Kategorien
News

Microsoft erweitert sein Bestreben nach Datenschutz in der Cloud – EU Standardvertragsklauseln und Trustcenter nun auch für Microsoft Dynamics CRM Online

Microsoft weitet das Thema Datenschutz in seinem Cloud Portfolio weiter aus. Ab sofort stehen für Microsoft Dynamics CRM Online ebenfalls die EU-Standardvertragsklauseln (auch EU Model Clauses genannt) zur Verfügung. Es handelt sich dabei um die Klauseln, die auch Google erst kürzlich für seine Office Suite Google Apps angekündigt hat.

Forderung nach mehr Transparenz und Verantwortung

Nachdem Microsoft bereits die datenschutzrechtlichen EU-Vorgaben für sein Office 365 umgesetzt hat, möchte das Unternehmen mit der Adaption für seine Cloud-basierte Customer Relationship Management Lösung (CRM) seinen Kunden mehr Transparenz und Verantwortung beim Umgang mit sensiblen Daten bieten.

Insbesondere die Themen Transparenz und Verantwortung gehören für Unternehmen zu den wichtigsten Aspekten beim Cloud Computing, das ergab ein IDC Whitepaper im Auftrag von Microsoft. Mit der Integration der EU-Standardvertragsklauseln möchte sich Microsoft als Cloud-Anbieter seiner Verantwortung stellen und den anderen Anbietern damit den Weg aufzeigen, den es zu gehen gilt. Dementsprechend ist eine Adaption des Trustcenters für Microsoft Dynamics CRM Online ab sofort unter: http://crm.dynamics.com/trust-center verfügbar. Weiterhin hat Microsoft auf einem neuen Webportal unter www.cloudaufgaben-gemacht.de alle wichtigen Informationen zu diesem Thema zusammengestellt, um Kunden und Partner für Datenschutz in der Cloud zu sensibilisieren.

Cloud Computing wird sich schneller etablieren als erwartet

Laut den Analysten von IDC rechnen mehr als die Hälfte der Entscheider in deutschen Unternehmen damit, dass sich Cloud Computing innerhalb der nächsten zwei bis fünf Jahre durchsetzen wird. Daher empfiehlt IDC, dass Anbieter von Cloud Services schlüssige Antworten auf Datenschutzfragen bieten müssen, um bei der Geschwindigkeit dieses Trends mithalten zu können. Das bestätigt ebenfalls eine Umfrage für das aktuelle IDC Whitepaper „Cloud Computing und Consumerization of IT in Deutschland 2012”. Zwar sinken die Bedenken bezüglich Sicherheit, Angebotsreife und Datenstandort, so die Analysten, allerdings steigen die Anforderungen insbesondere hinsichtlich Compliance.

Microsoft Webportal für Datenschutz und Compliance

Um Partner und Anwender für das Thema Datenschutz und Compliance zu sensibilisieren, startet Microsoft das Webportal www.cloudaufgaben-gemacht.de. Das Portal soll eine Reihe hilfreicher und praktischer Informationen zum Thema bieten, auf dem Anwender zudem ihr Cloud-Wissen testen oder mit Hilfe einer Checkliste überprüfen können, ob sie und ihr Cloud-Anbieter alle Hausaufgaben zum Thema gemacht haben.


Bildquelle: http://www.microsoft.com

Kategorien
News

Google erweitert Google Apps um europäische Datenschutz-Richtlinien

Google wird seinen Google Apps-Kunden in Kürze zusätzlich zum Datenschutz-Abkommen Safe Harbor auch sogenannte Model Contract Clauses anbieten. Diese Vertragsklauseln sind von der Europäischen Kommission vorgegebene Datenschutz-Richtlinien, die den Datentransfer zwischen Unternehmen innerhalb und außerhalb der Europäischen Union regeln.

Wie Marc Crandall, Senior Manager of Global Compliance, Google Enterprise in einem Blogbeitrag schreibt, nutzen über vier Millionen Kunden Google Apps für ihre geschäftlichen Zwecke. Diesen möchte Google zusätzlich nun ein breites Spektrum an Compliance Optionen bieten, um diesen dabei zu helfen, ihre regulatorischen Anforderungen zu erfüllen.

