Anforderungen an die Zertifizierungskriterien einer

Marius Franke
Masterarbeit
im Fach Information Systems
Anforderungen an die Zertifizierungskriterien einer
dynamischen Zertifizierung von Cloud-Diensten
Themasteller: Prof. Dr. Ali Sunyaev
Vorgelegt in der Masterprüfung
im Studiengang Information Systems
der Wirtschafts- und Sozialwissenschaftlichen Fakultät
der Universität zu Köln
Köln, März 2015
II
Inhaltsverzeichnis
Abkürzungsverzeichnis................................................................................................... IV
Tabellenverzeichnis ..........................................................................................................V
1 Einleitung ......................................................................................................................1
1.1 Problemstellung und Motivation ..............................................................................1
1.2 Ziel(e) der Arbeit ......................................................................................................3
1.3 Aufbau der Arbeit.....................................................................................................4
2 Grundlagen ....................................................................................................................5
2.1 Terminologie ............................................................................................................5
2.1.1 Cloud-Computing ...........................................................................................5
2.1.2 Zertifizierung, Zertifikat und Zertifizierungskriterium ..................................5
2.1.3 Kundenanforderungen an Zertifizierungskriterien .........................................7
2.2 Zertifizierungen im Cloud-Umfeld ..........................................................................8
2.2.1 Definition: Cloud-Zertifizierung.....................................................................8
2.2.2 Gründe und Nutzen einer Cloud-Zertifizierung..............................................9
2.2.3 Herausforderungen bei der Zertifizierung von Cloud-Diensten ...................12
3 Dynamische Cloud-Zertifizierung ..............................................................................14
3.1 Grundgedanke und Konzept ...................................................................................14
3.2 Auditierungsmethoden ...........................................................................................16
3.3 Transparenz als ein Erfolgsfaktor ..........................................................................17
3.4 Spezifikation und Prüfberichte ...............................................................................19
3.5 Zertifizierungskriterienkatalog ...............................................................................19
4 Methodik .....................................................................................................................20
4.1 Herleitung von Kundenanforderungen aus praxisorientierten CloudPublikationen..........................................................................................................20
4.1.1 Vorgehensweise zur Auswahl zielführender CloudPublikationen ................................................................................................20
4.1.2 Vorgehensweise zur Herleitung von Kundenanforderungen aus
den ausgewählten Cloud-Publikationen........................................................22
4.2 Workshop im Forschungsumfeld ...........................................................................23
4.3 Validierung der Ergebnisse mittels Expertenaussagen ..........................................25
5 Ergebnisse der einzelnen Phasen der Anforderungsermittlung ..................................27
5.1 Literaturbasierte Anforderungsermittlung..............................................................27
III
5.1.1 Auswahl zielführender Cloud-Publikationen................................................27
5.1.2 Untersuchung der ausgewählten Cloud-Publikationen .................................33
5.2 Workshop im Forschungsumfeld ...........................................................................35
5.3 Auswertung des Expertenworkshops .....................................................................38
6 Kundenanforderungen an Zertifizierungskriterien .....................................................42
6.1 Kundenanforderungen an die Spezifikation eines
Zertifizierungskriteriums ........................................................................................43
6.2 Kundenanforderungen an den Prüfbericht eines
Zertifizierungskriteriums ........................................................................................51
6.2.1 Kundenanforderungen zur Schaffung der Grundlagen .................................52
6.2.2 Kundenanforderungen an die Inhalte des Prüfberichtes ...............................56
7 Fazit.............................................................................................................................67
Literaturverzeichnis .........................................................................................................69
Anhang.............................................................................................................................78
A1. Zertifizierungskriterienkatalog ...............................................................................78
A2. Informationsblatt und Anforderungskatalog für den Workshop im
Forschungsumfeld ..................................................................................................81
A3. Transkript des Expertenworkshops ........................................................................81
A4. Codierung der Auswahl zielführender Cloud-Publikationen .................................81
A5. Codierung der Herleitung der Kundenanforderungen ............................................81
A6. Transkript des Workshops im Forschungsumfeld ..................................................81
A7. Inhalte der beigefügten CD-ROM ..........................................................................81
Erklärung .........................................................................................................................83
Lebenslauf........................................................................................................................84
IV
Abkürzungsverzeichnis
CSC
Cloud-Service-Customer
CSP
Cloud-Service-Provider
dCZ
dynamische Cloud-Zertifizierung
IaaS
Infrastructure-as-a-Service
PaaS
Plattform-as-a-Service
ROI
Return-on-Investment
SaaS
Software-as-a-Service
SCP
Sub-Cloud-Provider
V
Tabellenverzeichnis
Tab. 2-1: Eigenschaften einer Kundenanforderung an ein
Zertifizierungskriterium einer dynamischen Cloud-Zertifizierung ...................8
Tab. 4-1: Kriterien zur Ableitung von Kundenanforderungen ........................................23
Tab. 4-2: Schema zur Darstellung einer Anforderung.....................................................24
Tab. 4-3: Leitfragen zur Orientierung innerhalb des Workshops ....................................24
Tab. 5-1: Übersicht zu den formalen Auswahlkriterien und deren
Anwendungsreihenfolge .................................................................................28
Tab. 5-2: Quantitative Ergebnisse des Auswahlprozesses auf Basis formaler
Auswahlkriterien .............................................................................................29
Tab. 5-3: Übersicht zu den inhaltlichen Auswahlkriterien und deren
Anwendungsreihenfolge .................................................................................29
Tab. 5-4: Quantitative Ergebnisse des Auswahlprozesses auf Basis der
inhaltlichen Auswahlkriterien .........................................................................30
Tab. 5-5: Übersicht der ausgewählten Cloud-Frameworks .............................................31
Tab. 5-6: Quantitative Ergebnisse der Überarbeitung des
Anforderungskataloges ...................................................................................38
Tab. 6-1: Übersicht über die Kundenanforderungen an die Spezifikation der
Zertifizierungskriterien ...................................................................................44
Tab. 6-2: Übersicht über die Kundenanforderungen an die Prüfberichte der
Zertifizierungskriterien ...................................................................................52
1
1
Einleitung
1.1
Problemstellung und Motivation
Cloud-Computing besitzt das Potential, die Art und Weise, wie IT-Dienstleistungen
bisher in Unternehmen erbracht werden, grundlegend zu verändern.1 Die Gründe hierfür
liegen in den charakteristischen Vorteilen des Cloud-Computing-Paradigmas, wie
geringe Anfangsinvestitionen, hohe Skalierbarkeit und ausgeprägte Flexibilität. Trotz
der ökonomischen und technischen Vorteile stehen viele Unternehmen vor großen
Herausforderungen und schrecken vor dem Einsatz von Cloud-Computing-Lösungen
zurück.2 Die Gründe hierfür sind vielfältig und reichen vom Kontrollverlust3 über die
ausgelagerten Anwendungen und Daten bis hin zu organisatorischen4, technischen5 und
rechtlichen6 Hürden.
Darüber hinaus stellt das mangelnde Vertrauen zwischen dem Cloud-Kunden und dem
-Anbieter eine weitere Hürde dar und spielt bei der Adoption einer Cloud-ComputingLösung eine entscheidende Rolle.7 Kunden mangelt es jedoch häufig an ausreichenden
Ressourcen und Informationen, um das notwendige Vertrauensverhältnis zu einem
Cloud-Anbieter herzustellen.8 Vor diesem Hintergrund kann eine Zertifizierung von
Cloud-Diensten einen positiven Beitrag leisten und gegenüber potentiellen CloudKunden für Transparenz sorgen, ihre Entscheidungsprozesse unterstützen, das Risiko
von Sicherheitsvorfällen und Fehlinvestitionen reduzieren und somit das Vertrauen in
und die Akzeptanz für das Cloud-Computing steigern.9 Angesichts dieser Vorteile kann
angenommen werden, dass Cloud-Kunden ein dementsprechend großes Interesse an
Cloud-Zertifikaten besitzen.
1
Vgl. Bezzi, Kaluvuri, Sabetta (2011), S. 40.
