Kategorien
News

Microsoft erweitert sein Bestreben nach Datenschutz in der Cloud – EU Standardvertragsklauseln und Trustcenter nun auch für Microsoft Dynamics CRM Online

Microsoft weitet das Thema Datenschutz in seinem Cloud Portfolio weiter aus. Ab sofort stehen für Microsoft Dynamics CRM Online ebenfalls die EU-Standardvertragsklauseln (auch EU Model Clauses genannt) zur Verfügung. Es handelt sich dabei um die Klauseln, die auch Google erst kürzlich für seine Office Suite Google Apps angekündigt hat.

Forderung nach mehr Transparenz und Verantwortung

Nachdem Microsoft bereits die datenschutzrechtlichen EU-Vorgaben für sein Office 365 umgesetzt hat, möchte das Unternehmen mit der Adaption für seine Cloud-basierte Customer Relationship Management Lösung (CRM) seinen Kunden mehr Transparenz und Verantwortung beim Umgang mit sensiblen Daten bieten.

Insbesondere die Themen Transparenz und Verantwortung gehören für Unternehmen zu den wichtigsten Aspekten beim Cloud Computing, das ergab ein IDC Whitepaper im Auftrag von Microsoft. Mit der Integration der EU-Standardvertragsklauseln möchte sich Microsoft als Cloud-Anbieter seiner Verantwortung stellen und den anderen Anbietern damit den Weg aufzeigen, den es zu gehen gilt. Dementsprechend ist eine Adaption des Trustcenters für Microsoft Dynamics CRM Online ab sofort unter: http://crm.dynamics.com/trust-center verfügbar. Weiterhin hat Microsoft auf einem neuen Webportal unter www.cloudaufgaben-gemacht.de alle wichtigen Informationen zu diesem Thema zusammengestellt, um Kunden und Partner für Datenschutz in der Cloud zu sensibilisieren.

Cloud Computing wird sich schneller etablieren als erwartet

Laut den Analysten von IDC rechnen mehr als die Hälfte der Entscheider in deutschen Unternehmen damit, dass sich Cloud Computing innerhalb der nächsten zwei bis fünf Jahre durchsetzen wird. Daher empfiehlt IDC, dass Anbieter von Cloud Services schlüssige Antworten auf Datenschutzfragen bieten müssen, um bei der Geschwindigkeit dieses Trends mithalten zu können. Das bestätigt ebenfalls eine Umfrage für das aktuelle IDC Whitepaper „Cloud Computing und Consumerization of IT in Deutschland 2012”. Zwar sinken die Bedenken bezüglich Sicherheit, Angebotsreife und Datenstandort, so die Analysten, allerdings steigen die Anforderungen insbesondere hinsichtlich Compliance.

Microsoft Webportal für Datenschutz und Compliance

Um Partner und Anwender für das Thema Datenschutz und Compliance zu sensibilisieren, startet Microsoft das Webportal www.cloudaufgaben-gemacht.de. Das Portal soll eine Reihe hilfreicher und praktischer Informationen zum Thema bieten, auf dem Anwender zudem ihr Cloud-Wissen testen oder mit Hilfe einer Checkliste überprüfen können, ob sie und ihr Cloud-Anbieter alle Hausaufgaben zum Thema gemacht haben.


Bildquelle: http://www.microsoft.com

Kategorien
Events

Event-Tipp: SecureCloud 2012

Vom 9. bis 10. Mai 2012 findet die SecureCloud 2012, ein internationales Treffen von Cloud Computing Sicherheitsexperten, im Sheraton Congress Hotel in Frankfurt am Main statt.

Event-Tipp: SecureCloud 2012

Die SecureCloud 2012 wird von der Cloud Security Alliance (CSA), der European Network and Information Security Agency (ENISA), dem Center for Advanced Security Research Darmstadt (CASED)/Fraunhofer Institute for Secure Information Technology und der ISACA (previously the Information Systems Audit and Control Association) veranstaltet.

