© Hans G. Zeger 2012 e-commerce monitoring gmbh Kann Cloud Computing funktionieren? Folgt dem virtuellen Höhenflug der (reale) Absturz? Hans G. Zeger,

© Hans G. Zeger 2012

e-commerce monitoring gmbh

Kann Cloud Computing funktionieren?Folgt dem virtuellen Höhenflug der (reale)

Absturz? Hans G. Zeger, e-commerce monitoring GmbH



SaaS

BPaaS

PaaSIaaS

Die Cloud-Diskussion

Zwischen Euphorie und Verunsicherung

Do more with less

KostenersparnisVendor Managed

IaaS

BP

aaS

Polic

y

supply competition

Geo-redundante Datenhaltung

SaaS

Policy

IaaS supply competition


Policy

IaaS

SaaS

BPaaS Framework

IaaS PaaS

IaaS

PaaSPaaS S

aaS

PaaSBPaaS

PaaS

SaaS

Hybrid CloudPrivate Cloud

ComplianceTrust

Policy

SaaSFrameworkBPaaS

Hybrid CloudPrivate CloudCompliance

Trust

Polic

ySaaSFrameworkBPaaS

SaaS

BPaaS PaaS

Aus einer Cloud-Veranstaltung I

Aus einer Cloud-Veranstaltung II"Stellen Sie sich vor, ein Hacker in Indien verschafft sich Zugriff auf die Daten Ihres österreichischen Unternehmens, die ein deutscher Cloud Provider auf einem philippinischen Server lagert - wer haftet dann für den Schaden?"




simple technische und rechtliche Fragen I- verantwortlich für den Einsatz von Daten ist der Auftraggeber (z.B. § 4 Z 4 DSG 2000)

- den Auftraggeber trifft die Verpflichtung geeignete Dienstleister auszuwählen (z.B. § 10 Abs. 1 DSG 2000)

- der Auftraggeber hat schriftlich geeignete Vereinbarungen abzuschließen (z.B. § 11 Abs. 2 DSG 2000)

- der Auftraggeber hat die Tätigkeit der Dienstleister zu überwachen (z.B. § 11 Abs. 1 Z 6 DSG 2000)

- der Auftraggeber kann die Beiziehung von Sub-Dienstleistern verbieten (z.B. § 11 Abs. 1 Z 3 DSG 2000)

- den Auftraggeber treffen alle formalen Melde- und Registrierungspflichten (z.B. § 10 Abs. 2, §§ 17-19 DSG 2000)




simple technische und rechtliche Fragen II

- der Auftaggeber hat für die Umsetzung der richtigen sicherheitstechnischen Maßnahmen zu sorgen(z.B. § 14 DSG 2000)

Die Cloudfragen sind gelöst!Realität oder Fiktion?




Man sollte die Annahmen kennen!- Bestimmungen gehen davon aus, dass der Auftraggeber Herr des gesamten IT-Prozesses ist

- Bestimmungen gehen davon aus, dass der Auftraggeber alle Dienstleisterverträge vorgeben kann und die gesamte Supply-Chain unter Kontrolle hat

- Bestimmungen gehen davon aus, dass der Auftraggeber ausreichendes technisches KnowHow zur Überwachung der IT-Prozesse hat und geeignete Sicherheitsvorgaben machen kann

- Bestimmungen gehen davon aus, dass ausreichende rechtliche und technische Kapazitäten bestehen, um einen Haftungsfall korrekt zuzuordnen




Was ist die Cloud-Realität?

"Stellen Sie sich vor, Sie kommen um 9 Uhr gut erholt in das Büro und ihre Mitarbeiter teilen Ihnen mit, dass sie keinen Brief mehr schreiben können, keine Kundendaten abrufen können, keine Buchungen vornehmen können. Leider konnte man Sie nicht anrufen, da die SaaS-Telefonanlage auch nicht funktioniert. Lieferanten konnte man auch keine kontaktieren, da Kontakt- und Vertragsdaten im nicht mehr zugänglichen Online-Archiv liegen."

Was tun Sie als nächstes?




Kann Cloud-Computing funktionieren?

Ja, aber .....- Kennen Sie alle expliziten und impliziten (informellen) Geschäftsprozesse im Unternehmen? Sind sie vollständig dokumentiert?

- Welche Bedeutung hat implizites Wissen im Unternehmen?

- Wie haben Sie Authentifizierung in Ihrem IT-System gelöst?

- Wie gut wissen Sie über Ihre Schatten-IT bescheid?

- Kennen Sie alle Backup- und Continuity Management – Prozesse im Unternehmen?

- Welche formellen und informellen Kontrollmechanismen bestehen zur Sicherung der Datenqualität?