2
Vgl. Bernnat u. a. (2012), S. 136 und zu den ökonomischen Vorteilen Jensen u. a. (2009), S. 109.
3
Vgl. Munoz, Mana (2013), S. 103.
4
Vgl. Marston u. a. (2011), S. 182.
5
Vgl. Armbrust u. a. (2010), S. 54.
6
Vgl. Armbrust u. a. (2010), S. 55, 58 und Lansing, Sunyaev (2013), S. 9.
7
Vgl. Garrison, Kim, Wakefield (2012), S. 67 und Sunyaev, Schneider (2013), S. 34.
8
Vgl. zum Ressourcenmangel Sunyaev, Schneider (2013), S. 34.
9
Vgl. Sunyaev, Schneider (2013), S. 34, Schneider, Lansing, Sunyaev (2013), S. 13 und Bernnat u. a.
(2012), S. 133.
2
Aufgrund der speziellen Charakteristika und der Komplexität des Cloud-ComputingModells stellt die Zertifizierung von Cloud-Diensten jedoch eine Herausforderung dar.10
Die derzeitigen Zertifizierungen von IT-Systemen, wie beispielsweise die Zertifizierung
nach ISO 27001, sind nur eingeschränkt auf Cloud-Lösungen anwendbar.11 Dies liegt
unter anderem daran, dass die Erfüllung der Zertifizierungskriterien nur zum Zeitpunkt
der Vergabe des Zertifikates bestätigt werden kann, da keine fortlaufende Kontrolle des
Erfüllungsstatus erfolgt. Werden nach der Vergabe des Zertifikates Veränderungen am
zertifizierten System vorgenommen, kann die Erfüllung der Kriterien und somit des
gesamten Zertifikates gefährdet sein.12 Da insbesondere Cloud-Dienste aufgrund der
essentiellen Eigenschaften des Cloud-Computing-Modells von einer inhärenten
Dynamik geprägt sind, die häufige Veränderungen der Cloud-Dienste zur Folge haben
können, sind diese Zertifizierungen in solch einem Umfeld unzureichend, um die
Einhaltung der Zertifizierungskriterien fortlaufend zu gewährleisten. Darüber hinaus
sind diese Zertifizierungen von einem manuellen Aufwand geprägt und gelten als
ineffizient und fehleranfällig.13 Als Folge dieser Mängel wird von WINDHORST und
SUNYAEV (2013) das Konzept einer dynamischen Cloud-Zertifizierung (dCZ)
beschrieben, welches sich aktuell noch in der Anfangsphase seiner Entwicklung
befindet.14 Die dCZ hat zum Ziel, die Gültigkeit der Zertifizierungskriterien möglichst
fortlaufend zu gewährleisten und die Zertifizierung von Cloud-Diensten effizienter und
zuverlässiger zu gestalten.
Da der Nutzen eines Cloud-Zertifikates aus Sicht der potentiellen Cloud-Kunden vor
allem von den Inhalten des Zertifikates abhängt,15 ist es für die Entwicklung einer dCZ
notwendig, einen besonderen Fokus auf diese Inhalte zu legen und sich an den
Kundenanforderungen zu orientieren. Bei der Entwicklung einer dCZ kann die
Berücksichtigung der Anforderungen die vom Kunden wahrgenommene Qualität des
Endergebnisses steigern und somit zu einer höheren Akzeptanz des Zertifikates führen.16
10
Vgl. Cimato u. a. (2013), S. 92 und Windhorst, Sunyaev (2013), S. 413.
11
Vgl. Windhorst, Sunyaev (2013), S. 413.
12
Vgl. Bezzi, Kaluvuri, Sabetta (2011), S. 41 und Munoz, Mana (2013), S. 103.
13
Vgl. Windhorst, Sunyaev (2013), S. 413 und Pinkett (2004), S. 45.
14
Vgl. Windhorst, Sunyaev (2013), S. 412 und Schneider u. a. (2014), S. 4999.
15
Vgl. Lansing, Sunyaev (2013), S. 2, 4 und Schneider u. a. (2014), S. 4998.
16
Vgl. zur geringen Akzeptanz aufgrund der unzureichenden Berücksichtigung der Kundenanforderungen
Schneider, Lansing, Sunyaev (2013), S. 15, 17.
3
Zu den zentralen inhaltlichen Bestandteilen einer Zertifizierung zählen die
Zertifizierungskriterien, nach denen ein Cloud-Dienst evaluiert wird. Qualitativ
hochwertige Zertifizierungskriterien sind eine fundamentale Voraussetzung für den
Erfolg und die Reputation eines Zertifikates.17
In der Praxis ist es allerdings unklar, wie die Zertifizierungskriterien einer dCZ aus
Kundensicht gestaltet werden sollen, um die gewünschte Wirkung eines Zertifikates zu
erzielen. Zur Lösung dieses Praxisproblems sind deshalb genauere Kenntnisse über die
Kundenanforderungen erforderlich. Trotz der Bedeutung der Zertifizierungskriterien für
den Nutzen und die Akzeptanz eines dynamischen Cloud-Zertifikates sind die
Kundenanforderungen an diese noch unerforscht und unbekannt. Dieser theoretische
Mangel erschwert die Lösung des Praxisproblems.
Vor diesen Hintergründen wird im Rahmen dieser Masterarbeit die Forschungsfrage
verfolgt,
welche
Anforderungen
potentielle
Cloud-Kunden18
an
die
Zertifizierungskriterien einer dCZ stellen, damit der Nutzen und die Akzeptanz eines
dynamischen Cloud-Zertifikates gewährleistet ist bzw. hergestellt werden kann. Die
nachfolgenden Ausführungen orientieren sich daher an folgender Leitfrage:
Welche
Anforderungen
müssen
die
Zertifizierungskriterien
einer
dynamischen Cloud-Zertifizierung erfüllen, um die Erwartungen und
Bedürfnisse der Cloud-Kunden zu erfüllen.
Die Beantwortung dieser Leitfrage kann einen Beitrag zur kundenorientierten
Entwicklung einer dCZ leisten, sodass sich diese mittelfristig als allgemein anerkannter
Standard auf dem Markt der Cloud-Zertifizierungen etablieren kann.
1.2
Ziel(e) der Arbeit
Das Hauptziel dieser Arbeit besteht in der Ermittlung der Anforderungen der CloudKunden, die sie an die Zertifizierungskriterien einer dCZ stellen. Zur Erreichung des
Hauptziels werden vier Teilziele verfolgt. Das erste Teilziel soll die theoretischen
17
Vgl. Meissner (2008), S. 525.
18
Zu potentiellen Cloud-Kunden zählen im Rahmen dieser Arbeit Unternehmen aus der Privatwirtschaft
oder dem öffentlichen Sektor. Potentiell bedeutet, dass diese Organisationen mögliche Endkunden
eines Cloud-Anbieters sind. Aus Gründen der Lesbarkeit wird im Folgenden nur noch von CloudKunden gesprochen.
4
Grundlagen dieser Arbeit schaffen und in den Bereich der Cloud-Zertifizierungen
einführen. Hierzu werden die Konzepte der statischen und dynamischen CloudZertifizierung beschrieben sowie auf deren Gründe, Nutzen und Herausforderungen
eingegangen. Zudem wird herausgearbeitet, welche Faktoren aus Kundensicht zur
Akzeptanz einer dCZ beitragen können und inwiefern diese Faktoren auf die
Zertifizierungskriterien einer dCZ übertragen werden können. Anschließend werden –
im
Sinne
des
zweiten
Teilziels
–
mögliche
Kundenanforderungen
an
Zertifizierungskriterien systematisch aus ausgewählten kunden- und praxisorientierten
Cloud-Publikationen ermittelt und in einem Anforderungskatalog gesammelt. Als drittes
Teilziel gilt es, die bisher theoretisch fundierten Ergebnisse aus den CloudPublikationen in einem Workshop im Forschungsumfeld zur Diskussion zu stellen und
die ermittelten Anforderungen insbesondere im Hinblick auf deren Kundenrelevanz und
Praxistauglichkeit zu bewerten. Die Ergebnisse dieses Workshops werden zur
Überarbeitung des Anforderungskataloges verwendet. Das vierte und letzte Teilziel
besteht
darin,
die
ermittelten
und
überarbeiteten
Anforderungen
mittels
Expertenaussagen von praxiserfahrenen Cloud-Auditoren, -Anbietern und -Beratern
einzuordnen und empirisch zu validieren.