Die zweitägige Veranstaltung fokussiert sich auf neue technische Entwicklungen, erfolgreiche Strategien für das Risikomanagement sowie Änderungen der EU-Datenschutzrichtlinien und deren Bedeutung für Unternehmen. Zu den Themen der Englisch sprachigen Konferenz gehören:

  • Die neuen EU-Richtlinien und ihre Bedeutung für Cloud-Nutzer und Anbieter
  • Umgang mit Zwischenfällen in der Cloud
  • Cloud-Sicherheit aus der Kundenperspektive
  • Steuerung, Risiko und Compliance in der Cloud
  • Überwachung von Sicherheits- und Dienstebenen
  • Sicherheit von Virtualisierung
  • Praxisnahe Verschlüsselung für die Cloud
  • Cloud Forensic

Zu den Referenten der SecureCloud 2012 gehören unter anderem:

  • Dr. Carl-Christian Buhr
    European Commission, Mitglied im Kabinett der EU-Vizepräsidentin Neelie Kroes
  • Dr. Waldemar Grudzien
    Bundesverband Deutscher Banken e.V., Direktor
  • Thomas Endres
    Lufthansa, CIO
  • Eran Feigenbaum
    Google, Director of Security Google Apps
  • Billy Hawkes
    Irish Data Protection Commissioner
  • CJ Moses
    Amazon, Amazon Web Services Deputy, Chief Information Security Officer
  • Ari Juels
    RSA, Chief Scientist
  • Monika Josi
    Microsoft, Chief Security Advisor EMEA

Weitere Informationen zum Programm und die Anmeldung sind unter https://cloudsecurityalliance.org/events/securecloud-2012 zu finden.

Kategorien
Analysen

Die Herausforderungen des Cloud Computing: Compliance

Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Compliance

Der Begriff Compliance bezeichnet die Einhaltung von extern vorgegeben Gesetzen, Regeln und Richtlinien, die von einem Unternehmen zu erfüllen sind. Die bekanntesten Gesetze in diesem Bereich sind der Sarbanes-Oxley Act (SOX), Solvency II und Basel II; Aber auch die elektronische Buchhaltung sowie die Archivierung der Geschäftsunterlagen fallen in den Bereich Compliance. In vielen Fällen, u.a. bei SOX, führt eine Nichteinhaltung der Gesetze zu einer Vorstandshaftung, wodurch vor allem die Unternehmensführung daran interessiert ist, dass ihr Unternehmen inkl. seiner IT compliant ist.

Dr. Markus Böhm beschreibt Cloud Compliance als eine “[…] nachweisbare Einhaltung von Regeln zur Nutzung oder Bereitstellung von Cloud Computing.” Diese hat das Ziel, “[…] Transparenz und Sicherheit für alle Anspruchsgruppen (Stakeholder) zu schaffen.” und soll dabei unterstützen “[…] die bestehende Zurückhaltung und die Vorbehalte gegenüber den Angeboten zum Cloud Computing aufzulösen”, wodurch die Cloud Compliance eine wichtige Basis schafft, “[…] um alle Vorteile des Cloud Computings für Anbieter und Provider vollumfänglich nutzbar zu machen.”

Böhm sieht vor allem die “[…] Neuartigkeit und die damit verbundene Komplexität des Themas, die Vielzahl von Service-Angeboten und Geschäftsmodellen der Anbieter mit derzeit oft noch unklaren bzw. sich widersprechenden Cloud Definitionen sowie die fehlenden Standards im Markt ” als besondere Herausforderungen der Cloud Compliance an. Für die Erreichung einer passenden Cloud Compliance gilt es daher “[…]die Anforderungen insgesamt zu kennen und hinsichtlich ihrer Bedeutung zu bewerten.” Dabei kann die Kategorisierung der Anforderungen “[…] schematisch nach primär externen Vorgaben (Gesetzen und externen Regelwerken) sowie primär internen Vorgaben (interne Verpflichtungen und Verträge) erfolgen. Die Identifikation als auch die Kategorisierung sollten sowohl Nutzer als auch Anbieter von Cloud Computing individuell für ihre Geschäftszwecke vornehmen.” Ein Compliance Management Systems (CMS), welches zugleich von dem Cloud Nutzer sowie vom Cloud Anbieter eingesetzt werden kann, soll dabei helfen die Ziele und Herausforderungen zu unterstützen. Grundsätzlich gelten für das Cloud Computing keinen eigenen Compliance Regeln, wodurch “[…] die allgemeinen IT-Compliance-Anforderungen Anwendung finden.” Hier gilt es also passende Maßnahmen für klassische IT-Risiken zu ergreifen. Dazu gehören u.a. Sicherheit, Verfügbarkeit, Vollständigkeit und Nachvollziehbarkeit. “Diese verlangen jedoch in jedem Fall eine gesonderte Auseinandersetzung mit den für Cloud Computing spezifischen Risiken.”

