From 67070c753c8afa6bf5fe649304b4aad6a51a5f85 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Fri, 4 Nov 2016 19:12:37 +0100 Subject: [PATCH] Generic commit --- document.tex | 53 +++++++--------------------------------------------- 1 file changed, 7 insertions(+), 46 deletions(-) diff --git a/document.tex b/document.tex index a40aa0b..97f25ce 100644 --- a/document.tex +++ b/document.tex @@ -125,60 +125,21 @@ Das Einführen von IT-Compliance bringt Vorteile mit sich, die sich hauptsächli Nach außen hin schafft IT-Compliance Vertrauen bei Vertragspartnern und Kunden und demonstriert Stabilität und Robustheit des Unternehmens. Weiterhin ist es dem Unternehmen möglich, Garantien bezüglich der Datensicherheit auszusprechen, sowie Anforderungen von Kunden oder Vertragspartnern diesbezüglich zu erfüllen. Es bleibt einzig und allein das Problem, wie die IT-Compliance einem Kunden oder Vertragspartner gegenüber nachgewiesen werden kann. Hierrauf wird in Kapitel~\ref{cpt:iso27001} näher eingegangen. -\begin{itemize} -\item Unternehmensintern: -\begin{itemize} -\item Frühzeitige Betrachtung von relevanten Gesetzen, Risiken, \dots -\item \enquote{Volles Risikobewusstsein} anstatt \enquote{Blindflug} -\item $\rightarrow$ (Daten-)Sicherheit durch strukturiertes Vorgehen -\end{itemize} -\item Extern: -\begin{itemize} -\item Schafft Vertrauen, demonstriert Stabilität und Robustheit -\item Ermöglicht Aussprechen von Garantien bezüglich (Daten-)Sicherheit -\item Erfüllt Anforderungen von Kunden und Vertragspartnern -\end{itemize} -\item \enquote{\dots aber wie kann ich jemandem meine (IT-)Compliance nachweisen?} -\end{itemize} - \section{Cloud-Angebote} \paragraph{Begriff: Cloud-Angebote} -\begin{itemize} -\item Virtuelle Maschinen, Speicher, Anwendungen und Plattformen \enquote{on demand} -\item Dynamisch anpassbare Dienstleistungen, dynamische Tarife -\item Infrastruktur auf Rechenzentren in mehreren Ländern weltweit -\item $\rightarrow$ Global vernetzte Infrastruktur -\item $\rightarrow$ Daten werden oft weltweit verteilt gespeichert -\item Je nach Standort andere Rechtslage -\end{itemize} +Der Begriff \emph{Cloud-Angebote} ist ein von Kontext und Betrachtung abhängiger Begriff. Im Kontext dieses Dokuments beschreibt er Dienstleistungen eines Anbieters, welcher virtuelle Maschinen, Speicher, Anwendungen und Plattformen einem Kunden \enquote{on demand} zur Verfügung stellt. Charakteristisch für diese Art von Dienstleistung ist die dynamische Anpassbarkeit des Leistungsumfangs, sowie die dynamischen Tarife, nach denen die Leistung dem Kunden berechnet wird. + +Bietet ein Anbieter Cloud-Angebote an, so verfügt er über eine technische Infrastruktur, die auf Rechenzentren in mehreren verschiedenen Ländern weltweit verteil ist, welche global vernetzt sind. Somit werden Daten, welche im Rahmen einer solchen Dienstleistung vom Kunden abgelegt werden weltweit verteilt gespeichert. Da je nach Standort der einzelnen Rechenzentren unterschiedliche Gesetze und Vorschriften gelten, ergeben sich hierfür gleich mehrere Problemstellen. \paragraph{Cloud-Angebote aus Sicht der Kunden} -\begin{itemize} -\item Eigene IT kostet zu viel, es soll gespart werden -\item $\rightarrow$ Outsourcen mit speziellen Anforderungen an Datensicherheit -\item Beispiel: Deutsche Versicherung möchte Kundendaten in die Cloud verschieben -\begin{itemize} -\item Bundesdatenschutzgesetz muss eingehalten werden -\item Kundendaten sind vertraulich $\rightarrow$ müssen vertraulich bleiben! -\item Die Daten sollen jederzeit verfügbar sein -\item Die Daten sollen Deutschland nicht verlassen -\end{itemize} -\item Kunde sucht international günstigen Anbieter, der diese Anforderungen belegbar erfüllen kann -\end{itemize} +Aus Perspektive eines Kunden von Cloud-Angeboten ergibt sich die Nutzung dieser Angebote oft aus dem Willen, Kosten einzusparen. Kostet die eigene IT-Infrastruktur in Verbindung mit der dafür nötigen IT-Compliance zu viel, so kann es sich lohnen, die benötigten Dienste durch ein Cloud-Angebot zu ersetzen. Hierbei ist jedoch kritisch, dass die benötigten Anforderungen an die Datensicherheit eingehalten werden. Möchte beispielsweise eine deutsche Versicherung ihre Kundendaten in die Cloud verschieben, so muss weiterhin darauf geachtet werden, dass das Bundesdatenschutzgesetz eingehalten wird. Des weiteren müssen die Kundendaten vertraulich bleiben, jederzeit verfügbar sein und nicht außerhalb von Deutschland gespeichert werden. Sucht ein Kunde nun international einen Anbieter mit diesen Kriterien, so ist es notwendig, dass der Anbieter diese Anforderungen belegbar erfüllen kann. \paragraph{Cloud-Angebote aus Sicht der Anbieter} -\begin{itemize} -\item Pro Standort unterschiedliche Gesetze und Vorschriften zu erfüllen -\item Je mehr Standorte in unterschiedlichen Ländern, desto mehr Gesetze finden Anwendung -\item $\rightarrow$ (IT-)Compliance sichert eigene Existenz -\item Kunden haben je nach Land unterschiedliche Rechte -\item $\rightarrow$ Angebote müssen entsprechend konform gehen -\item Kunden haben Anforderungen an die Datensicherheit -\item $\rightarrow$ Anbieter muss Einhaltung dieser Bedingungen belegen können -\item Und: Der Anbieter will dazu \textbf{weltweit} in der Lage sein -\end{itemize} +Aus Perspektive des Anbieters ergibt sich aus der Verpflichtung, alle Gesetze und Vorschriften der verschiedenen Länderstandorte zu erfüllen, eine sehr große Herausforderung. Je mehr Standorte sich in unterschiedlichen Ländern befinden, desto mehr Gesetze finden Anwendungen und die Komplexität steigt. IT-Compliance sichert an dieser Stelle die eigene Existenz des Unternehmens des Anbieters, da mit einer solchen Menge an Gesetzen viel mehr Risiken verbunden sind, dass diese nicht eingehalten werden können. + +Hinzu kommt, dass Kunden aus unterschiedlichen Ländern gegebenenfalls unterschiedliche Rechte genießen, mit denen die Angebote des Anbieters entsprechend übereinstimmen müssen. Da die Kunden oft auch Anforderungen an die Datensicherheit haben, muss der Anbieter die Einhaltungen dieser belegen können. Um Kunden zu gewinnen und zu überzeugen, möchte der Anbieter dementsprechend in der Lage sein, weltweit nachweisen zu können, dass sein Unternehmen einen bestimmten Grad an Datensicherheit gewährleisten kann. \section{ISO 27001}\label{cpt:iso27001}