TECHNISCHE VERSIEGELUNG – EFFEKTIVER SCHUTZ FÜR INHALTE UND METADATEN IN DER CLOUD Dr. Ralf Rieken CEO, Uniscon GmbH 1 Copyright Uniscon GmbH 2015 Uniscon auf einen Blick Über die Uniscon GmbH Gegründet 2009 (Münchner Technologiezentrum) Technologieführer bei Cloud Sicherheit Entwicklung und Rechenzentren in Deutschland Team von knapp 40 Mitarbeitern Portfolio / Angebot Dateiaustausch Kollaboration Mobiles Büro 2 Technologie hinter IDGARD Betreiberzugriff technisch ausgeschlossen Gefördert durch das BMWi Copyright Uniscon GmbH 2015 Technische & organisatorische Maßnahmen ... In der konventionellen Cloud können Betriebs- & Berufsgeheimnisse zur Kenntnis genommen werden. insider attacks 3 Copyright Uniscon GmbH 2015 Zugangsmöglichkeiten beim Betreiber … e.g. Passwort-Erneuerung via E-Mail e.g. Logging von Anwenderdaten, Service-Zugriff e.g. Systemschlüssel zur Datenbank vorhanden e.g. Nutzername und Passwort durch Betreiber verwaltet e.g. Zugriff zum Arbeitsspeicher möglich (z.B. Dump) Möglichkeiten der Kenntnisnahme durch den Betreiber Offenbarung i.S.d. Gesetzes (§ 203 StGB u.a.) 4 Oft kein verhältnismäßiger Schutz gemäßCopyright BDSG u.a.GmbH 2015 Uniscon Ein Angreifer genügt ….. Datenmissbrauch in klassischen Systemen Datenmissbrauch in vernetzten Systemen brauchte i.d.R. mehrere untreue Daten-Verarbeiter braucht i.d.R. nur einen untreuen Daten-Verarbeiter Nur technische Maßnahmen können die notwendige Gewaltenteilung wieder herstellen. 5 Copyright Uniscon GmbH 2015 Geht das auch anders? sichere Public Cloud? 6 Copyright Uniscon GmbH 2015 Das Konzept der „Betreibersicherheit“ Entlang der ersten Verteidigungslinie werden organisatorische Maßnahmen durch innovative technische ersetzt • Segmentierung des Datenzentrums Mitarbeiter haben nur zu Teilen Zugriff • Bei geplantem oder ungeplantem Zugriff Alarmierung Data Clean-Up • Schlüsselverteilung so, dass Betreiber nicht lesen kann • Bei Wiederanlauf vollständiger Integritäts-Check • Statischer und dynamischer Audit Keine Möglichkeit der Kenntnisnahme von Nutzerdaten durch den Betreiber 7 Copyright Uniscon GmbH 2015 Diese Module müssen dem Sealed Cloud Konzept entsprechen Bedingungen für Rechtskonformität Vertikale Module eines Cloud-Dienstes Nutzerschnittstelle und Anwendungsschnittstellen (API) u.a. voll automatisierter „Self-Service“ Anwendungs-Software Anwendungslogik (Business Logic) u.a. kein Andenderdaten Logging, OWASP-Regeln Plattform-Software Zugriffs- bzw. Nutzerverwaltung (Operational Framework) Rechen-Infrastruktur (Speicher, Prozessorleistung und OS) u.a. keine Systemschlüssel Schlüsselverteilung so, dass kein Leseschlüssel beim Betreiber u.a. wird bei Alarm der „Data-Clean-Up“-Prozess ausgelöst Netz-Infrastruktur (Netzanbindung) Rechenzentrum-Infrastruktur (Strom, Kühlung & Fläche im Rechenzentrum) Keine Möglichkeit der Kenntnisnahme durch den Betreiber Organisatorische Grundlagen 8 Copyright Uniscon GmbH 2015 Schutz der Metadaten Nutzer A Nutzer B Computer/ Gerät Krypt. Computer/ Gerät Ende-zu-Ende versiegelte Kommunikation Krypt. Standard KommunicationsDienste