und
personellen Aspekten
Strukturierter Aufbau der IS-/ DS-Management- systeme, um Synergiepotentiale zu nutzen
Zusammenfassende Empfehlungen zur Verankerung von Informationssicherheit und Datenschutz in Unternehmen
Quelle: CORE
Compliance Exzellenz bei Cloud-Einsatz durch aktive Nutzung der angebotenen Werkzeuge
Integration Datenschutz- und Informationssicherheit in Gesamtstrategie neben Geschäfts- und IT-Strategie
2 1
3
Leveraging data protection - a change of perspective
Source: CORE SE
in separater Email
Kontakt
CORE SE
Am Sandwerder 21-23 14109 Berlin
Germany
COREtransform Ltd.
One Canada Square London E14 5DY Great Britain
COREtransform GmbH Limmatquai 1
8001 Zürich Helvetia
COREtransform Consulting MEA Ltd.
DIFC - 105, Currency House, Tower 1 P.O. Box 506656 I Dubai
United Arab Emirates
Web: https://core.se
Blog: https://core.se/techmonitor
https://www.linkedin.com/company/core.se/
https://www.facebook.com/CORE.social https://twitter.com/CORE_SE_
https://www.xing.com/company/core-se
ISO 27001 certified Dr. Waldemar Grudzien Expert Director
+49 162 2899 765
waldemar.grudzien@core.se
Relative Kostenverteilung IT-Betrieb (Projekterfahrung in %)
Cloudnutzung bietet vielfältige Potentiale für Unternehmen welche deutlich über reine direkte Kostenvorteile im IT-Betrieb hinausgehen
Quelle: CORE
Potentiale für Unternehmen durch Cloud Lösung
Skalierbarkeit: Expertise und Ressourcen wie
Speicherplatz und Rechenkapazität sind nahe- zu beliebig horizontal und vertikal skalierbar
Innovationspotenzial: Niedrigschwellige
Integration fortschrittlicher Technologien in das eigene Produktportfolio
Servicequalität: Qualität der IT-Services ist
Differenzierungs-merkmal und nicht mehrwert- loser Kostentreiber für Cloud-Anbieter
Softwareentwicklung: Verkürzter Sprint-0
durch sofortige Bereitstellung von Entwicklungs- werkzeugen und Ressourcen – as a Service
100
60
26
Lizenzen Help-Desk Total
7
7 Hardware
Operating
59
42
0
13 4
-30-50%
-50%
-100%
-50%
-17%
On-Premise IT-Eigenbetrieb Cloud IT-Betrieb Qualitative und quantitative Vorteile der Nutzung von Cloud-Angeboten
Obwohl die Vorteile einer Cloud vielfältig sind, ist der breite Einsatz auch in sensibleren Bereichen der Unternehmens-IT
noch begrenzt, da Sicherheit und Datenschutz vielen Entscheidern risikobehaftet erscheinen
Schutz vor Angriffen sind in einer Cloud vielfältig bereits vorhanden, was im Eigenbetrieb nur sehr kostenintensiv erreichbar wäre
Quelle: CORE
Wir können davon ausgehen, dass Cloud-Anbieter grundsätzlich ein hohes strukturelles IT-Sicherheitsniveau erzeugen, welches in einem IT-Eigenbetrieb nur mit hohem Aufwand und bei Vorhandensein der notwendigen – leider begrenzt verfügbaren – Kompetenzen erreichbar ist
Blockieren von Word-Dateien mit Makros.
Data Loss Prevention
1Antivirus kontinuierlich aktualisiert, Einbezug aktueller Angriffsmuster z.B. durch Indicators of Compromise (IoC), Monitoring der
Infrastruktur.
Defender for Endpoint
5Active Directory Tier Modell, Backups in Vault Manager (Zugriff strikt nach RBAC mit PIM gesteuert), Netzwerksicherheit.
Azure Portal
3Erzwingung von Schutzmaßnahmen für sensitive Daten, zum Beispiel automatische Verschlüsselung bei Speicherung.
Information Protection
2▪ Monitoring aller Endgeräte
▪ Filterung auf atypische Absender und Anhänge Mobile
Device Managemet
4Auszug inkludierter Werkzeuge der Cloud-Anbieter (insb. Hyperscaler) und ihr Beitrag zur Verhinderung einer Cyberattacke (am Beispiel von Emotet bei Heise)
Durch Cloud Anbieter bereits abgedeckte Sicherheitsmaßnahmen (Auszug)
Emotet bei Heise
1 bis auf die Nummern 2,9,13,17,19 handelt es sich um Policies
20 IS-Artefakte schließen Lücke zwischen ISO 27001 und ISO 27701
2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
1 Risikomanagement SOA
Mobile Device Policy Informationsklassifizierung Acceptable Use
Decommissioning Kryptokonzept IAM-Konzept
Merkblatt Informationssicherheit Backup & Restore
Logging & Monitoring Zugangspolicy NDA
Hinweise für Entwickler Vendor Management Policy
Management von Sicherheitsvorfällen Liste anwendbarer Gesetze
Dokumentenlenkung Vendor ISMS Zertifikat Interne Audits
IS-Artefakte1
Einbezug von pbD in Risikobetrachtung (-> DSFA) Erstellung einer SOA
Einbezug von pbD Einbezug von pbD
Einbezug von pbDbei „removable media“
Für removable media
Für pbD at rest; für Kommunikationssicherheit
Einbezug von pbD Inklusive pbD Einbezug von pbD Zu Log Dateien Muss vorhanden sein
Informations- und IT-Sicherheit Inklusive Regelung von Testdaten Mit Beteiligung des DSB
Muss vorhanden sein
Inklusive Aufbewahrung alter Policies und Prozesse Check ob vorhanden
Inklusive Pentests Änderung
On/ off-Boarding; Access Prozesse; MFA
1 bis auf die Nummern 2,9,13,17,19 handelt es sich um Policies
9 DS-Artefakte schließen Lücke zwischen ISO 27001 und ISO 27701
2 3 4 5 6 7 8 9
1 Verarbeitungsverzeichnis Datenschutz-Leitlinie DSB
DS-Schulung Löschkonzept
Vertraulichkeitserklärung Hinweise für Entwickler Betroffenenrechtekonzept DSFA (bei Bedarf) DS-Artefakte1
Vorblatt, Datenarten, Rechenschaftspflichten, Drittlandtransfer Einbezug aller Stakeholder, Scope, Einhaltung Grundprinzipien Schaffung der Funktion, Betreuer für DS-Vorfälle
Pflicht zur Schulung, Schulung zur Erkennung von pbD und Clear Desk/Screen Sichere Löschung von pbD, in Kombination mit Backup & restore
Für Mitarbeiter
Zu Datenschutzbelangen, zu Testdaten
Bei Bedarf, ggf. integriert in Risikomanagement Änderung
Aufklärung über Betroffenenrechte durch Verantwortliche und AV