Textversion
Wer bietet was Recht Markt Produkte Services Whitepapers Fachartikel Compliance-Kiosk Schwerpunkte Branchen Videothek Schulungen Literatur Governance Webinare Compliance-Lexikon Success Stories Specials Security-Telegramm SaaS / Cloud-Telegramm Compliance-Archiv Security & Safety
Home Markt Hinweise & Tipps

Markt


Hintergrund Hinweise & Tipps Interviews Invests Kommentare, Meinungen, Stellungnahmen Nachrichten Personen Studien, Umfragen, Untersuchungen Meinungsumfragen Unternehmen

Events / Veranstaltungen Datenschutzerklärung Newsletter Marktübersichten Stellenanzeigen - Jobsuche Compliance-Shop Shopping-Portal & Shopping Mall Impressum Kontakt: Pressemitteilungen Links RSS: Compliance-Magazin.de-News Feed abonnieren RSS: IT SecCity.de-News Feed abonnieren Geschäftsbedingungen Wichtiger Hinweis zu Rechtsthemen Compliance-Magazin für Mobile Devices Sitemap Suche Mediadaten

Compliance-Praktiken beim Cloud Computing


Tipps zur Cloud-Security: Datenschutz und der Einhaltung von Compliance-Programmen
Sicherheit der Cloud Computing-Infrastruktur - der Dreh- und Angelpunkt

Anzeige

(13.01.12) - Mit der steigenden Nutzung von Cloud Computing wächst mehr denn je die Notwendigkeit, wirksame Security- und Compliance-Praktiken einzuführen und diese auf dem neusten Stand zu halten.

"Die Absicherung einer Cloud-basierten Rechnerumgebung ist entscheidend für die Erstellung eines robusten Compliance-Programms", sagt Bart Vansevenant, Executive Director, Global Security Solutions bei Verizon. "Die grundlegenden Elemente – Planung, Design und Betrieb – sind für traditionelle wie für Cloud-Plattformen identisch. Mit bewährten Best Practices für Security sowie besonderem Augenmerk auf den speziellen Eigenarten und Merkmalen der Cloud sind Unternehmen in der Lage, Compliance-Programme zu entwickeln und aufrechtzuerhalten. Gleichzeit machen sie sich die Agilität, Flexibilität und Wirtschaftlichkeit der Cloud zunutze."

Lesen Sie zum Thema "Cloud Computing" auch: SaaS-Magazin.de (www.saasmagazin.de)

Verizon hat die folgenden Best Practices und Tipps zusammengestellt, damit Unternehmen, die sich die Vorteile der Cloud zunutze machen, compliant bleiben und gleichzeitig für die Sicherheit ihrer Netzwerke, Anwendungen und Daten sorgen:

Sicherheit der Cloud-Infrastruktur - der Dreh- und Angelpunkt
• Physische Sicherheit. Die technischen Einrichtungen sollten mit Klimaanlage sowie Rauchmelde- und Brandschutzequipment ausgerüstet werden, ergänzt durch eine unterbrechungsfreie Stromversorgung und Sicherheitspersonal rund um die Uhr. Wählen Sie einen Provider, der mit Biometriedaten umgehen kann, d.h. Fingerabdruck- und Gesichtserkennung beherrscht und diese auch zur Zugangskontrolle einsetzt. Die gesamte Einrichtung sollte von Videokameras überwacht werden.

• Netzwerksicherheit und logische Trennung. Es sollten virtualisierte Versionen von Firewalls und Intrusion Prevention-Systemen zum Einsatz kommen. Die Teile der Cloud computing-Umgebung, in denen sich sensible Systeme und Daten befinden, sollten isoliert werden. Es sollten regelmäßig Audits durchgeführt werden, die sich branchenweit anerkannter Methoden und Standards bedienen wie etwa SAS 70 Type II, Payment Card Industry Data Security Standard, ISO 27001/27002 und Cloud Security Alliance Cloud Controls Matrix.

• Inspektion. An den Gateways sollten Antivirus- und Anti-Malware-Anwendungen sowie Content-Filtering eingesetzt werden. Wo mit sensiblen Informationen wie etwa Finanz- und personenbezogenen Daten und geistigem Eigentum umgegangen wird, sollten Data Loss Prevention-Vorkehrungen in Betracht gezogen werden.

• Administration. Besondere Aufmerksamkeit sollte den Cloud-Hypervisoren gewidmet werden, also jenen Servern, auf denen mehrere Betriebssysteme gleichzeitig laufen. Sie bieten die Möglichkeit, eine komplette Cloud-Umgebung zu verwalten. Zahlreiche Sicherheits- und Compliance-Anforderungen sehen verschiedene Netzwerk- und Cloud-Administratoren vor, um so für eine Trennung der Pflichten und zusätzlichen Schutz zu sorgen. Der Zugang zu virtuellen Umgebungsmanagement-Interfaces sollte stark eingeschränkt sein und Application Programming Interfaces oder APIs sollten komplett unzugänglich oder deaktiviert sein.