Verbindungsdaten sichtbar Krypt. Computer/ Gerät 9 Nutzer C Sealed Cloud Ende-zu-Ende verschlüsselte Kommunikation Versiegelte WebDienste, e.g. www.idgard.de Krypt. Computer/ Gerät NutzerCopyright D Uniscon GmbH 2015 Vergleich der Ansätze (wissenschaftlich vollständig) System-Ansatz Traditional Cloud End-to-End Encryption Eigenschaften Homomorphic Encryption kann Metadaten schützen kann Inhalte schützen ja auch für Breitband geeignet ja vollfunktional, d.h. Verarbeitung unverschlüsselter Daten möglich ja Einfacher Aufbau sicherer Verbindungen über Organisationsgrenzen hinweg ja 10 ja ja ja Mix Networks IDGARD Sealed Cloud ja ja ja ja ja ja ja ja Multicast & Select ja ja Copyright Uniscon GmbH 2015 Potential der Sealed Cloud Genereller Durchbruch für sichere Recheninfrastrukur Large Scale (Cloud)-Applications auf neuer Vertrauensebene Analytische Verarbeitung ohne Möglichkeit des Betreiberzugriffs Big Data datenschutzkonform Technisch erzwungene Einhaltung von Policies Macht grundrechtskonforme Speicherung möglich 11 Copyright Uniscon GmbH 2015 Web Dienste sind verlockend... 12 Produktivität bilanzielle Flexibilität Aktuellste Applikationen Mobilität, Datenaustausch „store & share / type & share“ Aufgaben extern vergeben von Investitionen zu Betriebskosten Reduzierung der Prozesskosten Ergonomie, Integration, Automatisierung Hohe Elastizität tagesgenaue Abrechnung, nutzungsabhängige Preise Copyright Uniscon GmbH 2015 Anforderungen / Einsatzfälle Mobiler Zugang zu vertraulichen Daten FTP & File Sharing für die Entwicklung Datei-Austausch mit o Kunden und Partnern o anderen Organisationen Einzel- und Mehrfach-Transaktionen Möglichkeit zur direkten Integration in bestehende Prozesse Arbeitsräume für Kundenprojekte Verknüpfung digitalisierter Prozesse 13 Komfortabel und sicher Kein Zugriff der firmeninternen IT-Admins auf die Daten Zugang per Smartphone oder Tablet Weltweit nutzbar gemeinsame Projekträume mit Kunden und Partnern Schneller Set Up durch Projektleiter Übersichtliche Rechteverwaltung Einfache Einbeziehung externer Projektmitglieder Zugang per Smartphone oder Tablet File-Transfer zwischen Prozessen ohne manuellen Eingriff Flexible Verknüpfung 1 n und n 1 Verbindungen Protokollierung Copyright Uniscon GmbH 2015 Besonders wichtig: Hoher Nutzerkomfort, denn nur komfortable und produktive Lösungen werden akzeptiert Sicherheit ohne Komfort würde trotz betrieblicher Regelungen Probleme machen Schneller Return of Investment, z.B. Zeiteinsparung durch höhere Produktivität 14 Copyright Uniscon GmbH 2015 Die Lösung: Technische RZ-Versiegelung Aktuelle KommunikationsAnwendungen Mobiles Büro Datei-Transfer und -Austausch Team-, Projekt- & Datenräume Integration von Prozessen Technik schließt Dienstanbieter vom Zugriff aus Technische Versiegelung des Rechenzentrums 15 Nutzer kontrolliert gesamten Zugriff auf eigene Daten Copyright Uniscon GmbH 2015 Ende-zu-Ende Datenschutz ganz einfach Verschlüsselte Übertragung mit normalem Browser Verschlüsselte Übertragung mit normalem Browser Automatisches Schlüsselmanagement → Einfache Vernetzung – nur