Aus diesem Grund wird Google demnächst sogenannte „Model Contract Clauses“ anbieten, um damit die Sicherheitsanforderungen der Europäischen Kommission hinsichtlich der Datenschutz-Richtlinien für europäische Kunden angemessen zu erfüllen. Diese Richtlinie sei in Googles Augen ein wichtiger Bestandteil der Privatsphäre, die von der Europäischen Union (EU) bereits im Jahr 1995 verabschiedet wurde. Sie sorgt dafür, dass bestimmte Daten, die von der EU einen angemessenen Schutz der Privatsphäre erfordern, von einem EU-Land nicht in ein Nicht-EU-Land übertragen werden.

Zusammen mit der Beteiligung am US-EU Safe Harbor Framework und den neuen „Model Contract Clauses“ sowie der jüngsten Zertifizierung nach ISO 27001, möchte Google seinen EU Kunden auch in Zukunft weitere Möglichkeiten bieten, weitere EU-Compliance Richtlinien erfüllen zu können.

Nachdem Microsoft sein Office 365 for Government bereits aktiv mit dem Thema Cloud Sicherheit bewirbt, geht Google nun direkt an die Unternehmenskunden. Überraschend kommt dieser Schachzug jedoch nicht, denn Google musste langsam etwas unternehmen, um auch das Vertrauen bei seinen europäischen Kunden bzw. noch Nicht-Kunden zu stärken. Denn das Thema Datensicherheit und Datenschutz ist speziell in Europa ein sehr brisantes Thema, mit dem man nicht zu sorglos umgehen sollte, auch wenn es langsam sehr zäh und ein Stück weit langweilig wird, ständig darüber diskutieren zu müssen.


Bildquelle: http://www.egovernment-computing.de

Kategorien
Events

Ein Rückblick auf die SecureCloud 2012 in Frankfurt – Datenschutz: Das Verkaufsargument in Deutschland

Am 9. und 10. Mai fand in Frankfurt die SecureCloud 2012 Deutschland statt. Ich war am ersten Tag vor Ort und möchte euch von meinen Eindrücken und ein paar Neuigkeiten berichten. War grundsätzlich eine tolle Veranstaltung mit hochkarätigen Sprechern und einem guten Themenmix.

Ein Rückblick auf die SecureCloud 2012 in Frankfurt - Datenschutz: Das Verkaufsargument in Deutschland

Das Negative zuerst. Kostenloses WLAN war leider Fehlanzeige. Für 10€ durften sich Teilnehmer einen Voucher kaufen. In Zeiten wo die Live Kommunikation und Berichterstattung an der Tagesordnung steht, ein unschöner Missstand. Es sind nicht die 10€ die direkt stören. Wenn ein Teilnehmer jedoch bereits eine Gebühr von 600 EUR entrichtet, sollte auch das WLAN enthalten sein. Wie auch immer, mein Android dufte mit seiner Tethering und Hotspot Funktion erhalten.

Die SecureCloud 2012 wurde von der Cloud Security Alliance (CSA), der European Network and Information Security Agency (ENISA), dem Center for Advanced Security Research Darmstadt (CASED)/Fraunhofer Institute for Secure Information Technology und der ISACA (previously the Information Systems Audit and Control Association) veranstaltet.

Die zweitägige Veranstaltung fokussierte sich auf neue technische Entwicklungen, erfolgreiche Strategien für das Risikomanagement sowie Änderungen der EU-Datenschutzrichtlinien und deren Bedeutung für Unternehmen. Zu den Themen der Englisch sprachigen Konferenz gehörten u.a. Cloud-Sicherheit aus der Kundenperspektive, Steuerung, Risiko und Compliance in der Cloud, Sicherheit von Virtualisierung, Praxisnahe Verschlüsselung für die Cloud sowie der Bereich der Cloud Forensic.

Die SecureCloud selbst war eine gelungene Veranstaltung. Auch wenn der eine oder andere Vortragstitel mehr Cloud Sicherheit versprochen hat, als er am Ende hergab, sprechen die Teilnehmerzahlen für sich. Ich habe keine genauen Zahlen, aber in beiden Tracks mussten die Teilnehmer anfangs stehen.

Neben dem Thema Cloud Sicherheit selbst, wurde während der Panels vermehrt über den eigentlichen Nutzen des Cloud Computing gesprochen. Es ging da an manchen Stellen viel mehr um Cloud Evangelismus und Grundsatzsdiskussionen die bereits vor 2 Jahren geführt wurden, als um konkrete Sicherheitsthemen.