Kann Cloud-Computing funktionieren? II

Ja, aber .....- Welche Bedeutung hat das disziplinär gestützte Weisungsrecht der Vorgesetzten gegenüber den Mitarbeitern? Durch welche Vertragskonstruktionen werden Sie es gegenüber dem Cloud-Anbieter ersetzen?

- Welche Bedeutung hat soziale Kontrolle für die Abwicklung Ihrer Geschäftsprozesse?

- Welche Bedeutung haben adhoc-Anpassungen bei Ihren Geschäftsprozessen?

- Können Sie jeden Geschäftsprozess lückenlos dokumentieren und die Verantwortung zuweisen?




Kann Cloud-Computing funktionieren? III

Ja, aber .....- Welche Bedeutung spielt die informelle Auftragserteilung in Ihrem Unternehmen?

- Benötigen Sie tatsächlich immer die letzte Softwareversion eines Produkts?

- Welche Strategien/Zeitpläne haben Sie für IT-Wartungsfenster (Updates, Neuinstallationen, ...)? Können Sie diese Strategien auch beim Cloud-Anbieter durchsetzen?

- Welche Continuity - Alternativen haben Sie bei kurzfristigem / dauerhaftem Ausfall des Cloud-Anbieters?




Kann Cloud-Computing funktionieren? IV

Ja, aber .....- Haben Sie einen Überblick über die Geschäftstätigkeit des Cloud-Anbieters?

- Können Sie sicher sein, dass alle seine Aktivitäten legal sind und nicht auf ihre Dienste Auswirkungen haben? (Beispiel: Online-Archive)

- Kann Ihr Cloud-Anbieter wegen anderer Kunden ins Visier von Sicherheitsbehörden, Hackern, Mitbewerbern, ... gelangen?

- Wissen Sie auch nach drei Jahren noch, wer Ihr Vertragspartner ist?

- Nach welchem Recht werden Haftungsfragen abgehandelt?

- Sind Sie überhaupt in der Position Cloud-Anbietern Geschäftsbedingungen vorzuschlagen?




Kann Cloud-Computing funktionieren? V

Wer das Gefühl hat, ...- all die aufgeworfenen Fragen schon längst gelöst zu haben,

- sein Geschäft formal völlig zu verstehen,- seine erforderliche IT-Infrastruktur vollständig definieren zu können,

- seine Lieferanten, Mitarbeiter und Gehilfen jederzeit ausreichend motivieren, kontrollieren und/oder disziplinieren zu können, ...

... der ist Cloud-Ready! Wen ich noch auf den einen oder anderen offenen Punkt hinweisen konnte, der sollte von Cloud-Computing die Finger lassen, er hat schon jetzt genug Probleme.



Dr. Hans G. Zegere-commerce monitoring gmbhA-1010 Wien, Vorlaufstraße 5/6

Tel.: +43 1 53 20 944Fax.: +43 1 53 20 974Mail persönlich: [email protected]

Zertifizierung: http://www.a-cert.ate-commerce: http://www.e-rating.at

Web2.0: http://web2.0.freenet.atPersonal Page:http://www.zeger.at

Kontakt



Ich danke für Ihre Aufmerksamkeit




Zuletzt:Man sollte auf Erfahrungen aus anderen IT-Epochen/Modeströmungen nicht vergessen:

- Workstation/Mainframe-Diskussion- Client-Server- Outsourcing- Online-Shops




Zwischen Hoffen und Bangen

Do more with less

KostenersparnisVendor Managed

IaaS

BP

aaS

Polic

y

supply competition


SaaS

Policy

IaaS supply competition


Policy

IaaS

SaaS

BPaaS Framework

IaaS PaaS

IaaS

PaaSPaaS S

aaS

PaaSBPaaS

PaaS

SaaS

Hybrid CloudPrivate Cloud

ComplianceTrust

Policy

SaaSFrameworkBPaaS

Hybrid CloudPrivate CloudCompliance

Trust

Polic

ySaaSFrameworkBPaaS

SaaS

BPaaS PaaSSaaS

BPaaS

PaaSIaaS



Dr. Hans G. ZegerARGE DATENA-1160 Wien, Redtenbachergasse 20

Tel.: +43 676 / 9107032Fax.: +43 1 / 53 20 974Mail persönlich: [email protected]

Verein: http://www.argedaten.at

Web2.0: http://web2.0.freenet.atPersonal Page:http://www.zeger.at



Mehr zu unserer "Lust an totaler Kontrolle"

WIR WOLLEN SICHERHEIT, Überraschungen sind Bedrohungen. Aus dem Bedürfnis, alles planen zu können, erwächst die Notwendigkeit totaler Kontrolle: Wir werden identifizierbar, berechenbar, steuerbar; wir werden zu Objekten in totalen Institutionen.

