\documentclass{f4_beamer} % Basic setup \usepackage[german]{babel} % Sprachpaket für Deutsch (Umlaute, Trennung,deutsche Überschriften) \usepackage{graphicx,hyperref} % Graphikeinbindung, Hyperref (alles klickbar, Bookmarks) \usepackage{amssymb} % Math. Symbole aus AmsTeX \usepackage[utf8]{inputenc} % Umlaute % Custom packages \usepackage[autostyle=true,german=quotes]{csquotes} % Anführungszeichen mit \enquote{} \usepackage{textcomp} % Zusätzliches Package für °C \usepackage{listings} % Codesnippets \usepackage{scrhack} % Hack for lstlisting i suspect :-/ \usepackage{xcolor} \usepackage{float} \usepackage{soul} \usepackage{verbatim} % für comment-environment \usepackage{amsmath} % Setup für Codeblocks \lstset{ % Optionen breaklines=true, breakatwhitespace=true, breakautoindent=true, frame=single, %framexleftmargin=19pt, inputencoding=utf8, %language=awk, %numbers=left, %numbersep=8pt, showspaces=false, showstringspaces=false, tabsize=1, %xleftmargin=19pt, captionpos=b, % Styling basicstyle=\footnotesize\ttfamily, commentstyle=\footnotesize, keywordstyle=\footnotesize\ttfamily, numberstyle=\footnotesize, stringstyle=\footnotesize\ttfamily, } % Hack für Sonderzeichen in Codeblocks \lstset{literate=% {Ö}{{\"O}}1 {Ä}{{\"A}}1 {Ü}{{\"U}}1 {ß}{{\ss}}1 {ü}{{\"u}}1 {ä}{{\"a}}1 {ö}{{\"o}}1 {°}{{${^\circ}$}}1 } % Broken citation needs broken command \newcommand\mathplus{+} % Actual beamer related document setup \title{Cloud-Angebote und IT-Compliance} %\subtitle{Umgehungsversuche und ISO 27001} \author{Jan Philipp Timme} \date{\today} % Content below this line \begin{document} \section{Compliance und IT-Compliance} \subsection{Begriff: Compliance} \begin{frame}{Begriff: Compliance} \begin{itemize} \item Begriff aus betriebswirtschaftlicher Fachsprache \item engl.: \enquote{Compliance} $\rightarrow$ dt.: Einhaltung, Befolgung, Regelkonformität \item Siehe auch \enquote{to comply} $\rightarrow$ einwilligen, nachgeben, den Auflagen entsprechen \item $\rightarrow$ \textbf{Einhaltung von Gesetzen und Vorschriften} \item z.B.: BGB, HGB, AO, GmbHG, JArbSchG, BDSG, Normen, EU-Richtlinien, internationale Konventionen, \dots \end{itemize} \end{frame} \subsection{Einstieg in Compliance} \begin{frame}{Einstieg in Compliance} \begin{itemize} \item Menge zu berücksichtigender Regeln von Unternehmen abhängig \item Ab gewissem Umfang ist juristische Unterstützung notwendig \item Mögliche Optionen: \begin{itemize} \item Juristische Beratung einkaufen \item Mitarbeiter für juristische Fragen einstellen \item Eine eigene Rechtsabteilung aufbauen \end{itemize} \item $\rightarrow$ Erste Kosten entstehen \end{itemize} \end{frame} \subsection{Compliance sicherstellen} \begin{frame}{Compliance sicherstellen} \begin{itemize} \item Compliance Management System (CMS) \item Beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität \item $\rightarrow$ Integriert sich tief in das Unternehmen \item Ziele: \begin{itemize} \item \textbf{Risiken} für Regelverstöße rechtzeitig \textbf{erkennen, analysieren und verhindern} \item Angemessene Reaktionen, falls Regelverstoß dennoch eingetreten ist \end{itemize} \item Zusätzlicher Aufwand $\rightarrow$ mehr Mitarbeiter $\rightarrow$ mehr Kosten \item Aber: Vermeidet langfristig Kosten! (wie eine Versicherung) \end{itemize} \end{frame} \subsection{Begriff: IT-Compliance} \begin{frame}{Begriff: IT-Compliance} \begin{itemize} \item Compliance im IT-Bereich \item $\rightarrow$ Betrifft IT-Systeme des Unternehmens \item Kern-Anforderungen der IT-Compliance sollen gewährleistet werden: \begin{itemize} \item Informationssicherheit \item Verfügbarkeit \item Datenaufbewahrung \item Datenschutz \end{itemize} \item Laut einer Studie von CSC fließen ca. $2/3$ des IT-Budgets einer Bank in IT-Compliance und Instandhaltung von Systemen. \end{itemize} \end{frame} \subsection{IT-Compliance: Nichts als teurer Unfug?} \begin{frame}{IT-Compliance: Nichts als teurer Unfug?} \begin{itemize} \item Einhaltung von Gesetzen oder Vorschriften wird nicht belohnt \item Aber: Strafen bei Verstoß gegen Gesetz oder Vorschrift! \begin{itemize} \item Bußgelder, Gewinnabschöpfung, Verfall von Gewinn \item \textbf{Haftstrafen} für Vorstand einer AG, Geschäftsführer einer GmbH, \dots \end{itemize} \item Und: Zusätzliche Kosten durch Folgeschäden: \begin{itemize} \item Verfahrenskosten \item Schadenersatzansprüche \item Rückabwicklungen \item Imageverlust / Vertrauensverlust, \dots \end{itemize} \item $\rightarrow$ (IT-)Compliance ist grundlegendes Unternehmensziel \end{itemize} \end{frame} \subsection{Vorteile von IT-Compliance} \begin{frame}{Vorteile von IT-Compliance} \begin{itemize} \item Unternehmensintern: \begin{itemize} \item Frühzeitige Betrachtung von relevanten Gesetzen, Risiken, \dots \item \enquote{Volles Risikobewusstsein} anstatt \enquote{Blindflug} \item $\rightarrow$ (Daten-)Sicherheit durch strukturiertes Vorgehen \end{itemize} \item Extern: \begin{itemize} \item Schafft Vertrauen, demonstriert Stabilität und Robustheit \item Ermöglicht Aussprechen von Garantien bezüglich (Daten-)Sicherheit \item Erfüllt Anforderungen von Kunden und Vertragspartnern \end{itemize} \item \enquote{\dots aber wie kann ich jemandem meine (IT-)Compliance nachweisen?} \end{itemize} \end{frame} \section{Cloud-Angebote} \subsection{Begriff: Cloud-Angebote} \begin{frame}{Begriff: Cloud-Angebote} \begin{itemize} \item Virtuelle Maschinen, Speicher, Anwendungen und Plattformen \enquote{on demand} \item Dynamisch anpassbare Dienstleistungen, dynamische Tarife \item Infrastruktur auf Rechenzentren in mehreren Ländern weltweit \item $\rightarrow$ Global vernetzte Infrastruktur \item $\rightarrow$ Daten werden oft weltweit verteilt gespeichert \item Je nach Standort andere Rechtslage \item $\rightarrow$ Anbieter hat Vielzahl von Gesetzen und Vorschriften zu erfüllen! \end{itemize} \end{frame} \subsection{Cloud-Angebote aus Sicht der Kunden} \begin{frame}{Cloud-Angebote aus Sicht der Kunden} \begin{itemize} \item Bedarf an einem Service mit festen Anforderungen \item Beispiel: Deutsche Versicherung möchte Kundendaten in der Cloud speichern \begin{itemize} \item Bundesdatenschutzgesetz muss eingehalten werden \item Kundendaten sind vertraulich $\rightarrow$ müssen vertraulich bleiben! \item Die Daten sollen jederzeit verfügbar sein \item Die Daten sollen Deutschland nicht verlassen (Garantie der Versicherung) \end{itemize} \item $\rightarrow$ Anbieter muss Einhaltung dieser Bedingungen belegen können \item Und: Der Anbieter will dazu \textbf{weltweit} in der Lage sein \end{itemize} \end{frame} \section{ISO 27001} \subsection{Steckbrief: ISO 27001} \begin{frame}{Steckbrief: ISO 27001} \begin{itemize} \item \textbf{Internationaler