• Umfassendes Überwachen und Protokollieren. In nahezu sämtlichen Standards wird die Fähigkeit zur Überwachung und Kontrolle von Zugängen zu Netzwerken, Systemen, Anwendungen und Daten gefordert. Eine Cloud-Umgebung, ganz gleich ob inhouse oder outgesourced, muss ebenfalls diese Möglichkeit bieten.

Cloud Application Security - ein Muss
• Systemsicherheit. Virtual Machines oder VMs sollten durch Cloud-spezifische Firewalls, Intrusion Prevention-Systeme und Antivirenprogramme geschützt werden, ergänzt mit durchgängigen und in Programmen organisierten Patch-Management-Prozessen.

• Anwendungs- und Datensicherheit. Wo immer möglich, sollten die Anwendungen dedizierte Datenbanken nutzen, auch sollte der Zugriff von Anwendungen auf Datenbanken Beschränkungen unterliegen. Zahlreiche Security-Compliance-Standards fordern, dass Anwendungen und damit verbundene Datenbanken überwacht und Vorgänge protokolliert werden.

• Authentifizierung und Autorisierung. Für Usernamen und Passwörter sollte Two-Factor Authentication wie etwa digitale Authentifizierung verwendet werden; sie sind für den Remote-Zugriff und jede Art von Zugangsprivilegien unverzichtbar. Dabei sollten die Rollen autorisierter User klar umrissen sein und auf dem Minimum gehalten werden, das zur Erfüllung der zugewiesenen Aufgaben erforderlich ist. Passwortverschlüsselung ist ebenfalls ratsam. Darüber hinaus sollten Authentifizierungs-, Autorisierungs- und Accounting-Pakete nicht zu sehr individualisiert sein, da dies häufig zu einer Schwächung der Sicherheitsmaßnahmen führt.

• Vulnerability Management. Anwendungen sollten so konzipiert sein, dass sie gegenüber verbreiteten Exploits, wie sie in der Open Web Application Security Project (OWASP) Top 10 aufgelistet sind, keine Schwachstellen aufweisen. Anwendungen, die in der Cloud laufen, müssen regelmäßig gepatcht werden, ebenso sind Vulnerability Scanning, unabhängige Sicherheitstests und kontinuierliche Überwachung erforderlich.

• Datenspeicherung. Ein Unternehmen sollte die Arten von Daten kennen, die in einer Cloud-Umgebung gespeichert werden, und je nach Erfordernis nach Datentypen trennen. Zusätzlich sollte mit Blick auf potenzielle Sicherheits- und Datenschutzerwägungen der physische und logische Speicherort bekannt sein.

• Change Management. Es ist dringend ratsam, die Change Management-Richtlinien für Netzwerke, Systeme, Anwendungen und Daten-Administratoren explizit zu dokumentieren und zu vermitteln, um so unbeabsichtigte Probleme und mögliche Datenverluste zu vermeiden.

• Verschlüsselung. In einer Cloud-Umgebung kann die Verschlüsselung von Daten komplexere Ausmaße annehmen und erfordert daher besondere Aufmerksamkeit. In zahlreichen Standards wird gesonderte Behandlung von im Umlauf befindlichen und abgelegten Daten gefordert. Beispielsweise sollten Finanzdaten und persönliche Gesundheitsinformationen immer verschlüsselt werden.

Public, private und hybride Clouds: Das sollten Sie wissen
• Gemeinsam genutzte virtualisierte Umgebung. Public Clouds, von denen viele eine gemeinsam genutzte virtualisierte Umgebung verwenden, bieten grundlegende Sicherheitsvorkehrungen. Die korrekte Segmentierung und Isolierung von Verarbeitungsressourcen sollte deshalb im Mittelpunkt des Interesses stehen. Zur Erfüllung der Security- und Compliance-Anforderungen eines Unternehmens sollte man bei der Wahl der angemessenen Cloud-Umgebung allergrößte Sorgfalt walten lassen.

• Provider von Public Clouds. Public Clouds mögen zwar aus wirtschaftlicher Sicht interessant sein, doch kann es durchaus sein, dass manche Provider nicht hinlänglich die Arten von Kontrollen unterstützen, die von Unternehmen gefordert werden, damit den Security- und Compliance-Anforderungen Genüge getan wird. Stellen Sie auf jeden Fall viele Fragen.

• Umsichtige Sicherheitsmaßnahmen. Unabhängig vom Cloud-Modell sollten Unternehmen auf Segmentierung, Firewalls, Intrusion Protection-Systemen, Überwachung, Protokollierung, Zugangskontrollen und Datenverschlüsselung bestehen.

