Newsletter

   Kontakt

Sichere Cloud-Nutzung

(3-tägiger iX-Workshop)


Die Nutzung von Cloud-Computing nimmt ungebrochen quer durch alle Sektoren und Branchen rasant zu. Ob „Early Adopter“ in der Industrie, forsche Pilotierer in der Verwaltung oder vorsichtige Skeptiker in IT-(Sicherheits-)Abteilungen, keiner kommt heutzutage mehr völlig an dem Thema vorbei. Zu sehr drängen Markt und Angebote in diese Richtung, zu stark sind die Wünsche der Nutzer, zu verlockend die Erwartungen an Funktionalität, Coolness und angeblicher Kostenoptimierung.

Gleichzeitig wird Informationssicherheit immer wichtiger, nicht zuletzt auch aus Datenschutzgesichtspunkten. Auch die Bedrohungslage für
Industriespionage, großflächige Ausfälle und durch die allgemeine Komplexitätszunahme wächst unaufhaltsam. Dazu kommen Gefährdungen, wie
beispielsweise „Vendor Lock-in“ die durch die Cloud-Computing Architektur verstärkt werden können.


Das Seminar stellt die Zusammenhänge zwischen IT-Sicherheit und Cloudnutzung dar und liefert konzeptionell sowie praktisch das Handwerkszeug, mit dem sich ein Unternehmen oder eine Behörde für einen sicheren Cloud-Einsatz entscheiden oder die bereits getroffenen Entscheidungen auf eine sichere Basis stellen kann.

In diesem Seminar erarbeiten wir mit Ihnen kompakt und praxisnah Schritt für Schritt Ihren Leitfaden für eine sichere Cloud-Nutzung:

  • Informationssicherheit in der Cloud – Konzepte und Besonderheiten
  • Bedrohungen und Risiken bei der Cloud-Nutzung
  • Security-Standards und Guidelines für Cloud
  • Best Practices Sicherheitskonzeption
  • Effektive, praktische Maßnahmen zur Absicherung von AWS, Azure und Ko.

Zielgruppe

Das Training richtet sich an IT-Entscheider und -Umsetzer in Unternehmen und Behörden, die den Umzug in die Cloud erwägen oder bereits begonnen haben und keine Abstriche bei der Informationssicherheit machen möchten sowie Informationssicherheitsbeauftragte (IT-SiBe) und Datenschützer, die sich intensiver mit dem Thema Cloudnutzung beschäftigen wollen oder müssen.

Voraussetzungen

  • eigenes Laptop mit Internetzugang (WLAN) und aktuellem Browser (Firefox, Chrome, Edge oder Internet Explorer)
  • Sofern der Teilnehmer an den Praxisteilen teilnehmen möchte, ein Testaccount entweder bei:
    AWS-Account (kostenloser Testaccount unter https://aws.amazon.com/de/free/)
    Azure-Account (kostenloser Testaccount unter https://azure.microsoft.com/de-de/free/)
  • Grundwissen zur IT und Informationssicherheit 
  • Allgemeine Kenntnisse zu Cloud-Computing
  • Eine bereits erfolgte intensive Auseinandersetzung mit dem Thema Cloud-Security wird nicht vorausgesetzt

Leistungen Ihres Workshoptickets

  • Workshopunterlagen
  • Tagungsgetränke & Verpflegung
  • Teilnahmebescheinigung


Der Workshop ist auf 15 Teilnehmer begrenzt!

Durchführung

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl (weniger als 50%) nicht möglich, werden die Teilnehmer spätestens 14 Tage vorher durch das heise Events-Team informiert.

Kontakt

Haben Sie Fragen zu der Organisation oder der Veranstaltung? Gern beantworte ich Ihre Fragen per E-Mail!

Jennifer Rypalla // jery@heise.de

Termine & Preise

21. - 23.09.2020, Frankfurt

DE-CIX Management GmbH, Lindleystraße 12, 60314 Frankfurt am Main

Tickets Frankfurt

30.11. - 02.12.2020, Hannover

Heise Medien GmbH & Co. KG, Karl-Wiechert-Allee 10, 30625 Hannover

Tickets Hannover

Preise

Frühbucherpreis: 2.250,00 € *

Standardpreis: 2.475,00 €

Alle Preise inkl. MwSt.

* 10% Frühbucherrabatt bis 6 Wochen vor Veranstaltungsbeginn

Agenda & Trainer

Für den Standort Frankfurt beginnt die Veranstaltung um 09:30 Uhr und endet um 17:30 Uhr. Die Registrierung beginnt um 09:00 Uhr.

Tag 1

08:30 Uhr    Registrierung

09:00 Uhr    Beginn

13:00 Uhr    Mittagspause (45 min.)

17:00 Uhr    Ende

Jeweils 15 Minuten Kaffeepause am Vor- und Nachmittag.