1.3
Aufbau der Arbeit
Nachdem innerhalb dieses ersten Kapitels bereits die Problemstellung und die Ziele
dieser Ausarbeitung dargelegt werden, wird im zweiten Kapitel die Grundlage für diese
Arbeit geschaffen. Hierzu werden zunächst die zentralen Begriffe definiert (Kapitel 2.1)
sowie auf die Gründe, den Nutzen und die Herausforderungen einer Zertifizierung im
Cloud-Umfeld eingegangen (Kapitel 2.2). Im dritten Kapitel wird das Konzept einer
dCZ, deren technische Voraussetzungen sowie mögliche Erfolgsfaktoren im Hinblick
auf die Zertifizierungskriterien dargelegt. Die Methodik dieser Arbeit, die sich in drei
Phasen gliedert, wird im vierten Kapitel beschrieben. Das anschließende fünfte Kapitel
stellt die Resultate der drei Phasen vor. Im sechsten Kapitel werden die zentralen
Ergebnisse, die Kundenanforderungen an die Zertifizierungskriterien einer dCZ,
dargelegt. Den Abschluss dieser Masterarbeit bildet das siebte Kapitel mit einem Fazit.
In diesem wird insbesondere auf die Ergebnisse vor dem Hintergrund der Zielstellung
eingegangen. Zudem wird ein Ausblick auf weitere notwendige Forschungsschritte in
diesem Themenfeld gegeben.
5
2
Grundlagen
2.1
Terminologie
2.1.1 Cloud-Computing
Im Forschungsbereich des Cloud-Computings wurden über die letzten Jahre viele
verschiedene Definitionen für den Begriff des Cloud-Computings aufgestellt. Eine
umfassende Definition, die häufig in der Forschungsliteratur verwendet wird, ist die des
National Institute of Standards and Technology (NIST). Diese bildet auch in dieser
Arbeit die Grundlage zur Definition des Begriffs Cloud-Computing:
Cloud-Computing beschreibt ein Modell, welches dem Nutzer bei Bedarf Zugriff auf
einen dezentralen Pool von technischen Ressourcen, wie Netzwerke, Server,
Speicher, Anwendungen und Dienste ermöglicht, die individuell konfiguriert und
durch den Anbieter bereitgestellt werden können.19 Die Bereitstellung erfolgt mit
minimalem Verwaltungsaufwand durch den Cloud-Anbieter. Das Modell besteht aus
fünf essentiellen Charakteristiken (Selbstbedienung bei Bedarf, allgegenwärtiger
Zugriff über das Internet, Einsatz verteilter Ressourcen, hohe Skalierbarkeit,
dynamische Ressourcennutzung), drei Servicemodellen (Software-as-a-Service
[SaaS], Platform-as-a-Service [PaaS], Infrastructure-as-a-Service [IaaS]) und vier
Bereitstellungsmodellen (privat, öffentlich, gemeinschaftlich, hybrid).
Als Cloud-Service oder auch Cloud-Dienst wird eine Leistung bezeichnet, die ein
Cloud-Anbieter einem Cloud-Kunden zur Verfügung stellt, unabhängig vom Serviceund Bereitstellungsmodell.
2.1.2 Zertifizierung, Zertifikat und Zertifizierungskriterium
Eine Zertifizierung wird in der englischsprachigen ISO 17000:2004 definiert als die
Vergabe
einer
formalen
Bescheinigung,
welche
die
Erfüllung
spezifischer
Anforderungen in Bezug auf Produkte, Prozesse, Systeme oder Personen durch einen
Dritten bestätigt.20 Die Zertifizierung stellt gemäß dieser Auffassung nur eine Aktivität
19
Vgl. zu diesem Absatz Mell, Grance (2011), S. 2.
20
Vgl. International Organization for Standardization (2004), S. 2-4. Herangezogen wurden die
Begriffsdefinitionen 2.1, 3.1, 5.1, 5.2 und 5.5.
6
innerhalb des gesamten Zertifizierungsprozesses dar, welcher u. a. auch die Definition
des Prüfumfanges und die Erstellung eines Ergebnisberichtes umfasst.21 Im
deutschsprachigen Raum hingegen wird mit einer Zertifizierung üblicherweise das
gesamte Verfahren bezeichnet, mit dem die Erfüllung und Einhaltung der spezifischen
Anforderungen durch einen unparteiischen Dritten überprüft wird.22 Gemäß dieser
Auffassung wird auch der in dieser Arbeit verwendete Begriff der Zertifizierung
definiert. Die formale Bescheinigung wird auch Zertifikat genannt.23 Durch die Vergabe
des Zertifikates bestätigt der Herausgeber, die Zertifizierungsstelle, die Erfüllung der
dem Zertifikat zugrundeliegenden spezifischen Anforderungen.24 Im weiteren Verlauf
dieser Abhandlung wird eine spezifische Anforderung als Zertifizierungskriterium
bezeichnet.
Die
Menge
der
Zertifizierungskriterien
werden
in
einem
Zertifizierungskriterienkatalog oder kurz Kriterienkatalog zusammengefasst. Das
Verfahren, bei dem die Erfüllung der Zertifizierungskriterien geprüft und bewertet wird,
wird als Audit bzw. Auditierung bezeichnet. Zu unterscheiden sind hierbei je nach Art
der eingesetzten Auditierungsmethode die manuelle Auditierung und die (teil-)
automatisierte, kontinuierliche Auditierung.
Die Zertifizierung stellt eine von mehreren Aktivitäten im Rahmen einer
Konformitätsbewertung dar und trägt zur Signalisierung der Konformität bei.25 Eine
Zertifizierung kann als ein Mechanismus zur Vertrauensbildung angesehen werden, da
über den sogenannten Vertrauenstransfer Vertrauen von einer verlässlichen Partei
(bspw. einem Auditor, Zertifizierungsstelle) auf eine unbekannte Partei (bspw. einen
Cloud-Service) übertragen wird.26
21
Vgl. zu den einzelnen Aktivitäten innerhalb des Zertifizierungsprozesses Gadatsch, Klein,
Münchhausen (2013), S. 13 und Bundesamt für Sicherheit in der Informationstechnik (2014), S. 2527.
22
Vgl. Bruhn (2008), S. 424.
23
Vgl. Sabetta, Bezzi, Kaluvuri (2012), S. 1 und Rannenberg (2000), S. 3.
24
Vgl. Sabetta, Bezzi, Kaluvuri (2012), S. 1.
25
Vgl. zu den Aktivitäten einer Konformitätsbewertung International Organization for Standardization
(2004), S. 2. Begriffsdefinition 2.1.
26
Vgl. Doney, Cannon (1997), S. 37.
7
2.1.3 Kundenanforderungen an Zertifizierungskriterien
Im
Rahmen
dieser
Arbeit
sollen
die
Kundenanforderungen
an
die
Zertifizierungskriterien einer dCZ ermittelt werden. Für den weiteren Verlauf und im
Hinblick auf das Ziel der Arbeit ist es notwendig, die Begriffskombination
Kundenanforderungen an Zertifizierungskriterien zu definieren und ein klares
Verständnis zu schaffen.
Die in dieser Arbeit betrachteten Kunden sind Unternehmen aus der Privatwirtschaft
oder dem öffentlichen Sektor, die bereits einen Cloud-Dienst nutzen oder dies planen.27
Zertifizierungskriterien einer Cloud-Zertifizierung sind einzelne, meist in Frageform
formulierte Forderungen, die sich an vielfältige technische, rechtliche, organisatorische
oder auch personelle Aspekte eines Cloud-Dienstes richten.28 Diese werden im Rahmen
einer Cloud-Zertifizierung auf ihre Einhaltung hin überprüft. Eine Kundenanforderung
kann als eine Erwartung des Kunden aufgefasst werden. Diese Erläuterungen
zusammengenommen
definieren
Zertifizierungskriterien
die
und
beschreiben
Erwartungen,
die
Kundenanforderungen
an
Cloud-Kunden
die
an
Zertifizierungskriterien einer Cloud-Zertifizierung stellen.
