English englisch

ClouDAT

Projektbeschreibung

Veröffentlichungen

Kontakt

Projektbeschreibung

In diesem Projekt soll ein Open-Source-Werkzeug (ClouDAT) zur Dokumentation und Sicherheitsevaluierung von Cloud-Computing-Systemen entwickelt werden.

Ziel ist es, ein herstellerneutrales Verfahren zur Planung, Dokumentation und Prüfung der Sicherheitsanforderungen und Sicherheitsmaßnahmen in Cloud-Computing-Systemen zu unterstützen. Dieses Werkzeug wird auf Basis von bestehenden Werkzeugen, wie z.B. UML-Editoren, realisiert, die ebenfalls Open-Source sind. Durch die Verwendung eines geeigneten Lizenzmodells können somit problemlos Konzepte und Quellcode- Fragmente aus ClouDAT durch andere Werkzeugentwickler übernommen werden, um diese für ähnlicheWerkzeuge wiederzuverwenden. Ein kostenfreies Open-Source-Werkzeug reduziert zudem für KMU die Einstiegskosten und ermöglicht Universitäten, das Werkzeug in Forschung und Lehre einzusetzen. Ein Open-Source-Werkzeug kann von Benutzern angepasst werden und vermeidet die Abhängigkeit von anderen Unternehmen. Gerade im KMU-Bereich ist eine Open-Source-Basis oft unabdingbare Voraussetzung für den erfolgreichen Vertrieb von Software, da die potentiellen Kunden sich auf eine Abhängigkeit von einem kleinen Software-Hersteller (der weniger Garantien für die Kontinuität des eigenen Geschäftsbetriebs geben kann, als große Anbieter) oft nicht einlassen. Durch das Anbieten von Beratungs- und Betreuungsdienstleistungen ist Open-Source-Software demgegenüber gerade für Anbieter aus dem KMU-Bereich ein durchaus erfolgversprechendes Geschäftsmodell.

Mit ClouDAT können Cloud-Computing-Systeme, bestehend aus SaaS (Software-asa- Service), PaaS (Platform-as-a-Service) und IaaS (Infrastructure-as-a-Service), sowie den relevanten Geschäftsprozessen, für eine Begutachtung durch Dritte dokumentiert werden. Bei der Entwicklung von Cloud-Computing-Systemen können so verschiedene Risiken aufgedeckt werden. Risiken sind z.B., dass geheimzuhaltende Daten öffentlich werden, dass Mitarbeiter des Cloud-Computing-Anbieters unbefugt auf Daten zugreifen, die Dienste von außen verändert werden, oder dass der Dienst nicht kontinuierlich bereitsteht. Der Ansatz wird sowohl für offene Cloud-Computing-Infrastrukturen ("public clouds"), als auch für unternehmensinterne Cloud-Computing-Systeme ("private clouds") einsetzbar sein.

Bei der Dokumentation der ermittelten Anforderungen an Cloud-Computing-Systeme müssen das deutsche Recht im Bereich IT-Sicherheit und insbesondere die Einhaltung z. B. des Bundesdatenschutzgesetzes durch den Cloud-Computing-Anbieter beachtet werden. Ein potentieller Cloud-Computing-Nutzer soll anhand der Dokumentation der erbrachten Anforderungen durch den Cloud-Computing-Anbieter entscheiden können, ob der erbrachte Dienst seinen Anforderungen genügt. Wir werden in diesem Projekt einen Anforderungskatalog erstellen, der für IaaS, PaaS und SaaS eine Zertifizierung nach z. B. ISO 27001 ermöglicht. Neben Anforderungen aus Gesetzestexten oder Standards sollen auch individuelle Sicherheitsbedürfnisse der KMUs Berücksichtigung finden. Zur Dokumentation der Anforderungen werden von ClouDAT Muster bereitgestellt. Konkrete Anforderungen können in diese Muster durch Einsetzen konkreter Elemente eingepasst werden. Die einzusetzenden Elemente und deren Beziehungen untereinander können mit ClouDAT spezifiziert werden. Zur Beschreibung der Beziehungen werden wir eine Standard-Notation aus der Softwaretechnik (UML) verwenden und geeignet erweitern. Zur Erweiterung werden Problem Frames (Muster und Sprache für die Beschreibung von Anforderungen) genutzt. Durch die Verwendung eines automatisierten Werkzeuges zur Sicherheitsanalyse wird eine Zertifizierung hinreichend kostengünstig, sodass sie auch für KMUs attraktiv wird.

Cloud-Computing-Anbieter wollen oft nicht gegenüber Ihren Kunden und insbesondere nicht gegenüber Mitbewerbern am Markt ihre Sicherheitsmaßnahmen offenlegen. Auch möchte ein Cloud-Computing-Anbieter nicht unbedingt allgemein offenlegen, welche (zertifizierten) Sicherheits-Komponenten verwendet werden. Daher kann nur von einem externen Gutachter geprüft werden, inwieweit die Maßnahmen geeignet sind, die Anforderungen ausreichend zu erfüllen. ClouDAT erlaubt dem Cloud-Computing- Anbieter eine erste Validierung bzgl. dieser Fragestellungen. Sollte ein Cloud-Computing- Anbieter beispielsweise eigene Protokolle und nicht nur Standardkomponenten verwenden, können auch diese von ClouDAT mit Hilfe extern angebundener Analyse- Werkzeuge untersucht werden. Zur Beschreibung der Maßnahmen wird eine Standard- Notation aus der Softwaretechnik (UML) verwendet, die geeignet erweitert wird. Zur Erweiterung werden Elemente aus UMLsec (Security-Erweiterung für UML) genutzt. Für den Zertifizierer werden von ClouDAT Berichte erzeugt, die die Anforderungen und Maßnahmen beschreiben. Auch werden die Beziehungen der Anforderungen untereinander und auch der Maßnahmen in nachvollziehbarer Weise ausgegeben. Der Zertifizierer kann somit die Validierungen der Anbieter mit geringem Aufwand überprüfen. Die Hauptaufgabe des Zertifizierers ist es, im Rahmen eines Zertifizierungsaudits eines Cloud-Computing-Dienstes zu prüfen, ob die dokumentierten Maßnahmen korrekt realisiert wurden.

Diese Zertifizierung wird eine weitere Verbreitung von Cloud-Computing bei KMUs in Deutschland fördern, indem Vertrauen in Cloud-Computing-Anbieter aufgebaut wird. Weiter werden Arbeitsplätze für IT-Zertifizierer geschaffen. Insbesondere Unternehmen, die gezielt ein Cloud-Computing-Angebot für Deutschland bereitstellen wollen, erhalten durch die Zertifizierung einenWettbewerbsvorteil. Dieser wird eventuell sogar weitere Unternehmen motivieren ins Cloud-Computing-Geschäft einzusteigen. ClouDAT unterstützt Beratungsdienstleistungen im Security-Umfeld. Durch ein entsprechendes Werkzeug können in diesem Umfeld neue Kunden gewonnen werden, und die Qualität der Beratungsdienstleistungen wird massiv erhöht. Das Werkzeug kann auch in der Lehre eingesetzt werden, um die Ausbildung von Sicherheitsingenieuren praxisnäher und anschaulicher zu gestalten.