Einladungen, z.B. über E-Mail, kein Schlüsselmanagement → Keine Client-Software erforderlich – ein Internet-Browser genügt → Sichere Apps für mobilen & offline-Zugriff 16 Copyright Uniscon GmbH 2015 Flexible Zusammenarbeit sicher, rechtskonform & produktiv DateiAustausch Geschäftsapplikationen und Datenräume E-Mail & Groupware Mobile CloudAblagen Anwendungen für sichere Zusammenarbeit Datei-TransferDienste WebKonferenzen Die IDGARD-Server befinden sich in Deutschland. 17 Copyright Uniscon GmbH 2015 Einsatzerfahrungen / Anwenderfeedback Anwender • • Hohe Nutzerakzeptanz wegen Bedienkomfort und mobilem Zugriff Weltweiter Zugriff mit sehr gutem Durchsatz Produktivität • Steigerung der Produktivität • Schnelles Aufsetzen von Projekträumen • Zeiteinsparung in der Zusammenarbeit • Datenräume gewährleisten einen professionellen Auftritt in Verhandlungen mit Kunden und Partnern (Datenschutz & Komfort) • Verringerung von Haftungsrisiken durch den Compliance-Regeln entsprechenden Austausch vertraulicher Informationen Außenwirkung Compliance 18 Copyright Uniscon GmbH 2015 Trusted Cloud Datenschutz-Zertifikat für IDGARD: Vergleichbare Sicherheit & Entlastung des Nutzers Bisher: Sicherheitsniveaus verschiedener Cloud-Angebote nicht vergleichbar Jetzt: TCDP mit Schutzklassen, Vergleichbarkeit und verbindlicher Rechtsfolge Schutzklasse III der TCDP‐Zertifizierung wird mit IDGARD pilotiert. Zertifizierung* und Ergebnis Deutsches „Trusted Cloud Datenschutzprofil“ (TCDP) Schutzklasse III Bisherige Empfehlungen werden obligatorisch: ISO/IEC 27002:2013, ISO/IEC 29100:2011, ISO/IEC27018:2014 Schutzklasse II Schutzklasse I Ergebnis: (a) Schutzbedarf erfüllt (b) Kontrollpflichten des Cloud-Nutzers erfüllt Ergebnis: Anbieterorganisation arbeitet sorgfältig ISO/IEC 27001:2013 oder BSI IT-Grundschutz Rahmenbedingungen Gesetzlichen Anforderungen (BDSG, später DS-GVO -EU-) 19 Schutzklassenkonzept Bedarfsklassen I – III Anforderungsklassen I - III Copyright Uniscon GmbH 2015 Zusammenfassung Klassische Cloud‐Lösungen bieten keine ausreichende Sicherheit für geschäftskritische Daten und Anwendungen Die Sealed Cloud Technologie – Schützt Daten und Metadaten – Ermöglicht generelle Datenverarbeitung im Data Center ohne Kompromittierung der Sicherheit Erfahrungen mit IDGARD zeigen – Sichere & komfortable Zusammenarbeit über Firmengrenzen – Schneller RoI durch hohe Produktivität 20 Copyright Uniscon GmbH 2015 Uniscon GmbH – The Web Privacy Company, Agnes‐Pockels‐Bogen 1, 80992 München, Telefon: 089 / 4161 5988 100, Email: [email protected] Fragen / Diskussion / Kontakt Dr. Ralf Rieken CEO Uniscon GmbH Agnes-Pockels-Bogen 1 80992 München Haben Interesse an der Präsentation? Wir schicken Ihnen diese gern zu. [email protected] www.idgard.de Bleiben Sie mit uns in Kontakt: www.idgard.de/newsletter-anmeldung 21 Copyright Uniscon GmbH 2015 Kontakt Dr. Ralf Rieken CEO Uniscon GmbH Agnes-Pockels-Bogen 1 80992 München [email protected] www.idgard.de Bleiben Sie mit uns in Kontakt: www.idgard.de/newsletter-anmeldung 22 Copyright Uniscon GmbH 2015
© Copyright 2025 ExpyDoc