Um die Begriffskombination weiter zu konkretisieren, werden die in Tabelle 2-1
dargestellten
Eigenschaften
festgelegt,
die
Kundenanforderungen
an
die
Zertifizierungskriterien einer dCZ charakterisieren. Eigenschaften 1 und 2 ergeben sich
aus der Zielstellung dieser Arbeit. Die 3. Eigenschaft, die besagt, dass die Umsetzung
der Anforderung für Cloud-Kunden einen Mehrwert bieten soll, wird aus der Annahme
abgeleitet, dass Kunden nur Anforderungen stellen, die für sie zu einem Vorteil bzw.
Nutzen führen. Eigenschaft 4 ergibt sich aus den vorhergehenden Ausführungen.29 Die
5. und letzte Eigenschaft resultiert aus dem beschriebenen Praxisproblem dieser Arbeit.
27
Vgl. hierzu Fußnote 18.
28
Vgl. hierzu die Dimension „Assurance“ in der Taxonomie von Schneider u. a. (2014), S. 5003.
29
Vgl. Kapitel 1.1, Absatz 3-5.
8
Nr. Eigenschaft
1
Die Anforderung bezieht sich auf einzelne bzw. auf alle Zertifizierungskriterien.
2
Die Anforderung ist für Cloud-Kunden relevant.
3
Die Umsetzung einer Anforderung soll Cloud-Kunden einen Mehrwert bieten.
4
Die Umsetzung einer Anforderung trägt zur Steigerung des Nutzens und der Akzeptanz
einer dCZ aus Kundensicht bei.
5
Aus der Anforderung können Gestaltungsempfehlungen abgeleitet werden, die bei der
Entwicklung einer dCZ berücksichtigt werden sollen.
Tab. 2-1: Eigenschaften einer Kundenanforderung an ein Zertifizierungskriterium einer dynamischen
Cloud-Zertifizierung
2.2
Zertifizierungen im Cloud-Umfeld
Im IT-Umfeld sind Zertifizierungen keine Neuheit, sondern werden schon seit längerer
Zeit als Instrument zur Vertrauensbildung eingesetzt.30 Aufgrund der essentiellen
Eigenschaften des Cloud-Computing-Modells sind jedoch spezielle, cloud-spezifische
Zertifizierungen erforderlich.31 Um die Grundlagen für die nachfolgenden Kapitel zu
schaffen, wird in diesem Kapitel auf die Zertifizierung von Cloud-Diensten und auf
deren Gründe und Nutzen eingegangen (Kapitel 2.2.1 und 2.2.2). Darüber hinaus wird
ein Einblick in die Herausforderungen bei der Zertifizierung von Cloud-Diensten
gegeben (Kapitel 2.2.3).
2.2.1 Definition: Cloud-Zertifizierung
In Anlehnung an die Ausführungen in Kapitel 2.1.2 wird eine Cloud-Zertifizierung
definiert als der Prozess zur Vergabe eines Cloud-Zertifikates, welches von einer
Zertifizierungsstelle ausgestellt wird und zum Zeitpunkt der Vergabe bestätigt, dass der
zertifizierte Cloud-Dienst die dem Zertifikat zugrundeliegenden Zertifizierungskriterien
erfüllt. Die Überprüfung und Bewertung der Einhaltung der Zertifizierungskriterien
wird von einem akkreditierten, unabhängigen Dritten, dem Auditor, durchgeführt und
als Auditierung bezeichnet.32 Der Auditor richtet sich hierbei nach einem Prüfstandard
und
einem
Zertifizierungsschema,33
welche
von
einer
Zertifizierungsstelle
30
Vgl. Munoz, Mana (2013), S. 103.
31
Vgl. hierzu Kapitel 1.1, Absatz 3 sowie Kapitel 2.2.3.
32
Vgl. International Organization for Standardization (2004), S. 4 und Cimato u. a. (2013), S. 92.
33
Vgl. zur Funktion eines Prüfstandards Voßbein (2006), S. 714.
9
herausgegeben werden. Dass sich Cloud-Kunden auf die durch das Zertifikat
zugesicherten Eigenschaften des zertifizierten Cloud-Services verlassen können, stellt
das Hauptziel einer Cloud-Zertifizierung dar.34
Im Laufe der letzten Jahre wurde eine Reihe von Cloud-Zertifizierungen entwickelt.35
Die Entwicklung dieser Cloud-Zertifizierungen erfolgte unabhängig voneinander, was
dazu führte, dass bereits eine Vielzahl an Cloud-Zertifizierungen existieren, die
überwiegend proprietär sind, auf verschiedenen Standards aufbauen und sich in ihrem
Umfang, den Auditprozessen und ihren zugrundeliegenden Zertifizierungsschemata
unterscheiden.36 Der Großteil der bestehenden Cloud-Zertifizierungen befindet sich
derzeit noch in der Entwicklung und es mangelt in der Praxis an einem weit
verbreiteten, von Kunden- und Anbieterseite anerkannten Zertifizierungsstandard für
Cloud-Dienste.37 Prominente Beispiele für bereits in der Praxis eingesetzte CloudZertifizierung sind die STAR-Zertifizierung der Cloud Security Alliance38 und die
ECSA-Zertifizierung (EuroCloud Star Audit) der EuroCloud Europe.39
2.2.2 Gründe und Nutzen einer Cloud-Zertifizierung
Neben den technischen und ökonomischen Vorteilen40, die Unternehmen beim Einsatz
von Cloud-Computing-Lösungen realisieren können, ist die Nutzung eines CloudDienstes und die Auslagerung von sensiblen Daten und Anwendungen für Unternehmen
mit Unsicherheiten und großen Risiken verbunden, weshalb Unternehmen vor dem
Einsatz von Cloud-Computing-Lösungen zurückschrecken. Zu diesen Risiken zählen
der
Kontrollverlust
über
die
Datenverarbeitung41,
diverse
Sicherheitsrisiken42
(Vertraulichkeit, Integrität und Verfügbarkeit), die mögliche Verletzung der
34
Vgl. zur Verlässlichkeit als Hauptziel der Cloud-Zertifizierung Munoz, Mana (2013), S. 103.
35
Für eine umfangreiche Übersicht zu bestehenden Cloud-Zertifizierungen
https://resilience.enisa.europa.eu/cloud-computing-certification.
36
Vgl. Schneider u. a. (2014), S. 4998.
37
Vgl. Munoz, Mana (2013), S. 104 sowie Schneider, Lansing, Sunyaev (2013), S. 17.
38
https://cloudsecurityalliance.org/star/certification/.
39
https://eurocloud-staraudit.eu/de/zertifizierungen/ecsa-audit.html.
40
Vgl. hierzu die Ausführungen des Kapitels 1.1.
41
Vgl. Hale, Gamble (2013), S. 125, Marston u. a. (2011), S. 181 und Munoz, Mana (2013), S. 103.
42
Vgl. Juels, Oprea (2013), S. 64, Subashini, Kavitha (2011), S. 1, 5-7, Marston u. a. (2011), S. 185
sowie Grobauer, Walloschek, Stöcker (2011), S. 50.
10
Datenschutzgesetze43 und Compliance-Vorgaben sowie die Abhängigkeit vom Provider
und der sogenannte Lock-In-Effekt44. Der Eintritt dieser Risiken kann für ein
Unternehmen weitreichende Folgen haben, die im schlimmsten Fall zu finanziellen
Einbußen (Störungen des eigenen Geschäftsbetriebes, Strafzahlungen) oder sogar zum
Verlust der Reputation und Kunden führen können.45 Aus Kundensicht entstehen
Unsicherheiten insbesondere durch die mangelnde Transparenz der beim CloudAnbieter eingesetzten Sicherheitsmaßnahmen und Abläufe.46 Aufgrund dieser
Unsicherheiten und Risiken erfordert die Nutzung von Cloud-Diensten ein umfassendes
Vertrauen in den Cloud-Anbieter.47 Jedoch ist das derzeitige Cloud-Ökosystem durch
Intransparenz geprägt,48 was die Bildung eines ausreichenden Vertrauensverhältnisses
zum Cloud-Anbieter erschwert.