Ewald Glöckl empfiehlt das Erstellen einer Anforderungsliste, in der detailliert im ersten Schritt spezifiziert wird, “[…] welche Dienstleistungen sich überhaupt in die Cloud verlagern lassen und welche intern bleiben sollen.” In diesem Zuge muss weiterhin festgelegt werden, “[…] welche Systeme und Services unternehmenskritisch sind oder wichtiges geistiges Eigentum enthalten.” Auf Basis einer Risikoeinstufung wird dann entschieden, welches System bzw. welcher Service für die Cloud geeignet ist und welcher nicht. “Je höher die Risikoeinstufung, desto geringer die Eignung für die Cloud.” Der zweite Schritt sieht eine Überprüfung der Anforderungsliste vor, um zu bestimmen, ob sich die Inhalte der Anforderungsliste so realisieren lassen und wie ein “[…] Kosten-Nutzen-Risiko-Verhältnis für die Umsetzung aussehen würde.” Im Anschluß erfolgt die Evaluation möglicher Cloud Computing Anbieter. Für eine erfolgreiche Einführung von Cloud Services im Unternehmen sieht er eine “[…] sorgfältige Beschreibung aller relevanten, vereinbarten Leistungen in den Vertragsgrundlagen mit dem Dienstleister.” Sollen kritische Geschäftsprozesse mit Hilfe des Cloud Computing unterstützt werden, führt das ebenfalls zu einer Abhängigkeit vom Cloud Computing Anbieter, die ebenfalls als kritisch zu bewerten ist.

Demnach sind laut Glöckl im Vertrag wichtige Details zu definieren. Dazu gehören “[…] die Aufrechterhaltung der Services im Notfall, das Eskalationsmanagement, Vergütungskriterien”, “[…] Regelungen über Teilleistungen und deren Kündigung”, “[…] notwendige Nutzungsrechte von urheberrechtlich geschützten Programmen”, “[…] Lizenzrechte, Haftung, Datenschutz, Datensicherheit” und “[…] Rechte auf Daten bei Beendigung des Vertrags.”

Kategorien
Literatur

Buch – Cloud Computing: Implementation, Management and Security

Titel: Cloud Computing: Implementation, Management and Security

Autor: John Rittinghouse, James Ransome

Beschreibung:
„Cloud Computing: Implementation, Management, and Security provides an understanding of what cloud computing really means, explores how disruptive it may become in the future, and examines its advantages and disadvantages. It gives business executives the knowledge necessary to make informed, educated decisions regarding cloud initiatives.

The authors first discuss the evolution of computing from a historical perspective, focusing primarily on advances that led to the development of cloud computing. They then survey some of the critical components that are necessary to make the cloud computing paradigm feasible. They also present various standards based on the use and implementation issues surrounding cloud computing and describe the infrastructure management that is maintained by cloud computing service providers. After addressing significant legal and philosophical issues, the book concludes with a hard look at successful cloud computing vendors.

Helping to overcome the lack of understanding currently preventing even faster adoption of cloud computing, this book arms readers with guidance essential to make smart, strategic decisions on cloud initiatives.“

Bestellmöglichkeit: Amazon

Cover:

Kategorien
Literatur

Buch – Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance

Titel: Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance

Autor: Tim Mather, Subra Kumaraswamy, Shahed Latif

Beschreibung:
„You may regard cloud computing as an ideal way for your company to control IT costs, but do you know how private and secure this service really is? Not many people do. With Cloud Security and Privacy, you’ll learn what’s at stake when you trust your data to the cloud, and what you can do to keep your virtual infrastructure and web applications secure.

Ideal for IT staffers, information security and privacy practitioners, business managers, service providers, and investors alike, this book offers you sound advice from three well-known authorities in the tech security world. You’ll learn detailed information on cloud computing security that-until now-has been sorely lacking.

– Review the current state of data security and storage in the cloud, including confidentiality, integrity, and availability
-Learn about the identity and access management (IAM) practice for authentication, authorization, and auditing of the users accessing cloud services
– Discover which security management frameworks and standards are relevant for the cloud
– Understand the privacy aspects you need to consider in the cloud, including how they compare with traditional computing models
– Learn the importance of audit and compliance functions within the cloud, and the various standards and frameworks to consider
– Examine security delivered as a service-a different facet of cloud security“

Bestellmöglichkeit: Amazon

Cover: