< c

lick in p

resenta

tion

mode

toupdate

Uwe Rühl

Zertifizierung von Cloud Information Security?ISO/IEC 27017 und ISO/IEC 27018 - was geht und was geht nicht.

Öffentlich | v1.0CEBIT 2017 | RUCON Gruppe

© RUCON Gruppe 2Öffentlich | v1.0

Die RUCON Gruppe

RUCON Management

GmbH

(Projekte)

RUCON Service GmbH

(Services)

RUCON System GmbH

(Systeme)

Unsere Schwerpunkte:

Informationssicherheitsmanagement (ISMS)

Business Continuity Management (BCMS)

Risikomanagement

Krisenmanagement

Integrierte Managementsysteme

Wir sind auch als berufene Auditoren unterwegs.

© RUCON Gruppe 3Öffentlich | v1.0

Agenda

Ab in die Cloud – Was ist die Cloud?

Wolkige Mythen

Was sagt die ISO/IEC 27000-Reihe dazu?

Was sind die Herausforderungen?

Der wolkige Ausblick

< c

lick in p

resenta

tion

mode

toupdate

Ab in die Cloud – Was ist die Cloud?

© RUCON Gruppe 5Öffentlich | v1.0

Vgl.: https://de.wikipedia.org/wiki/Cloud_Computing

Ausführung von Programmen, die nicht auf dem lokalen Rechner installiert sind, sondern auf einem anderen Rechner, der aus der Ferne

aufgerufen wird.

Definition: Cloud Computing

© RUCON Gruppe 6Öffentlich | v1.0

NIST – National Institute of Standards and Technology

IaaS – Infrastructure as a Service

PaaS – Platform as a Service

SaaS – Software as a Service

Definition durch NIST - Servicemodelle

© RUCON Gruppe 7Öffentlich | v1.0

NIST – National Institute of Standards and Technology

Public Cloud

Private Cloud – in einer Organisation

Hybrid Cloud – Mischung a) und b)

Community Cloud – geschlossener Nutzerkreis

Virtual Private Cloud –öffentliche Infrastruktur, aber geeignete Abschottung

Definition durch NIST - Liefermodelle

© RUCON Gruppe 8Öffentlich | v1.0

Selbstzuweisung von Leistungen (self-service provisioning)

Skalierbarkeit (scalability)

Zuverlässigkeit und Ausfalltoleranz (reliability und fault-tolerance)

Optimierung und Konsolidierung

Qualitätssicherung (QoS)

Charakteristika nach NIST

NIST – National Institute of Standards and Technology

© RUCON Gruppe 9Öffentlich | v1.0

Definition in ISO/IEC 27000

© RUCON Gruppe 10Öffentlich | v1.0

3.7 Public Cloud Service ProviderParty which makes cloud service available according to the public cloudmodel.

Definition in ISO/IEC 27018

< c

lick in p

resenta

tion

mode

toupdate

Wolkige Mythen

© RUCON Gruppe 12Öffentlich | v1.0

„Die Anbieter wissen schon, was Sie tun.

Außerdem müssen sie sich ja an das geltende Recht halten und das Recht schützt uns…“

Lassen Sie uns zwei Extreme anschauen…

© RUCON Gruppe 13Öffentlich | v1.0

Quelle: http://www.wiwo.de/technologie/digitale-welt/cloud-wie-sicher-sind-diese-dienste/6288784-4.html; Abruf: 09.03.2017

© RUCON Gruppe 14Öffentlich | v1.0

Quelle: Michael Kroker, „Cloud. Was Sie über die Wolke wissen müssen“ (in Wirtschaftswoche online), http://www.wiwo.de/technologie/digitale-welt/cloud-wie-sicher-sind-diese-dienste/6288784-4.html; Abruf 09.03.2017

„Wie sicher sind diese Dienste?

Technisch sind alle Cloud-Dienste sicher. Das heißt: Die Datenkommunikation zwischen lokalem Rechner und dem Internet-Dienst geschieht verschlüsselt, sodass Unbefugte den Verkehr nicht einfach mitschneiden können.

Zudem ist der Zugriff auf einen Cloud-Dienst passwortgeschützt. Weil Hacker-Angriffe dennoch nie auszuschließen sind, sollten Anwender bei der Nutzung von Cloud-Diensten ähnlich verfahren wie bei sozialen Netzwerken, etwa bei Facebook: Ausschließlich in die Cloud sollten grundsätzlich nur Dateien und Informationen, deren Verlust schlimmstenfalls verschmerzbar ist.“

© RUCON Gruppe 15Öffentlich | v1.0

„Alles wird mitgelesen.

Die Geheimdienste, die Dienstanbieter…

Die einen wollen nur Kohle machen, die anderen uns gnadenlos überwachen…“

Und jetzt das andere Extrem…

© RUCON Gruppe 16Öffentlich | v1.0

Quelle: „Der Geheimdienst liest mit“ (in Badische Zeitung online http://www.badische-zeitung.de/computer-medien-1/der-geheimdienst-liest-mit--128281037.html, Abruf 09.03.2017

© RUCON Gruppe 17Öffentlich | v1.0

Die liegt wahrscheinlich irgendwo dazwischen…

Und die Wahrheit?

© RUCON Gruppe 18Öffentlich | v1.0

Meine Meinung ist:

„Niemand ist eine abgeschottete Insel.

Unternehmen müssen kommunizieren, müssen Informationen austauschen und Informationen bereitstellen.

Eine Abschottungsstrategie wird uns nicht helfen. Ein blindes Vertrauen aber auch nicht.“

< c

lick in p

resenta

tion

mode

toupdate

Was sagt die ISO/IEC 27000-Reihe dazu?

© RUCON Gruppe 20Öffentlich | v1.0

Noch einmal:

In der ISO/IEC 27001 gibt es keine Definition, was Cloud Computing bedeutet.

Also:

Halten wir uns am besten an NIST oder vergleichbare Definitionen!

ISO/IEC 27001 & Cloud Computing

© RUCON Gruppe 21Öffentlich | v1.0

Die ISO/IEC 27001 folgt dem Konzept der „Organisation“.

Darum lassen Sie uns eine Organisation anschauen:

ISO/IEC 27001

© RUCON Gruppe 22Öffentlich | v1.0

Quelle: „Hartmann Schedel, „Weltchronik 1493“, Blatt C

© RUCON Gruppe 23Öffentlich | v1.0

Ebene Aspekte Abgrenzung (Beispiele)

Organizational Scope Geschäftsprozesse Unterstützungsprozesse Aktivitäten

Verträge Aufbau- und

Ablauforganisation OLA`s

ICT Scope Informationsverarbeitende

Einrichtungen IT Systeme

Netzzonen ISO-OSI-Modell

Physischer Scope Räume Racks

Zutrittskontrollierbare Bereiche

ISO/IEC 27003

Empfehlungen auf 3 Ebenen…

© RUCON Gruppe 24Öffentlich | v1.0

Primary Assets (ISO 27005)

• Informationen

• Business Processes

Supporting Assets (ISO/IEC 27005)

• Hardware, Netzwerk, Software…

Technical Services (Hilfsebene)

Information Processing Facilities(ISO/IEC 27000)

(alternativ: Information Systems oder Business Services)

© RUCON Gruppe 29Öffentlich | v1.0

Muss direkt gesteuert werden

8.1

A.15.1.1

A.15.1.2

A.15.2.1

A.15.2.2

Muss den Auftrag gebenden Unternehmen durch Auftrag-nehmer nachgewiesen werden

A.15.1.3

Ausgelagerte Prozesse

© RUCON Gruppe 30Öffentlich | v1.0

Was heißt das nochmal konkret?