Möchten Unternehmen (Cloud-Kunden) unter den zuvor beschriebenen Gegebenheiten
dennoch Cloud-Computing-Lösungen einsetzen, damit sie deren Vorteile realisieren
können, haben sie zwei Möglichkeiten, um den Unsicherheiten und Risiken angemessen
entgegenzuwirken und das Vertrauen zum Cloud-Anbieter herzustellen. Die erste
Möglichkeit besteht darin, dass Unternehmen selbst tätig werden und eine eigene
Risikoanalyse und -bewertung durchführen. Die eigenständige Risikoanalyse und
-bewertung ist jedoch nur bei einer ausreichenden Informationslage möglich. Auf
Kundenseite besteht hierbei das Problem, dass die Informationsbeschaffung und
Validierung der Informationen, um jeden in Frage kommenden Cloud-Service einer
umfangreichen Risikoanalyse unterziehen zu können, sehr aufwändig ist und es den
meisten Cloud-Kunden hierzu häufig an ausreichenden Ressourcen mangelt.49 Zudem
besteht die Gefahr, dass der Cloud-Anbieter Informationen vorenthält oder diese
verfälscht. Auf der Anbieterseite führt die Vielzahl der Kundenanfragen zu
zusätzlichem Aufwand. Um diese Problematik zu umgehen, besteht für Unternehmen
die zweite Möglichkeit darin, auf Cloud-Zertifikate zurückzugreifen, da diese die
43
Vgl. Paulus (2011), S. 319 und Kunz, Niehues, Waldmann (2013), S. 521.
44
Vgl. Armbrust u. a. (2010), S. 54-55 und Koehler, Anandasivam, Dan (2010), S. 3.
45
Vgl. Pearson (2013), S. 13.
46
Vgl. Kunz, Niehues, Waldmann (2013), S. 521.
47
Vgl. Windhorst, Sunyaev (2013), S. 412.
48
Vgl. Sunyaev, Schneider (2013), S. 33 und Cimato u. a. (2013), S. 92.
49
Vgl. Kapitel 1.1.
11
notwendige Transparenz zur Bewertung und Reduzierung von Risiken und
Unsicherheiten sowie das Vertrauen in Cloud-Dienste herstellen können.50
So zeigen bisherige Forschungsergebnisse, dass sowohl Cloud-Kunden als auch
-Anbieter einen Nutzen in einer Zertifizierung von Cloud-Diensten sehen. Der größte
Nutzen für Cloud-Kunden liegt darin, dass ihnen eine Cloud-Zertifizierung objektive
Informationen zu einem Cloud-Dienst und den damit verbundenen Risiken bereitstellen
kann,51 die ihnen ansonsten verborgen geblieben wären oder die sie selbst aufwändig
hätten ermitteln müssen. Hierdurch verbessert sich ihre Informationslage und die
Intransparenz sowie Unsicherheiten werden reduziert. Darüber hinaus kann sie durch
die Zusicherung bestimmter Eigenschaften des Cloud-Services Transparenz am Markt
schaffen, Entscheidungsträger bei der Suche und Auswahl geeigneter Cloud-Dienste
unterstützen sowie das Vertrauen in und die Akzeptanz für Cloud-Dienste herstellen,52
denn je mehr Informationen einem Kunden zu einem Cloud-Service zur Verfügung
stehen, desto leichter ist es, diesem Cloud-Anbieter zu vertrauen.53 Ein Zertifikat stiftet
für Kunden jedoch nur dann einen Nutzen, wenn sie sich auf die durch das Zertifikat
zugesicherten Eigenschaften eines Cloud-Dienstes verlassen können. Aus Sicht eines
Cloud-Betreibers können Cloud-Zertifikate zu Werbezwecken eingesetzt werden und zu
Wettbewerbsvorteilen führen, da sie die Kaufentscheidung von Konsumenten positiv
beeinflussen.54 Cloud-Anbieter, welche die Informationssicherheit gewährleisten und
dies insbesondere gegenüber Kunden nachweisen, können ein höheres Vertrauen
genießen.55 Zudem ermöglichen Cloud-Zertifikate die Überprüfung und Verbesserung
der eigenen Systeme und Prozesse.56 Damit Cloud-Anbieter einen ökonomischen
Nutzen in einer Cloud-Zertifizierung sehen und bereit sind, in diese zu investieren, muss
eine Cloud-Zertifizierung weit verbreitet und anerkannt sein sowie von Cloud-Kunden
nachgefragt werden.
50
Vgl. Sunyaev, Schneider (2013), S. 34 und Bernnat u. a. (2012), S. 133.
51
Vgl. Windhorst, Sunyaev (2013), S. 412.
52
Vgl. Schneider, Lansing, Sunyaev (2013), S. 13.
53
Vgl. Windhorst, Sunyaev (2013), S. 412.
54
Vgl. Schneider, Lansing, Sunyaev (2013), S. 14, Bock (2008), S. 611, Schneider, Lins (2015), S. 2 und
Sturm, Lansing, Sunyaev (2014), S. 10.
55
Vgl. Office of the Government Chief Information Officer (2013), S. 26.
56
Vgl. zu diesem und dem nachfolgenden Satz Schneider, Lansing, Sunyaev (2013), S. 14.
12
Der Nutzen und die Effektivität einer Cloud-Zertifizierung sind jedoch an bestimmte
Rahmenbedingungen geknüpft, welche die existierenden Cloud-Zertifizierungen derzeit
nur teilweise erfüllen.57 Dies wird insbesondere daran deutlich, dass sowohl CloudAnbieter als auch -Kunden die derzeitige Relevanz von Cloud-Zertifizierungen zur
Unterstützung von Entscheidungsprozessen als eher gering einschätzen. Das liegt zum
einen am aktuellen Entwicklungsstand des Zertifizierungsmarktes und zum anderen
daran, dass derzeitige Zertifizierungen die Anforderungen des Marktes noch nicht
umfassend abdecken. Diesem Umstand soll mit der Entwicklung einer dCZ Rechnung
getragen werden, indem hierbei die erforderlichen Rahmenbedingungen und
Kundenanforderungen berücksichtigt werden. Einen ersten Beitrag hierzu haben
LANSING, SCHNEIDER und SUNYAEV (2013) in einer empirischen Studie gelegt und
ermittelt, welche Anforderungen aus Praxissicht an eine effektive und nützliche CloudZertifizierung gestellt werden und daraus Gestaltungsempfehlungen abgeleitet.58 Jedoch
bleibt trotz dieses Forschungsbeitrages offen, welche Anforderungen Cloud-Kunden an
die Zertifizierungskriterien stellen, sodass mit dieser Arbeit ein weiterer Beitrag
geleistet werden soll, um eine effektive und nützliche dCZ entwickeln zu können.
2.2.3 Herausforderungen bei der Zertifizierung von Cloud-Diensten
Im Folgenden wird erläutert, warum die Zertifizierung von Cloud-Diensten keine
triviale Aufgabe ist, sondern eine Herausforderung darstellt.
Die Hauptgründe hierfür liegen in den charakteristischen Merkmalen und der
Komplexität des Cloud-Computing-Modells.59 Die charakteristischen Merkmale des
Cloud-Computing-Modells,
wie
Skalierbarkeit,
am
Bedarf
orientierte
Ressourcenallokation, flexible Servicezusammenstellung und rapide technologische
Weiterentwicklung führen zu einer hohen Dynamik des Cloud-Dienstes und zu
komplexen, sich ständig wandelnden Systemstrukturen.60 Die größte Gefahr dieser
Veränderbarkeit ist, dass der zertifizierte Cloud-Service den spezifischen Forderungen
57
Vgl. zu diesem und den anschließenden beiden Sätzen Schneider, Lansing, Sunyaev (2013), S. 13-15,
17.