Die Zukunft in der Cloud liegt

Neben Hochkarätern wie Billy Hawkes – Irish Data Protection Commissioner („Datenschutz ist ein Grundrecht für jeden!“) und wahrscheinlich der einflussreichste Datenschützer der EU, war ebenfalls Thomas Endres – ehemaliger CIO von Lufthansa – im Panel „Cloud Security User Perspective“ vor Ort, der die Sicht aus dem Blickwinkel der Unternehmen vertrat.

Endres vertritt die Meinung, dass „die Zukunft in der Cloud liegt.“, was schön zu hören und selten von den Lippen eines CIOs abzulesen ist. Zudem sieht er in den Markentingabteilungen der Anbieter ein großes Problem, da diese der Meinung sind, dass die Unternehmen schon weit genug für die Cloud sind. Dem ist laut Endres nicht so. Weiterhin sieht er in Enterprise Clouds viel Potential, was er u.a. mit Kosteneinsparungen von bis zu 40% begründete. Endres sieht die Kosten aber nicht als Hauptargument für Unternehmen. Es geht viel mehr um Agilität, Flexibilität und Standardisierung. Bei einem war sich das dreiköpfige Panel um Endres einig, die meisten Unternehmen entscheiden sich auf Grund der rechtlichen Situation für Private Clouds. Zudem sind Compliance Themen ein derzeit viel diskutiertes Thema. Was von wichtiger Bedeutung ist, denn „Unternehmen dürfen nicht leichtsinnig Risiken eingehen.“, wie Endres kommentierte. Neben der Compliance werden in Unternehmen derzeit ebenfalls die Bereiche Prozesse, Risiken und Finanzen diskutiert.

Thomas Endres fehlen weiterhin grundsätzliche Diskussionen und Präsentationen, wie man die Cloud wieder verlassen kann. Also das Lock-In Problem! „Überall wird erläutert wie man in die Cloud hineinkommt, aber wie man wieder hinauskommt erzählt keiner.“, so Endres. Er hält es für ein Unternehmen weiterhin für quasi unmöglich zu prüfen, ob ein Cloud Anbieter seinen Job richtig macht. „Es gibt Bereiche bei einem Cloud Anbieter die kann ein Unternehmen nicht beeinflussen. Das Auditing ist schwierig.“ Aus diesem Grund rät Endres, „nicht alle Bereiche und Daten eines Unternehmen in die Cloud zu verlagern.“ Das Risiko sei zu hoch.

Das Panel erläurterte im weiteren Verlauf, dass die Cloud Sicherheit sich in mehrere Bereiche aufteilt, die separat betrachtet werden müssen. Es gibt hierfür keinen Masterplan. Zudem sind die System- und Prozesssicherheit für Unternehmen die größten Herausforderungen in der Cloud. Thomas Endres: „Unternehmen benötigen ein Sicherheitsmanagementsystem.“ Worin sich das Panel einig war, die Cloud Anbieter stellen ihren Kunden nur eine Plattform bereit. Die Sicherheit bzgl. Unternehmensprozesse obliegt dem Kunden selbst. Zudem raten sie zur Vorsicht und einer genauen Prüfung. Der erste Eindruck von Cloud Auditoren sei demnach „Super“, der zweite Eindruck: „Vorsichtig sein.“

Thomas Endres abschließende rhetorische Frage, die unbeantwortet blieb: „Was passiert wenn der Cloud Anbieter zahlungsunfähig wird?“

Die EU arbeitet an einer breiten und intensiven Unterstützung des Cloud Computing

Die European Commission arbeitet an einer Cloud Strategie und hat damit begonnen, mehr für die ganzheitliche Cloud Computing Adaption und Integration zu tun und ist bestrebt, kritische Infrastrukturen zu schützen und hat dafür bspw. ein CyberSecurity Lab gegründet. Der Plan sieht vor bis 2013 über 50 Mio EUR in ein europäisches Security Framework zu investieren. In die Cloud Strategie werden die Industrie, Cloud Experten und das EU Policy Framework einbezogen. Mit einem Legal Framework sollen zudem einheitliche Regeln geschaffen werden, um bspw. Cloud Datenschutz und Sicherheit zu klären.

Mit einem Pre-Commercial Procurement einem weiteren Framework soll die Umsetzung erfolgen, das sich aus drei Phasen zusammensetzt und mit dem eine europäische Cloud Partnerschaft aufgebaut werden soll. Zudem soll eine internationale Cloud Computing Policy entwickelt werde, in der Sicherheit, Zertifizierungen und Standards stehen werden. Zukunftsthemen sieht die EU bis 2020 bei den Themen Sicherheit und Datenschutz im Cloud Computing sowie in den Bereichen Software und Services.

