Title (deu): Cloud Audit

Author: Koinig, U. (Ulrich)

Description (deu): St. Pölten, FH-Stg. Information Security, Master Thesis, 2014

Description (deu): Cloud Computing bezeichnet einen Trend in der IT-Industrie, der das Potential mit sich bringt, die klassische EDV-Landschaft grundlegend zu verändern. IT-Hardware muss nicht mehr um viel Geld gekauft werden, sondern kann einfach zu günstigen Tarifen über das Internet angemietet werden. Cloud-Computing-Provider versprechen eine skalierbare Rechenleistung zu niedrigen Preisen. Vorbei scheinen die Zeiten von unternehmenseigenen Rechenzentren, die Betriebs- und Personalkosten verschlingen. Alles befindet sich heutzutage in der ominösen Wolke (Cloud) und kann bequem von PC, Tablet oder Smartphone aus über einen handelsüblichen Webbrowser aufgerufen werden. Dabei spielt es keine Rolle, ob man im Büro, in der U-Bahn oder zu Hause ist. Das Internet erweitert die Grenzen des Möglichen. Die Flexibilität und Freiheit, die Cloud Computing mit sich bringt, stellt IT-Experten/innen jedoch vor noch nie da gewesene Probleme. Informationen über Produkte, Kund/inn/en oder Forschung&Entwicklung werden nicht mehr auf Servern im Firmenhauptquartier gespeichert, sondern auf IT-Komponenten von externen Firmen, die sich womöglich nicht einmal im selben Land befinden. Unter Umständen können das Länder sein, in denen Datenschutz rudimentär bzw. nicht vorhanden ist (China, Indien, Russland, etc.). Aber auch Länder wie die USA mit ihrer “National Security Agency“ (NSA) sind Faktoren, die die Entwicklung von Cloud Computing bremsen. Damit Cloud Computing trotz aller Widrigkeiten eingesetzt werden kann, bedarf es strenger Sicherheitsanforderungen und Standards. Da die Cloud durch den Einsatz und die Kombination von modernsten Technologien realisiert wird, gibt es noch kaum Standards und Guidelines, die standardisierte Sicherheitsempfehlungen darstellen. In dieser Arbeit werden Sicherheitsstandards beschrieben, die Cloud Computing vor gängigen Bedrohungen schützen sollen. Dabei werden die Empfehlungen von Best-Practices (Cobit[1], Grundschutzhandbuch[2], CSA-CCM[3]) berücksichtigt, um einheitliche Sicherheitsanforderungen
formulieren zu können. Damit diese große Menge von Begrifflichkeiten genutzt werden kann, wird sie in einer Cloud-Security-Ontologie dargestellt. Dazu werden die erarbeiteten Sicherheitsanforderungen und ihre Relationen zu Bedrohungen, Verwundbarkeiten und Assets dargestellt und modelliert. Das ermöglicht es, dieses Wissen in digitalisierter und formaler Form für Menschen nutzbar zu machen.

Description (eng): Cloud computing refers to a trend in the IT industry, which has the potential to fundamentally change the traditional IT environment. IT hardware need not be purchased for a lot of money anymore, but can easily be rented at low rates over the internet. Cloud computing providers promise scalable computing power at low prices. The days of huge company data centers, which devour operating and personnel costs, seem to be over. Everything is now in the ominous cloud and is easily accessible by PC, tablet or smartphone via a standard Web browser. It does not matter if you are in the office, on the subway or at home. The Internet expands the boundaries of what is possible. Cloud computing provides great flexibility and freedom of how IT-systems are used but also brings along unprecedented issues. Information about products, customers or research will no longer be stored on servers located in the corporate headquarter, but on IT systems hosted by external companies who may not even be in the same country as the company. In some circumstances, these countries may not even have any form of data protection rights. (e.g. China , India, Russia, etc.). However, even countries like the U.S., with its “National Security Agency’"(NSA), are factors that hamper the development of cloud computing. To use cloud computing despite all the difficulties, strict security requirements and standards are required. Since the cloud is realized by the use and combination of advanced technology, there are still hardly any standards or guidelines for the secure use of cloud computing. In this thesis security standards are described, which are designed to protect cloud computing against common threats. For this reason the recommendations of best practices (Cobit, Grundschutzhandbuch, CSA-CCM) are considered in order to formulate uniform security requirements. In order to be able to use this knowledgebase, it is represented in a cloud security ontology. For this purpose, the developed security requirements and their relations between threats, vulnerabilities, and assets have been modelled. This makes information about cloud security available for people and machines in a digitized and formal way.

Object languages: German

Date: 2014

Rights: © All rights reserved

Classification: Cloud Computing

Permanent Identifier