58
Vgl. zu diesen Gestaltungsempfehlungen Schneider, Lansing, Sunyaev (2013), S. 15-16.
59
Vgl. zu den charakteristischen Merkmalen Kapitel 2.1.1.
60
Vgl. Kunz, Niehues, Waldmann (2013), S. 522 und Spanoudakis, Damiani, Mana (2012), S. 175.
13
eines oder mehrerer Zertifizierungskriterien nicht mehr entspricht bzw. diese verletzt.61
Als Folge ist die Zertifikatsaussage, auf die sich der Cloud-Kunde verlässt, nicht mehr
gültig. Die Eigenschaft der Skalierbarkeit und der am Bedarf orientierten
Ressourcenallokation bedeutet, dass die Software- und Hardware-Ressourcen eines
Cloud-Dienstes meist von vielen verschiedenen Mandanten (gleichzeitig) genutzt
werden und sich die Zuweisung der Ressourcen dynamisch verändert, was die
Komplexität einer Cloud-Zertifizierung erhöht.62 Die flexible Servicezusammenstellung,
bei der Cloud-Dienste und -Infrastrukturen aus einer Kombination mehrerer Dienste
bestehen, die zum Teil von verschiedenen Cloud-Anbietern an verschiedenen
Standorten betrieben werden, die unterschiedlichen nationalen Gesetzgebungen
unterliegen, führt zum einen dazu, dass bei einer Cloud-Zertifizierung mehrere CloudDienste überprüft werden müssen und zum anderen dazu, dass die verschiedenen
gesetzlichen Vorgaben von einer Cloud-Zertifizierung berücksichtigt werden müssen.63
Zudem muss auch die Veränderbarkeit des äußeren Cloud-Umfeldes bei einer CloudZertifizierung berücksichtigt werden, um das Zertifizierungsschema an diese
anzupassen.64 Zum Beispiel müssen neu aufkommende Sicherheitslücken und -risiken,
veränderte Gesetzgebungen und Compliance-Vorgaben von einer Cloud-Zertifizierung
einbezogen und gegebenenfalls bereits zertifizierte Cloud-Dienste nachgeprüft werden.
Neben den charakteristischen Merkmalen wird die Komplexität zusätzlich durch die
Vielzahl verschiedener Service- und Bereitstellungsmodelle erhöht, bei denen es
darüber hinaus vielfältige Kombinationsmöglichkeiten gibt. Durch diese verschiedenen
Modelle variieren die Zuständigkeits- und Verantwortungsbereiche des CloudAnbieters, respektive der Cloud-Kunden, in Abhängigkeit vom jeweiligen Modell.65
Beispielsweise stellt der Cloud-Anbieter eines IaaS die zugrundeliegende Infrastruktur
und Hardware bereit, jedoch liegt die Verantwortung für das Betriebssystem, die
Systemkonfiguration, das Einspielen von Patches, Updates, Upgrades und die
Einrichtung eines effektiven Backupsystems beim Cloud-Kunden. Fehlerhaftes
61
Vgl. zu diesem und dem nachfolgenden Satz Cimato u. a. (2013), S. 93, Rannenberg (1998), S. 68,
sowie Munoz, Mana (2013), S. 103.
62
Vgl. Kunz, Niehues, Waldmann (2013), S. 522.
63
Vgl. Windhorst, Sunyaev (2013), S. 413-414.
64
Vgl. zu diesem Absatz Schneider, Lins (2015), S. 1.
65
Vgl. zu diesem und dem nachfolgenden Satz Hogben, Dekker (2012), S. 22-23.
14
Verhalten des Cloud-Kunden, das eine Cloud-Zertifizierung nicht bzw. nur mit
zusätzlichem
Aufwand
abdecken
kann,
kann
hierbei
zu
schwerwiegenden
Sicherheitsrisiken führen.
Fasst man die genannten Punkte zusammen, so wird deutlich, dass die Zertifizierung
von Cloud-Diensten nicht mit der traditionellen Zertifizierung von IT-Systemen
vergleichbar ist. Daher sind spezifische Cloud-Zertifizierungen erforderlich, welche die
cloud-bezogenen Besonderheiten berücksichtigen und die daraus resultierenden
Herausforderungen angemessen adressieren.
3
Dynamische Cloud-Zertifizierung
Wie die Ausführungen in Kapitel 2.2.3 herausstellen, stellt die Zertifizierung von
Cloud-Diensten
eine
Herausforderung
dar.
Zudem
sind
cloud-spezifische
Zertifizierungen erforderlich, um die beschriebenen Herausforderungen angemessen zu
adressieren.
Die große Schwäche der bereits entwickelten Cloud-Zertifizierungen ist, dass die
Überprüfung der Zertifizierungskriterien in relativ großen Zeitabständen (bspw. alle 1-3
Jahre66) erfolgt, weshalb sie im Kontrast zur dCZ als statisch charakterisiert werden
können. Der große Zeitabstand birgt das Risiko, dass die Einhaltung von
Zertifizierungskriterien zwischen diesen Zeitpunkten nicht mehr gewährleistet ist,
wodurch unter Umständen kritische Sicherheitsrisiken entstehen. Aus Sicht der CloudKunden, für welche die Zuverlässigkeit eines Cloud-Zertifikates und die Sicherheit des
zertifizierten Cloud-Dienstes überaus wichtig sind, ist dieses Risiko allerdings nicht
akzeptabel. Aus dieser Problematik kann gefolgert werden, dass aus Praxissicht ein
großer Bedarf an dCZ besteht, dem mit der Entwicklung einer dCZ Rechnung getragen
werden soll.
3.1
Grundgedanke und Konzept
Die dCZ ist ein relativ neues Forschungsfeld, deren Entwicklung noch in den
Kinderschuhen steckt.67 Der Grundgedanke hinter diesem Konzept ist, die Gültigkeit der
66
Vgl. zu den Prüfintervallen verschiedener Cloud-Zertifikate Schneider, Lansing, Sunyaev (2013), S. 14.
67
Vgl. Windhorst, Sunyaev (2013), S. 412 und Schneider u. a. (2014), S. 4999.
15
Zertifizierungskriterien und des Zertifikates möglichst während des gesamten CloudLebenszyklus dauerhaft aufrecht zu erhalten.68 Um dies zu erreichen, ist es notwendig,
den derzeitigen statischen Zertifizierungsprozess im Hinblick auf die inhärente
Flexibilität und Dynamik der Cloud-Umgebung anzupassen und zu erweitern. Durch
diese Zielsetzung kann die dCZ im Vergleich zu herkömmlichen, statischen CloudZertifizierungen als zuverlässiger angesehen werden. Durch diese Anpassungen stellt
die dCZ eine Weiterentwicklung der statischen Cloud-Zertifizierungen dar.
Um die Gültigkeit aufrecht zu erhalten, ist es erforderlich, die Einhaltung der
Zertifizierungskriterien möglichst kontinuierlich zu überprüfen und zu bewerten. Es
kann in diesem Zusammenhang angenommen werden, dass die Zuverlässigkeit der
Einhaltung eines Zertifizierungskriteriums steigt, je häufiger die Gültigkeit dieses
Kriteriums überprüft wird. Die kontinuierliche Überprüfung und Bewertung der
Einhaltung von Zertifizierungskriterien stellt jedoch einen hohen Aufwand dar und ist
ohne den Einsatz technischer Hilfsmittel nicht effizient möglich. Daher stellen (teil-)
automatisierte Auditierungsmethoden zur kontinuierlichen Überprüfung und Bewertung
sowie das dauerhafte Monitoring des Cloud-Services die zentralen Eckpfeiler der dCZ
dar,69 mit denen die Effizienz und die Qualität des Auditierungsprozesses erhöht werden
können.70 Der Einsatz dieser Methoden kann mehrere Vorteile realisieren. Im Hinblick
auf die Effizienz und Wirtschaftlichkeit einer dCZ können diese Methoden die Arbeit
des Auditors vereinfachen, beschleunigen, zu einem geringerem Bedarf an personellen
Ressourcen führen und schlussendlich die Kosten einer dCZ senken und den ROI einer
Zertifizierung aus Sicht des Cloud-Providers erhöhen. Im Hinblick auf die
Verlässlichkeit wird die dCZ dadurch unterstützt, dass Auditierungen in kürzeren bzw.
fortlaufenden Intervallen ermöglicht werden und die Ergebnisse der Auditierungen
aufgrund der mit der Automatisierung einhergehenden Formalisierung der Methodik
messbar und vergleichbar sind. Diese Methoden können folglich die Qualität der dCZ
steigern und schließlich das Vertrauen in diese erhöhen, indem sie die dCZ effizienter
und zuverlässiger gestalten.