Informationssicherheit in der Cloud – Konzepte und Architektur

  • Einführung in Cloud-Computing/ Servicemodelle der Cloud (IaaS, PaaS, SaaS) / Bereitstellungsmodelle der Cloud (Private, Public, …) / Geteilte Verantwortlichkeiten / Sicherheit in der Cloud / Einfacher Cloud-Sicherheitsprozess

Chancen, Bedrohungen und Risiken bei der Cloud-Nutzung

  • Chancen der Cloud / Besondere Bedrohungen in der Cloud/ Risikobewertung in der Cloud

Rechtliches, Verträge und E-Discovery

  • Due Dilligence / Vendor Lockin / Datenschutz / Vereinbarung der Verarbeitungs- und Speicherlokation / Vereinbarung von Sicherheitseinstellungen / Gesetzliche Situation in anderen Ländern / Sicherstellung von Daten in der Cloud

Praxisteil: Besprechung von vertraglichen Bestandteilen eines Cloud-Vertrags


Security-Standards und Guidelines für Cloud

  • Anpassung der Compliance durch Cloud-Computing / Audit-Management in der Cloud / Cloud-Computing in ISO 27001 und IT-Grundschutz / Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM) / BSI C5 (Cloud-Computing Compliance Controls Catalogue) / Nützliche Guidelines

Praxisteil: Plausibilisierung eines Prüfberichts

Tag 2

09:00 Uhr    Beginn

13:00 Uhr    Mittagspause (45 min.)

17:00 Uhr    Ende

Jeweils 15 Minuten Kaffeepause am Vor- und Nachmittag.

Berechtigungs- und Identitätsmanagement in der Cloud

  • Unterschiede des Berechtigungs- Identitätsmanagements in der Cloud / Standards für Berechtigungs- und Identitätsmanagement /
    Multifaktorauthentifizierung / Privileged Access Management / Conditional Access

    Praxisteil: Erste Absicherungen von AWS oder Azure (Teilnehmer kann sich einen Cloud-Dienst aussuchen. Beide Cloud-Dienste werden beschrieben.)


Datensicherheit in der Cloud

  • Assetmanagement in der Cloud / Datenklassifizierung / Migration in die Cloud / Absicherung der Management-Ebene / Verschlüsselung und Schlüsselmanagement in der Cloud / Data Loss Prevention (DLP) / Cloud Access Security Broker (CASB)

Absicherung der Infrastruktur in der Cloud-Umgebung

  • Absicherung virtueller Maschinen und Appliances / Absicherung der Netzwerk Virtualisierung / Software-Defined Networks /
    Mikrosegmentierung / Absicherung von Hybriden und Mulit-Clouds / Auswirkungen der Cloud Technologie auf Standard Sicherheitsmaßnahmen / Schwachstellenmanagement und Penetrationstest in der Cloud-Umgebung


    Praxisteil: Virtuellen Maschinen und virtuelles Netzwerk konfigurieren


Notfallmanagement in der Cloud

  • Datensicherung/ Datenwiederherstellung / Notfallmanagement bei Wegfall des Cloud-Diensteanbieters


Sicherheitsvorfallbehandlung in der Cloud

  • Änderungen am Sicherheitsvorfallprozess aufgrund der Cloud-Technologie / Monitoring / Forensik in der Cloud

    Praxisteil: Monitoring und Log-Analyse

Tag 3

09:00 Uhr    Beginn

13:00 Uhr    Mittagspause (45 min.)

17:00 Uhr    Ende

Jeweils 15 Minuten Kaffeepause am Vor- und Nachmittag.

Absicherung der Anwendungsebene

  • Herausforderungen und Chancen / Sichere Softwareentwicklung in der Cloud / Pipeline Security / Sichere Administration /Privileged Access Workstations (PAWs) / Dev(Sec)Ops


Absicherung von Virtualisierung, Container und Serverless

  • Absicherung der Management-Infrastruktur / Absicherung der Computer-Ebene / Storage / Absicherung von Containern / Sicheres serverlessComputing

    Praxisteil: Container und Serverless

Cloud-Strategie

  • Elemente einer Cloud-Strategie / Security-Überlegungen/ Integration Cloud-Strategie und Security-Strategie


Zeit für Themen der Teilnehmer

  • Fragen, die die Teilnehmer besonders interessieren/ Gemeinsame Diskussion von Best Practices und realen Problemen

Inés Atug

Inés Atug, Managing Consultant der HiSolutions AG, ist seit 2012 in der Informationssicherheit tätig und verfügt über langjährige Erfahrung im Bereich Kryptografie und Secure Cloud-Computing. Sie berät und begleitet Unternehmen bei der Einführung von Informationssicherheitsmanagement-Systemen und agiert auch als externe Datenschutzbeauftragte sowie als externe IT-Sicherheitsbeauftragte. Frau Atug studierte Mathematik (BSc. (hons)) an der Open University, UK, sowie Applied IT Security (M.Sc.) an der Ruhr-Universität Bochum. Sie ist GIAC Penetration Tester (GPEN), hält die BSI-Zusatzqualifikation „Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG“ und ist zertifizierte Datenschutzbeauftragte.