• Private Clouds - ein zweischneidiges Schwert. Private Clouds können vor Ort oder in den Einrichtungen des Service-Providers gehostet werden. Wie bei herkömmlichen Umgebungen auch sind Sicherheitskonzept und -kontrollen von entscheidender Bedeutung. Wenn man das Angebot eines Service-Providers wahrnimmt, kommt es darauf an, die richtige Form der Cloud zu wählen, die Ihren Anforderungen entspricht. Nur weil es sich um eine private Cloud handelt, muss sie nicht zwangsläufig sicher sein.

• Hybride Clouds. Hybride Clouds können das Beste aus beiden Welten bedeuten; sie ermöglichen Unternehmen, ein breites Spektrum von IT-bezogenen und geschäftlichen Zielen zu erreichen. Hybride Clouds bieten die Möglichkeit, bestimmte Anwendungen in der am besten dafür geeigneten Umgebung zu betreiben. Gleichzeitig profitiert man von den Vorteilen und Merkmalen gemeinsam genutzter Cloud-Umgebungen und der vor Ort vorhandenen IT-Umgebung sowie von der Möglichkeit, Anwendungen und Daten zwischen beiden Optionen hin und her zu schieben.
(Verizon Communications: ra)

Verizon Business: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -


Meldungen: Markt / Hinweise & Tipps

Neues Telekommunikationsgesetz in Kraft Das neue Telekommunikationsgesetz ist in Kraft getreten. "Die Novelle trägt dazu bei, den Ausbau schneller Internetzugänge überall in Deutschland voranzutreiben", sagt Bitkom-Präsident Prof. Dieter Kempf. So werden Gas- und Stromversorger verpflichtet, unter bestimmten Bedingungen Leerrohre für Internetkabel gegen Entgelt zur Verfügung zu stellen. Dadurch werden unnötige Kosten und zusätzliche Baustellen vermieden. Aber auch für Verbraucher ergeben sich Änderungen. Neue Regeln für Verträge und Tarife sorgen für einheitlichere Rechte der Kunden.

Insolvenzverfahren im Insolvenzverfahren Wird über das Vermögen eines Schuldners ein Insolvenzverfahren eröffnet, ist es nicht selten, dass das schuldnerische Unternehmen zunächst durch den Verwalter fortgeführt wird. Damit geht in der Regel die Bitte des Verwalters einher, das schuldnerische Unternehmen doch möglichst weiterhin zu beliefern, um eine Betriebsfortführung nicht zu gefährden. "Bei Weiterbelieferung des schuldnerischen Unternehmens ist jedoch äußerste Vorsicht geboten", erklärt Bernd Drumann, Geschäftsführer der Bremer Inkasso GmbH. "Es ist nämlich keineswegs so, dass man sich sicher sein kann, dass die Rechnungen auch tatsächlich bezahlt werden. Neben den Rechnungen, die man vor dem Insolvenzverfahren erteilt hat, besteht nämlich weiter die Gefahr, auch noch die Rechnungen für solche Lieferungen als uneinbringlich ausbuchen zu müssen, die erst auf Veranlassung des Insolvenzverwalters vorgenommen wurden. Und das, obwohl es sich dabei um vorrangig zu befriedigende 'Masseverbindlichkeiten' handelt."

Verschiedene Steueränderungen 2012 Ein Unternehmen gilt bei einer Betriebsunterbrechung oder Betriebsverpachtung im Ganzen bis zur ausdrücklichen Aufgabeerklärung als fortgeführt. Dipl.-Finw. Bettina M. Rau-Franz, Steuerberaterin und Partnerin in der Steuerberatungs- und Rechtsanwaltskanzlei Roland Franz & Partner, weist darauf hin, dass bei Betriebsaufgaben ab dem 05. November 2011 die Betriebsaufgabeerklärung ab dem vom Steuerpflichtigen gewählten Zeitpunkt anerkannt wird, wenn sie spätestens drei Monate danach dem Finanzamt vorliegt. Darüber hinaus macht Steuerberaterin Rau-Franz auf weitere Steueränderungen 2012 aufmerksam.

Fondsbeteiligung & elektronische Datenübermittlung In dem Bestreben nach Vereinfachung im Steuerverfahren forciert die Finanzverwaltung seit geraumer Zeit in allen Bereichen die Datenübermittlung auf elektronischem Wege. Für Steuerpflichtige und deren Berater geht dies jedoch selten mit einer Erleichterung einher. Darauf weist der SteuerberaterVerband e. V. Schleswig-Holstein hin. Nun müssen ab dem Veranlagungszeitraum 2011 auch Steuerpflichtige, die "Gewinneinkünfte" erzielen, ihre Einkommensteuererklärung mittels Internet übermitteln. Auf dem ersten Blick trifft diese Pflicht Gewerbetreibende und Freiberufler im Hauptberuf. Aber auch in dieser Neuerung steckt die Tücke im Detail.