1. Kenne Deinen Anwendungsbereich, vor allem seine Grenzen!

2. Kenne die Abhängigkeiten zu externen Dienstleistungserbringern!

3. Erkenne Deine Geschäftsinformationen und bewerte deren Wertigkeit („Klassifizierung“)!

4. Analysiere und behandle Risiken!

5. Behandle Beziehungen zu Dienstleistungserbringern abhängig der Risiken!

< c

lick in p

resenta

tion

mode

toupdate

Was sind die Herausforderungen?

© RUCON Gruppe 36Öffentlich | v1.0

Steigendes Interesse an sektorspezifischen Zertifizierungen

ABER: ISO/IEC 27001 ist eine generelle Basis für ISMSe

Zertifizierungsstellen können z.B. Cloud Service ISMS Zertifizierungen auf Basis ISO/IEC 27001 und ISO/IEC 27017/27018 anbieten

Momentan sehen wir vor allem non-accredited Zertifizierungen wie CSA (Cloud Security Assessment)!

Die Herausforderung

© RUCON Gruppe 37Öffentlich | v1.0

ISO/IEC 27001 – Requirements for Information Secuity Management Systems – Certification Standard

ISO/IEC 27009 – Sector specific ISMS

ISO/IEC 27017 Cloud Service

Provider

ISO/IEC 27018 Cloud Service

PII

ISO/IEC 27002 Implementation

Guidance

Additional guidance

Reference

Implementation guidance

© RUCON Gruppe 38Öffentlich | v1.0

Fazit

Es werden spezifische Zertifizierungen möglich, aber immer auf Basis eines ISMS nach ISO/IEC 27001

Sektorspezifische Normen konkretisieren, interpretieren, ergänzen ISO/IEC 27001, insbesondere Anhang A

© RUCON Gruppe 39Öffentlich | v1.0

Information Security Policy

Kernthemen ISO/IEC 27017 und ISO/IEC 27018

Roles andResponsibilities

Access Control

CryptographicControls

Equipment andAssets

OperationsSecurity

Information Transfer

Information Security Incident

Management

Information Security Reviews

Personally Identifiable Information (PII) Protection

© RUCON Gruppe 50Öffentlich | v1.0

Im Rahmen der Masterarbeit

Informationssicherheit in LieferantenbeziehungenSupplier Management aus Sicht der ISO/IEC 27001:2013

Einfache Zufallsstichproben von Unternehmen D-A-CH

Schriftliche Befragung über Online-Fragebogen

167 Rückläufer

82 % der Rückmeldungen aus Deutschland

Jeweils 9 % aus Österreich und der Schweiz

Unternehmensbefragung

© RUCON Gruppe 51Öffentlich | v1.0

Hypothesen

Informationsklassifizierung wird nur vereinzelt angewendet

Unzureichende Kenntnis über rechtliche, behördliche und vertragliche Informationssicherheit vorhanden

Konkrete Maßnahmen werden in der Minderheit vereinbart

Überwachung erfolgt meist reaktiv

Ein Kriterienkatalog für Maßnahmen wird für sinnvoll gehalten

Eine Zertifizierung von Dienstleistern wird als hilfreich empfunden

< c

lick in p

resenta

tion

mode

toupdate

Der wolkige Ausblick

© RUCON Gruppe 53Öffentlich | v1.0

Alles kann, nichts muss…

Information Security sollte weder Enabler noch Bremser sein, sondern „Prozessbegleiter“.

Wir kommen faktisch um „Cloud Services“ nicht mehr herum.

Informationsklassifizierung spielt eine wesentliche Rolle als Basis für risikoorientierte Maßnahmen.

Zertifizierung von „Cloud Services“ ist möglich und kann ein Element in der Dienstleistersteuerung sein.

Herausforderung: legale, aber doch unerwünschte, Zugriffe auf Informationen und deren Auswertung

Vielen Dank!

Welche Fragen haben Sie noch?