Standard} aus dem Jahr 2005 (überholt in 2013) \item Gehört zur Familie der ISO 2700X \item Anforderungen an ein Information Security Management System (ISMS) \begin{itemize} \item Ähnlicher Ansatz zu Compliance Management System \item Fokus auf Datensicherheit \item $\rightarrow$ Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten \item Anwendung von Risikomanagementprozessen \end{itemize} \item Bonus: Man kann sich nach ISO 27001 zertifizieren lassen! \end{itemize} \end{frame} \subsection{Inhalte und Ziele der ISO 27001} \begin{frame}{Inhalte der Ziele ISO 27001} \begin{itemize} \item Enthält Anforderungen an ein ISMS \item Top-Down Ansatz (\enquote{Top management shall ensure that \dots}) \item Enthält Anhang mit Definitionen von Kontrollen \item Anwendungsgebiete: (Auszug) \begin{itemize} \item Managen von \textbf{Sicherheitsrisiken} \item Sicherstellung der Einhaltung von Gesetzen und Vorschriften \item Definition von Managementprozessen zum Managen von Informationssicherheit \item Nutzung durch Auditoren als \enquote{Checkliste} \end{itemize} \end{itemize} \end{frame} \subsection{Auswirkungen der ISO 27001} \begin{frame}{Auswirkungen der ISO 27001} \begin{itemize} \item Verursachte Kosten: \begin{itemize} \item Interne Kosten verursacht durch ISMS und zugehöriger Dokumentation \item Externe Kosten durch Beauftragung von Beratungsunternehmen \item Audit Kosten durch Zertifizierungsunternehmen \end{itemize} \item Konformität nach ISO 27001 zeigen? \begin{itemize} \item Selbst Konformität verkünden \item Kunden/Vertragspartner bitten, die Konformität zu bestätigen \item Verifikation der Konformität durch externen Auditor ($\rightarrow$ Zertifizierung) \end{itemize} \end{itemize} \end{frame} \subsection{Nutzen der ISO 27001} \begin{frame}{Nutzen der ISO 27001} \begin{itemize} \item Langfristige Kostensenkung durch strukturierte Prozesse \item Risikominimierung \begin{itemize} \item $\rightarrow$ Geringere Haftungs- und Geschäftsrisiken \item $\rightarrow$ Geringere Versicherungsbeiträge \end{itemize} \item Höhere Wettbewerbsfähigkeit durch belegbare Datensicherheit \item $\rightarrow$ Imageverbesserung \end{itemize} \end{frame} \subsection{Relevanz der ISO 27001 für Cloud-Angebote} \begin{frame}{Relevanz der ISO 27001 für Cloud-Angebote} \begin{itemize} \item Internationaler Standard, weltweit anerkannt \item $\rightarrow$ relevant für globale Anbieter von Cloud-Services \item Starker Fokus auf Datensicherheit \item $\rightarrow$ Kunden können \item Zertifizierung und regelmäßige Audits stellen Konformität sicher \end{itemize} \end{frame} \subsection{} \begin{frame}{} \begin{itemize} \item \end{itemize} \end{frame} \section{Fazit} \subsection{Abschließendes Fazit} \begin{frame}{Abschließendes Fazit} \begin{itemize} \item Compliance lohnt sich \item Bietet Sicherheit \item Risikomanagement ist wichtig \item Kunden wollen sich absichern \item Lieber vorher investieren als hinterher die Zeche zahlen! \end{itemize} \end{frame} % Probably not used, not sure yet. \begin{comment} \begin{frame}{Literaturverzeichnis} % Literaturverzeichnis % Schlüssel als Buchstaben \bibliographystyle{alpha} \bibliography{Literaturverweise} % Und JETZT zum Inhaltsverzeichnis hinzufügen. Geil! \addcontentsline{toc}{chapter}{Literaturverweise} \end{frame} \end{comment} \end{document} % No more content below this line