68
Vgl. zu diesem und den nachfolgenden beiden Sätzen Windhorst, Sunyaev (2013), S. 414.
69
Vgl. Windhorst, Sunyaev (2013), S. 416, Schneider, Lansing, Sunyaev (2013), S. 16 und Kunz,
Niehues, Waldmann (2013), S. 522.
70
Vgl. zu diesem Teilsatz und den nachfolgenden drei Sätzen Pinkett (2004), S. 45-46.
16
Allerdings besitzt auch der Einsatz dieser Methoden Grenzen, denn nicht alle
Zertifizierungskriterien können kontinuierlich überwacht und auditiert werden.71 Dies
gilt insbesondere für die Auditierung organisatorischer Abläufe und Maßnahmen zum
Schutz der physischen Infrastruktur, bei denen weiterhin die Präsenz des Auditors und
eine manuelle Auditierung erforderlich sind.72 Darüber hinaus kann für die
kontinuierliche Überprüfung der Zertifizierungskriterien auch eine dauerhafte
Anbindung an die Cloud-Systeme erforderlich sein, was gegebenenfalls bei CloudAnbietern aufgrund von dadurch entstehenden Sicherheitsrisiken auf wenig Akzeptanz
treffen könnte.73 Dessen ungeachtet erhebt eine dCZ den Anspruch, möglichst viele und
insbesondere sicherheitskritische Kriterien kontinuierlich zu prüfen.
3.2
Auditierungsmethoden
Wie in Kapitel 3.1 dargelegt, ist zur kontinuierlichen Auditierung der Einsatz (teil-)
automatisierter
Auditierungsmethoden
sowie
ein
kontinuierliches
Monitoring
unabdingbar. Sie stellen eine Grundvoraussetzung für eine effektive und effiziente dCZ
dar.
Die kontinuierliche Auditierung ist eine spezielle Form einer Auditierung und wird
definiert als eine Methode, die Auditresultate parallel zu oder in kurzer Zeit nach dem
Eintritt bestimmter Ereignisse generiert.74 Auf diese ereignisbasierten Auditresultate
kann ein Auditor reagieren und entsprechende Aktionen einleiten, wie beispielsweise
die Anpassung der Auditierungsergebnisse oder die Kontaktaufnahme zum CloudAnbieter. Durch den Einsatz (teil-)automatisierter Auditierungsmethoden können
bestimmte Zertifizierungskriterien fortlaufend, in kurzen Zeitabständen oder, gemäß der
Definition, ereignisbasiert daraufhin überprüft werden, ob sie vom betrachteten CloudService erfüllt werden.
Das kontinuierliche Monitoring wird definiert als eine technische Methode, die ein
stetiges Bewusstsein über den operativen Systemstatus und insbesondere im Hinblick
71
Vgl. Montesino, Fenz (2011), S. 285 und Kunz, Niehues, Waldmann (2013), S. 522.
72
Vgl. Kunz, Niehues, Waldmann (2013), S. 522.
73
Vgl. Schneider, Lins (2015), S. 2.
74
Vgl. Kogan, Sudit, Vasarhelyi (1999), S. 87, 88.
17
auf die Informationssicherheit und die Verfügbarkeit eines Cloud-Dienstes ermöglicht.75
Für einen Auditor liegt der Nutzen eines kontinuierlichen Monitorings darin, dass er bei
der Durchführung einer Auditierung auf die (historischen) Monitoring-Informationen
zurückgreifen kann, um auf deren Basis die Einhaltung der Zertifizierungskriterien zu
bewerten. Damit sich ein Auditor jedoch auf diese Informationen verlassen kann,
müssen diese authentisch und vollständig sein und vor internen und externen
Manipulationen geschützt werden.
Im Rahmen einer dCZ besteht die Hauptaufgabe der Auditierungsmethoden und des
kontinuierlichen Monitorings darin, ausreichende Nachweise zu generieren, auf deren
Basis die Einhaltung der Zertifizierungskriterien bewertet werden kann. Ob die
Bewertung der generierten Nachweise vollautomatisiert durch die Auditierungsmethode
erfolgen kann oder manuell durch den Auditor erfolgen muss, hängt von der
eingesetzten Methode ab. Eine umfangreiche Übersicht zu den verschiedenen
Auditierungsmethoden, die bei einer dCZ zum Einsatz kommen können, bietet der
Forschungsbeitrag von LINS U. A. (2015).76
3.3
Transparenz als ein Erfolgsfaktor
Die Transparenz ist ein entscheidender Faktor für den Erfolg einer dCZ. So trägt die
Transparenz des Zertifizierungsprozesses zur Glaubwürdigkeit und Akzeptanz einer
Zertifizierung bei.77 Der Zertifizierungsprozess soll ausreichend dokumentiert und
öffentlich zugänglich sein. Im Detail sollen u. a. die grundsätzlichen Regeln und
Schritte einer Zertifizierung, die Bedingungen zur Vergabe und zum Widerruf eines
Zertifikates sowie die Akkreditierungen der Auditoren eingesehen werden können.
Zudem müssen Unklarheiten über die Detailtiefe der Zertifizierung ausgeräumt
werden,78 was wiederum einen transparenten Zertifizierungsprozess erfordert. MUNOZ
und MANA (2013) verlangen in diesem Zusammenhang, dass der Zertifizierungsprozess
so gestaltet sein soll, dass die Zuverlässigkeit der Einhaltung der geprüften Kriterien
nachvollziehbar ist.79 Da PAULUS (2011) erwähnt, dass sich Cloud-Kunden nur auf ein
75
Vgl. National Institute of Standards and Technology (2013), S. F-61 und Dempsey u. a. (2011), S. 1.
76
Vgl. Lins u. a. (2015), S. 5354–5358.
77
Vgl. zu diesem und den nachfolgenden beiden Sätzen Bock (2008), S. 613.
78
Vgl. Schneider, Lansing, Sunyaev (2013), S. 15.
79
Vgl. zu diesem und dem nachfolgenden Satz Munoz, Mana (2013), S. 103.
18
Zertifikat verlassen sollen, wenn sie wissen, was zertifiziert wurde,80 soll nicht nur der
Prozess transparent sein, sondern auch die Zertifizierungsinhalte, zu denen insbesondere
die Zertifizierungskriterien zählen. Dies wird zusätzlich dadurch unterstützt, dass
LANSING, SCHNEIDER, SUNYAEV (2013) in einer Interviewstudie die Unklarheit über die
Zertifizierungsinhalte
und
den
-umfang
als
eine
Schwachstelle
aktueller
Zertifizierungen identifiziert haben,81 was wiederum auf eine fehlende Transparenz
zurückgeführt werden kann. Gemäß LANSING und SUNYAEV (2013) sollen die
Zertifizierungsinhalte aussagekräftig, für den zertifizierten Cloud-Dienst relevant und
vertrauensbildend sein, jedoch lassen die Autoren offen, wodurch dies erreicht werden
kann.82 Weiterhin sollen gemäß GORA (2009) die Ergebnisse einer Zertifizierung und
wie die Auditoren zu diesen gekommen sind für eine ausreichende Aussagekraft des
Zertifikates nachvollziehbar und sogar reproduzierbar sein.83 Folglich werden auch an
die Darstellung und den Informationsgehalt der Ergebnisse einer Zertifizierung hohe
Anforderungen gestellt.
Die vorhergehenden Ausführungen verdeutlichen, dass eine Zertifizierung in
verschiedenen Bereichen transparent sein soll. Dies gilt entsprechend auch für die dCZ.
