Zum Inhalt
Fakultät Wirtschaftswissenschaften
Forschungsprojekte

Next Generation Zertifizierung

(an der TU München durchgeführt)

Logo des Forschungsprojekts NGCert

Kontext

Die Auslagerung von Geschäftsprozessen und Daten an Cloud-Service-Anbieter führt zu einer erhöhten Kundennachfrage in Bezug auf Qualität, Datenschutz und Datensicherheit, die vom Cloud-Service-Anbieter bereitgestellt werden. Zertifikate sind ein bewährtes Mittel - nicht nur in der IT-Branche - um dem Kunden schnell, einfach, transparent und vergleichbare Informationen über Schutzmaßnahmen, eingehaltene Standards und interne Qualitätsprozesse zu geben (z.B. EuroCloud Star Audit oder "Trusted Cloud"-Zertifikat des TÜV). Ein Zertifikat ist das Ergebnis umfangreicher Tests, die in einer intensiven Zusammenarbeit zwischen Cloud Service Provider und Zertifizierungsunternehmen durchgeführt werden. Das Zertifikat, das nach bestandener Prüfung verliehen wird, ist in der Regel ein bis drei Jahre gültig. Die hohe Dynamik und der schnelle technologische Fortschritt innerhalb der Cloud-Service-Industrie und der zugrundeliegenden Technologien führen zu der Annahme, dass solche Zertifikate ein hohes Sicherheitsniveau suggerieren, obwohl die Anforderungen, z.B. bei Änderungen der IT-Systeme nach der Konfiguration, nicht erfüllt sind.

Nutzen 

NGCert ist Teil der Initiative "Sicheres Cloud Computing" des Bundesministeriums für Bildung und Forschung (BMBF). Diese Initiative baut auf dem Technologieprogramm "Trusted Cloud" auf. Das in diesem Programm geförderte Forschungsprojekt "Value4Cloud" konzentrierte sich auf die Frage, wie der Cloud-Kunde eine geeignete Wahl des Cloud-Service-Providers für seine Bedürfnisse treffen kann. Anhand festgelegter Kriterien (Cloud Service Check) konnten Cloud-Services analysiert und verglichen werden, um eine objektive Auswahl für die richtigen Cloud-Services zu treffen. Dieser Katalog hilft Cloud-Kunden, die relevanten Kriterien bei der Auswahl von Cloud-Services zu berücksichtigen. Allerdings hat der Cloud-Kunde noch keine Möglichkeit, zu überprüfen, inwieweit der Cloud-Service-Anbieter die ausgewählten Kundenanforderungen hinsichtlich Datenqualität, Datenschutz und Servicequalität erfüllt. Aus diesem Grund hat NGCert das Projektziel Prinzipien und Methoden für eine dynamische Zertifizierung zu entwickeln. Dadurch kann dem Cloud-Kunden die notwendige Transparenz geboten werden. In Zukunft kann der Cloud-Kunde jederzeit überprüfen, ob der Cloud-Service-Anbieter die vorgegebenen Anforderungen erfüllt.

Projektziel  

Das Ziel von NGCert ist eine genaue Aussage über die Gültigkeit eines bestehenden Zertifikats zu treffen. Dies wird durch den Einsatz dynamischer Prozesse erreicht, die kontinuierliche, (teil-)automatisierte und kritische Zertifikatsanforderungen (basierend auf Standards wie CSA CCM, ISO 27001/27017, ISAE 3000 / ISAE3402) überprüfen und das aktuelle Ergebnis der Überprüfung überwachen. Eine solche dynamische Zertifizierung ist ein Prozess, der ein kontinuierliches Feedback darüber liefert, ob der Cloud Service Provider die Qualitätsanforderungen des Zertifikats erfüllt. Die dynamische Zertifizierung ermöglicht somit die Übertragung ihrer vertrauensbildenden Prozesse innerhalb der dynamischen und sich schnell verändernden Welt der Cloud-Dienste.

Umsetzung 

Die Projektziele werden nacheinander abgearbeitet und in drei aufeinander folgenden Iterationen, die jeweils in 8 Arbeitspakete unterteilt sind, schrittweise umgesetzt. Dieses Vorgehen ermöglicht einen kontinuierlichen Vergleich zwischen Praxis und Wissenschaft und stellt die Erfüllung anerkannter Projektkriterien (Relevanz, Effektivität, Effizienz, Wirkung und Nachhaltigkeit) sicher.

Arbeitspakete

  • Weiterentwicklung der Anforderungen für eine dynamische Zertifizierung
  • Analyse vorhandener Brancheninformationen (aktuelle Auditverfahren, Zertifizierungsanforderungen, präventive Maßnahmen zur Risikominimierung (CSA Cloud Control Matrix), etc. und wissenschaftlicher Ergebnisse (Erfolge des Technologieprogramms "Trusted Cloud")
  • Entwicklung neuer Methoden und Verfahren, um eine dynamische Zertifizierung zu ermöglichen
  • Entwicklung eines Prototyps für eine dynamische Zertifizierung
  • Kontinuierlicher Vergleich und Bewertung von Praxis und Wissenschaft

Projektergebnisse

Alle Ergebnisse des Projektes NGCert sind in dem Buch "Management sicherer Cloud-Services: Entwicklung und Evaluation dynamischer Zertifikate" zusammengefasst. Ein Konzept für dynamische Zertifikate zur Förderung des Vertrauens, der Rechtssicherheit, der Qualität und der Vorteile von Cloud-Diensten auf dem deutschen Markt wird entwickelt. Ein Prototyp zeigt den beispielhaften Einsatz der entwickelten Werkzeuge in der Praxis.