364 Seiten, Format 125x205, Hardcover, EUR 22,-, ISBN: 9-783701-731022Residenz Verlag 2008



DSG 2000 - Grundrecht

Einschränkungen des Verbots möglich aufgrund:- der Zustimmung des Betroffenen- von Gesetzen (Behörden)- Wahrung überwiegender Interessen Dritter/Auftraggeber- lebenswichtiger Interessen des Betroffenen- "allgemeiner" Verfügbarkeit von Daten

DSG2000 §1 (Verfassungsbestimmung):

"alles ist verboten"

umfassender Geheimhaltungsanspruch

Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")

Subjektive Rechte der Betroffenen

Rechtsdurchsetzung



Grundlagen DSG 2000 / Privatsphäre

Ausblick DSG Novelle

Besondere Bestimmungen

Genehmigung / Registrierung

Betroffenenrechte

Geplanter Seminarablauf

Sicherheit / Strafbestimmungen



Grundlagen des DSG 2000

Die wichtigsten Begriffe

Zustimmung

Zulässigkeit der Datenverwendung

Rechtmäßige Datenanwendung



Ziele neuer Datenschutzregelungen:

Datenverarbeitungen sind allgegenwärtig

Datenverarbeitungen haben für die Betroffenen transparent zu sein

Sowohl öffentlich-rechtliche, als auch privat-rechtliche Datenverarbeitungen können in Grundrechte eingreifen

Wesentlich ist der Schutz der Privatsphäre, nicht die Regulierung der Verarbeitungsform

Ziel ist die Schaffung "fairer" Vereinbarungen mit Betroffenen

DSG 2000 - Grundlagen



Verwenden von Daten

Z8

Übermitteln Verarbeiten

Z9

Z12

Daten-anwendung

Z7

Auftraggeber

Z4

ÜberlassenErmitteln

Z10 Z11

Dienstleister

Z5

AuftragAuswerten,Sortieren,Speichern,Analsysieren,Korrigieren,Ausdrucken,Anzeigen, ...

DSG 2000 - Grundlagen

Die wichtigsten Begriffe (§4 DSG Z ...)



http://www.argedaten.at/

http://www.dsk.gv.at/

http://ec.europa.eu/justice_home/fsj/privacy/index_de.htm

http://www.datenschutzzentrum.de/

http://www.gdd.de/

Onlineinformation

http://www.datenschutzverein.de/



Anhang

Verschwiegenheitspflichten

Cybercrime

Standard- und Musteranwendungen

DVR-Meldung


e-commerce monitoring gmbhDr. Hans G. Zeger © Hans G. Zeger 2009

"Videoüberwachung war ein Fiasko" Mike Neville, Chef der CCTV-Einheit bei Scotland Yard,

2008

Trotzdem:

"Wir brauchen mehr Kameras, mehr Personal, bessere

Software, ..."derselbe, 2008

"Wir können beliebig viele Postkutschen aneinander reihen, niemals wird daraus eine

Eisenbahn"Joseph Schumpeter, Nationalökonom, 1911



Missbrauchsopferdatenbank

Melderegister

Kondomregister

KFZ-ZulassungsregisterInsolvenzregister

InfektionsregisterIdentitätsregister

Identitätsdokumentenregister"Hooligan"register

Herzschrittmacher-Register

Grundbuch

Giftbezugsbewilligungsregister

Gewerberegister

Gebäuderegister Führerscheinregister

Fremdenregister

Familienbeihilfenregister

Ergänzungsregister Epidemieregister

DopingregisterBildungsstandsregister

Bevölkerungsregister

SAAS

SAAS

Adressregister

Abgabenverwaltungsregister

Staatsbürgerschaftsregister

Sicherheitsmonitor

Sozialversicherungs-Datenbank

Schweinedatenbank

Schülerregister

Rinderdatenbank

Register für Prostituierte

Personenstandregister

Personeninformationsregister

Patientenverfügungsregister

Patientenregister

PassregisterOrganisationsregister

Testamentsregister

Suchtmittelregister

SubstitutionsregisterStudienbeitragsregister

Studentenregister

IAAS

SteuerregisterStandarddokumentenregister

Stammzahlenregister

StallregisterWaffenregister

IAASIAAS

Visadatenbank

VerwaltungsIAAS

VereinsregisterUnternehmensregister

Treuhandregister

Wohnungsregister

WiderspruchsregisterSAAS

Kondomregister

KFZ-Zulassungsre

gister

Gebäuderegister

SAAS

Register fü

r Prosti

tuierte

Standarddokumentenregister

IAASIAAS



Es sind nicht Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern.

© Hans G. Zeger 2012 e-commerce monitoring gmbh Kann Cloud Computing funktionieren? Folgt dem virtuellen Höhenflug der (reale) Absturz? Hans G. Zeger,

Documents

cloud anbieters

clouddiskussion man

auftraggeber kann

sie kommen um

knnen sie sicher sein

stellen sie sich vor

haben sie einen berblick

bentigen sie tatschlich