Die Niederlande setzen vollständig auf die Private Cloud

Die niederländische Regierung nutzt die Cloud, um E-Government Services an seine Behörden und Institutionen auszuliefern. Dabei werden nicht alle Daten in die Cloud verlagert, sondern eine Klassifizierung vorgenommen. Dabei planen die Niederlande zwar auf Public aund Private Cloud Lösungen setzen, allerdings werden zunächst nur die Methoden des Cloud Computing genutzt, um eine Government Cloud (Private Cloud) aufzubauen. Hintergründe für den Private Ansatz sind Bedenken bzgl. Datenschutz und Datensicherheitsrisiken in Public Cloud Umgebungen.

Cloud Computing = Outsourcing 2.0

Ein weiteres Panel diskutierte den Einfluss des Cloud Computing auf die Sicherheit. Die Teilnehmer sahen dabei nicht die Cloud Sicherheit als das Problem selbst an, sondern die Transparenz, die im Vordergrund stehen muss. Die Cloud wurde in diesem Zusammenhang korrekterweise auch als Blackbox beschrieben.

Zudem war sich das Panel einig, werden aktuell exakt dieselben Diskussionen über die Cloud geführt wie vor Jahren über das Outsourcing. Beim Outsourcing hieß es früher: „Don’t touch my systems and data!“ Doch plötzlich fingen alle doch an Outsourcing zu nutzen. Cloud Computing wird daher dieselbe Erfahrungen sammeln müssen wie das Outsourcing. Wodurch Cloud Computing auch als Outsourcing 2.0 beschrieben wurde. Darüber hinaus haben die Marketing Abteilungen mit ihren „Cloud Aufklebern“ Cloud Computing zu einem Hype verkommen lassen, der von vielen nicht ernst genommen wird.

Als Tipps gab das Panel den Teilnehmern mit auf den Weg, dass man sich zunächst über die Art der Cloud im klaren sein sollte, bevor die Migration beginnen kann. Bspw. können Community Clouds Unternehmen auf Grund der Erfahrungen der anderen Unternehmen ein Mindestmaß an Sicherheit bieten. Zudem sah das Panel den Bereich Identity Management als den Master Use Case für Security-as-a-Service und das beim Thema Zertifizierung darauf geachtet werden sollte, das der gesamte Stack betrachtet wird, vom Personal bis hinunter zum Hypervisor.

Datenschutz ist das Verkaufsargument

Im weiteren Verlauf der Veranstaltung hatte ich Gelegenheit mit mehreren Beratern zu sprechen. Die durchweg einstimmigen Aussagen waren, dass sich Cloud Angebote aus Deutschland mit dem Verkaufsargument des hohen Datenschutzniveau sehr gut verkaufen lassen.

Ein paar Bilder zur SecureCloud 2012 gibt es auf Flickr.

Kategorien
News

EU stellt Leitfaden für Cloud Sicherheit zur Verfügung

Die ENISA sieht Nachholbedarf in der sicheren Anbindung von Cloud Services. Laut der europäischen Sicherheitsagentur ist der Fokus darauf viel zu gering ausgerichtet und möchte mit einem neuen Leitfaden, beim öffentlichen Sektor das Verständnis für Cloud Sicherheit schärfen.

Die ENISA möchte das Verständnis für das Thema Cloud Sicherheit wecken.

Die Beschaffung und Verwaltung von Cloud-Service Verträgen wird eine immer wichtigere Aufgabe für IT-Mitarbeiter. Ein wesentlicher Bestandteil bei dieser Arbeit ist es, im Vorfeld die Sicherheitsanforderungen zu regeln. Aber noch wichtiger ist es, in der Lage zu sein diese Kriterien zu überwachen und zu prüfen und zu schauen ob diese Sicherheitsanforderungen zu einem bestimmten Zeitpunkt und während der gesamten Laufzeit des Vertrags erfüllt werden.

Dazu betrachtet der Leitfaden acht unterschiedliche Bereiche und Parameter, auf die ein IT-Mitarbeiter achten sollte. Dazu gehören u.a. die Service-Verfügbarkeit, die Reaktion im Fehlerfall sowie die technische Compliance und das Sicherheitsmanagement.

Der 64 Seiten umfassende Leitfaden „Procure Secure: A guide to monitoring of security service levels in cloud contracts“ kann hier heruntergeladen werden.


Bildquelle: http://www.mxsweep.com, http://www.enisa.europa.eu