Die Ausbildung richtet sich an Mitarbeiter_innen in Unternehmen und öffentlichen Einrichtungen, die Cloud Services und Cloud Security einführen, betreiben oder weiterentwickeln wollen bzw. mit der Steuerung und Kontrolle von Cloud Security (inkl. GRC) im Rahmen eines ISMS betraut sind. Darüber hinaus werden Informationssicherheitsbeauftragte, IT-Sicherheitsbeauftragte, IT-Administrator_innen, IT-Manager_innen, IT-Leiter_innen, Information Security Officers (ISOs) sowie Datenschutz- und Qualitätsmanagementbeauftragte, Berater_innen im Bereich Informationssicherheit sowie Risiko- und Compliance-Manager_innen angesprochen. Vorausgesetzt ist allgemeines Wissen rundum Informationstechnologie und -sicherheit.

Inhaltliche Schwerpunkte:

Generelle Einführung:

• Einführung in die Motivation zum Einsatz von Cloud Services
• Einführung warum Cloud Services bei Organisationen eingesetzt werden
• Einführung in das Thema Cloud Security
• Unterschied zwischen On-Premises und Cloud Security

Einführung in Cloud Services:

• Eigenschaften, Bereitstellungsmethoden und Servicemodelle
• Verantwortlichkeiten sowie Zuständigkeiten in der Cloud
• Verantwortlichkeiten sowie Zuständigkeiten von der Cloud
• Modell zur geteilten Zuständigkeit (Share Responsibility Modell)

Betrieb von Cloud Services:

• Vor- und Nachteile im Betrieb von Cloud Services
• Betriebsmodelle beim Einsatz von Cloud Services (dezentral, zentral, verteilt, …)
• Typische Team- und Rollenbilder (Application Team, IT Team, Governance Team, Security Operations Center, User, …)

Cloud-spezifische Herausforderungen:

• Cloud-spezifischen Risiken & Mitigationsmaßnahmen
• Voraussetzungen zum Einsatz von Cloud Services in regulierten Bereichen
• Daten- und Netzwerkverschlüsselung (inkl. Datenschutz)

Cloud-spezifische Sicherheitsmaßnahmen:

• Warum müssen Cloud Services geschützt werden?
• Welche Unterschiede gibt es zu herkömmlichen Bedrohungen?
• Welche Maßnahmen resultieren aus dieser veränderten Bedrohungslage?
• Vorstellung der CSA Top Threats to Cloud Computing
• Vorstellung der OWASP Cloud-native Application Security Top 10
• Vorstellung von Cloud Security Guidelines
• Vorstellung von ausgewählten Good Practices:
  • Privileged Access Management (inkl. Entra ID, Privileged Access Workstations)
  • Identity & Access Management (inkl. Entra ID, SAML, OIDC)
  • Datensicherheit und -verschlüsselung (inkl. Crypto-shredding)
  • Cloud Access Security Broker (CASB)
  • Verfügbarkeitsplanung

Cloud Governance:

• Zertifizierungen von Cloud Services (BSI C5, CSA CCM, ISO 27001, ISO 27017, SOC2, …)
• Zertifizierungen in Hinblick auf das Modell zur geteilten Zuständigkeit
• Inhalt von Cloud Governance Frameworks (Inventar, Tagging, Kostenkontrolle, …)
• Integration der Cloud GRC bei der Beschaffung bis hin zur Beendigung von Cloud Services.
   

Vorstellung von ausgewählten Informationen und Ressourcen zum Thema Cloud Security:

• Microsoft Cloud Adoption Framework for Azure
• AWS Cloud Adoption Framework
• Cloud Security Alliance

MARKUS HARTLEITNER ist im Bereich Cybersecurity & Privacy bei PwC Österreich tätig und verantwortet den Themenschwerpunkt „Cloud Security“ in Österreich. Mit mehr als 10 Jahren Erfahrung als Dienstleister in der Konzeptionierung, dem Aufbau und dem (Managed-) Betrieb von (Microsoft-) Infrastrukturen in hybriden Szenarien bringt er gute Einblicke in die täglichen Routinen von Infrastrukturbetreibern mit und kann diese aus sicherheitstechnischer Perspektive beleuchten. Herr Hartleitner unterstützt Kund_innen unterschiedlichster Branchen bei den ersten Schritten in die Cloud im Bereich Cloud Strategy, Cloud Adoption, Architektur und Infrastruktur. Des Weiteren ist er mit den unterschiedlichsten Anforderungen in regulierten Branchen oder der kritischen Infrastruktur vertraut. Er unterstützt die Kund_innen bei der Erhebung des aktuellen Sicherheitsniveaus, der Implementierung von Sicherheitsmaßnahmen, der Identifizierung von Bedrohungsakteuren und Ableitung einer darauf basierenden Threat Landscape. In erwähnten Bereichen hat er sich in den letzten drei Jahren auf den Einsatz von (Public) Cloud Systemen innerhalb von Unternehmen fokussiert. Er besitzt mehrere branchenrelevante Zertifizierungen (u.a. ISC2 CCSP und Microsoft Cybersecurity Architect Expert) und unterrichtet als Lektor in unterschiedlichen Cloud-spezifischen Themenbereichen.