Achtung bei der elektronischen Rechnung Der elektronische Verkehr gewinnt immer mehr an Bedeutung und hat insbesondere als E-Mail-Korrespondenz und in anderen Formen der Kommunikation die herkömmlichen Geschäftsformen verdrängt oder ersetzt. Diese Entwicklung macht auch vor der alltäglichen Buchhaltung nicht halt. Martin Ziemba, Vorstandsmitglied des Steuerberaterverbandes Schleswig-Holstein e. V. erklärt: "Elektronische Rechnungen sind gleichwertig zu Papierrechnungen." Auch Ein- und Ausgangsrechnungen sind hiervon betroffen. "Dies führt unter anderem dazu, dass die Schriftform vieler Rechnungen, die für die Einkommenssteuererklärung aufbewahrt werden müssen, durch eine elektronische Fassung der Rechnung ersetzt werden kann", erläutert Ziemba die Konsequenzen.

Asset-Deal und Share-Deal Jedem Gesellschafter-Geschäftsführer sollte regelmäßig bekannt sein, dass im Falle eines Betriebsübergangs im Sinne von § 613a BGB sowohl eine Schlechterstellung der Arbeitnehmer als auch eine Kündigung unwirksam ist. Doch die alles entscheidende Frage, ob tatsächlich ein Betriebsübergang vorliegt, kann regelmäßig ohne die Hinzuziehung eines rechtlichen Beraters nicht beantwortet werden, da insbesondere die Anzahl der zu dieser Thematik ergangenen höchstrichterlichen Entscheidungen für den juristischen Laien nicht zu überblicken sind.

Was man beachten muss: Verträge unter Verwandten Wenn man sich gegenseitig innerhalb der Familie etwas Gutes tun kann, dann wird man das in aller Regel auch machen. Das gilt für immaterielle Güter ebenso wie für materielle. Dabei kann der Fiskus eine positive Rolle spielen. Erkennt er doch Verträge unter Verwandten grundsätzlich dann an, wenn sie auch unter Fremden abgeschlossen sein könnten. Das gilt zum Beispiel für Darlehen innerhalb der Familien, für Arbeitsverträge und schließlich auch für Mietverträge. So bietet die Vermietung von Wohneigentum an Kinder oder Eltern durchaus Sparpotenzial, von dem beide Seiten profitieren: die eine von günstigeren Mieten und die andere von einer geringeren Steuerbelastung.

Längerer Arbeitsweg kann günstiger sein Arbeitnehmer können auch dann den längeren Weg zur Arbeit steuerlich geltend machen, wenn sie dadurch keinen erheblichen Zeitvorteil gegenüber der kürzesten Strecke haben. Grundsätzlich kann für die Entfernungspauschale für die Wege zwischen Wohnung und Arbeitsstätte immer nur der kürzeste Weg berücksichtigt werden. Etwas anderes gilt ausnahmsweise, wenn eine andere Verbindung "offensichtlich verkehrsgünstiger" ist und vom Arbeitnehmer regelmäßig genutzt wird. Der Ansicht der Finanzämter, die längere Strecke müsse mindestens eine Zeitersparnis von 20 Minuten einbringen, ist jetzt der Bundesfinanzhof mit zwei Urteilen (Az. VI R 19/11 und Az. VI R 46/10) entgegengetreten. Darauf wies der Steuerberaterverband Schleswig-Holstein jetzt hin.

Compliance-Leitfaden für Social Enterprises Axway stellte einen Leitfaden für Social Enterprises vor. Darin erfahren CIOs, welche wichtigen Schritte sie bei der Einbindung sozialer Technologien in die Wege leiten sollten, um für ein hohes Maß an Sicherheit, Compliance und Visualisierung ihrer geschäftlichen Interaktionen zu sorgen.

Finanzierung von "Steuersparimmobilien" Nicht nur in den klassischen Schrottimmobilienfällen der Neunziger Jahre, sondern gerade auch bei den seit dem Jahr 2002 vielfach vertriebenen sogenannten "Steuersparimmobilien" besteht oftmals dringender Handlungsbedarf. Marcus Hoffmann und Mirko Göpfert, geschäftsführende Partner der auf Bank-, Kapitalanlage- und Immobilienrecht spezialisierten Kanzlei Hoffmann & Partner Rechtsanwälte in Nürnberg, raten: "Bei Unregelmäßigkeiten bezüglich ihrer Steuersparimmobilien sollten betroffene Anleger frühzeitig qualifizierten Rat suchen."

Druckbare Version

Datenaustausch: "Elektronische Lohnsteuerkarte" Compliance und Sicherheit der Geschäftsdaten