Die Transparenz soll hierbei insbesondere in Bezug auf den Zertifizierungsprozess, die
Zertifizierungsinhalte und die -ergebnisse hergestellt werden. Sind diese Aspekte
gewährleistet, kann dies dazu beitragen, dass sich Cloud-Kunden von der Qualität, der
Zuverlässigkeit, dem Umfang und der Vertrauenswürdigkeit einer dCZ überzeugen
können. Hierdurch können sie schlussendlich das Vertrauen, welches die Voraussetzung
für die Akzeptanz darstellt,84 in eine dCZ entwickeln. Dass Kunden auf diese Weise
Vertrauen aufbauen können müssen, ist vor allem bei neuen Zertifikaten erforderlich, da
diese nur unter bestimmten Voraussetzungen85 von einer Reputation profitieren können.
Überträgt man diese Ergebnisse auf die zugrundeliegende Thematik der Ausarbeitung,
kann die Gewährleistung einer ausreichenden Transparenz in Bezug auf die
80
Vgl. Paulus (2011), S. 319.
81
Vgl. Schneider, Lansing, Sunyaev (2013), S. 16.
82
Vgl. Lansing, Sunyaev (2013), S. 4.
83
Vgl. zu diesem und dem nachfolgenden Satz Gora (2009), S. 238.
84
Vgl. Hofmann, Schumacher (2014), S. 14.
85
Vgl. Cimato u. a. (2013), S. 93 und Meissner (2008), S. 525.
19
Zertifizierungskriterien und den damit verbundenen Bereichen als eine Kernanforderung
der Cloud-Kunden angesehen werden. Von dieser Kernanforderung können weitere
detailliertere Anforderungen abgeleitet werden, die dazu beitragen, die Transparenz
herzustellen.
3.4
Spezifikation und Prüfberichte
Damit die Transparenz bezüglich der Zertifizierungskriterien hergestellt bzw. gesteigert
werden kann, muss eine dCZ den Cloud-Kunden zwei Informationsquellen bereitstellen.
Die erste Quelle ist der Zertifizierungskriterienkatalog, in dem die Spezifikation86 der
einzelnen Zertifizierungskriterien erfolgt und anhand dessen sich Cloud-Kunden über
die Inhalte einer Zertifizierung informieren können. Als zweite Quelle dienen die
Prüfberichte, in denen die Informationen zusammengefasst werden, die bei der
Überprüfung der Zertifizierungskriterien anfallen bzw. aus dieser resultieren. Anhand
der Prüfberichte sollen sich Cloud-Kunden von der Konformität eines zertifizierten
Cloud-Dienstes überzeugen können. Beide Quellen sollen dazu beitragen, dass CloudKunden die Zertifizierungsergebnisse nachvollziehen können und sich u. a. von der
Zuverlässigkeit, Detailtiefe und Angemessenheit der Zertifizierung überzeugen können.
Infolgedessen konzentriert sich die beabsichtigte Anforderungsermittlung insbesondere
darauf, wie die Transparenz innerhalb der beiden Informationsquellen durch
kundenrelevante Informationen in Bezug auf die Zertifizierungskriterien hergestellt
bzw. gesteigert werden kann.
3.5
Zertifizierungskriterienkatalog
Um im weiteren Verlauf zur Veranschaulichung der identifizierten Anforderungen auf
Zertifizierungskriterien einer dCZ zurückgreifen zu können, wird dieser Arbeit eine
Teilmenge eines Kriterienkataloges zugrunde gelegt, der von SCHNEIDER U. A. (2014)
entwickelt wurde.87 Dieser Kriterienkatalog umfasst 328 Zertifizierungskriterien, gegen
die ein Cloud-Dienst bei seiner Zertifizierung evaluiert werden soll. In einer an
SCHNEIDER U. A. (2014) anknüpfenden Forschungsarbeit wurde von LINS (2014) auf
Basis dieses Kriterienkataloges eine Teilmenge herausgearbeitet, die aus 63 Kriterien
86
Die Spezifikation eines Zertifizierungskriteriums wird definiert als die Gesamtheit aller Informationen,
die im Kriterienkatalog zu einem Zertifizierungskriterium angegeben werden.
87
Vgl. zu diesem und dem folgenden Satz Schneider u. a. (2014), S. 5003.
20
besteht, deren jeweiliger Erfüllungsstatus im Rahmen einer dCZ in relativ kurzen
Zeitintervallen erneut überprüft werden soll.88 Dieser Kriterienkatalog befindet sich in
Anhang A1.
4
Methodik
In diesem Kapitel wird das dieser Arbeit zugrundeliegende methodische Vorgehen zur
Ermittlung der Kundenanforderungen beschrieben. Der Ablauf dieses Vorgehens
gliedert sich in drei aufeinander aufbauende Phasen. In der ersten Phase werden
potentielle Kundenanforderungen auf Basis von cloud-bezogenen Publikationen
ermittelt und in einem Anforderungskatalog verzeichnet. In der zweiten Phase werden
die Ergebnisse der ersten Phase in einem Workshop mit Teilnehmern aus der Forschung
diskutiert. Die Ergebnisse des Workshops werden anschließend genutzt, um den
Anforderungskatalog zu überarbeiten. In der dritten Phase werden Expertenaussagen
herangezogen, um die ermittelten Kundenanforderungen zu validieren und einzuordnen.
Im Folgenden werden die einzelnen Schritte innerhalb dieser einzelnen Phasen
dargestellt.
4.1
Herleitung von Kundenanforderungen aus praxisorientierten CloudPublikationen
Die erste Phase dient der Grundlagenschaffung und hat zum Ziel, Kundenanforderungen
aus
kunden-
und
praxisorientierten
Cloud-Publikationen
zu
ermitteln.
Die
Vorgehensweise zur Herleitung dieser Kundenanforderungen lässt sich in zwei
aufeinander aufbauende Schritte unterteilen: Die Auswahl zielführender CloudPublikationen und die anschließende Herleitung von Kundenanforderungen aus diesen
Cloud-Publikationen.
4.1.1 Vorgehensweise zur Auswahl zielführender Cloud-Publikationen
Die Grundlage zur Auswahl zielführender Cloud-Publikationen stellt eine Literaturliste
dar, die in einer vorhergehenden, noch nicht veröffentlichten Forschungsarbeit im März
2014 systematisch zusammengestellt wurde.89 Diese Literaturliste umfasst eine Reihe
88
Vgl. Lins (2014), S. 6-7.
89
Es sei erwähnt, dass der Autor dieser Arbeit nicht an der Zusammenstellung beteiligt war.
21
von überwiegend cloud-bezogenen Publikationen. Zur Ermittlung dieser Publikationen
haben die Autoren dieser Forschungsarbeit in den Suchmaschinen EBSCOhost, Google
und Google Scholar nach folgendem Suchstring gesucht: ‚Cloud‘ AND (‚best practice‘
OR ‚framework‘ OR ‚guideline‘ OR ‚standard‘). Die jeweiligen Suchergebnisse wurden
in die Literaturliste aufgenommen. Zusätzlich haben die Autoren dieser Liste weitere
Publikationen
hinzugefügt,
auf
die
in
zuvor
ermittelten
wissenschaftlichen
Literaturbeiträgen zum Thema Cloud-Computing verwiesen wurden. Anschließend
wurde von ihnen auf den Webseiten der Herausgeber nach den Primärquellen dieser
Publikationen gesucht und der Link zur Primärquelle der Literaturliste hinzugefügt. In
der Literaturliste wurden der Titel, der Herausgeber und das Erscheinungsjahr zu den
einzelnen Publikationen angegeben. Die resultierende Literaturliste umfasst 77 cloudbezogene Publikationen, die sich vor allem in ihrem thematischen Fokus und ihren
Zielen unterscheiden.
Da die Zusammenstellung dieser Publikationen jedoch nicht vor dem Hintergrund der
Ermittlung von Kundenanforderungen an Zertifizierungskriterien erfolgte, kann
angenommen werden, dass nicht jede Publikation zur Zielerreichung dieser Arbeit
geeignet
ist.
Um
jedoch
zur
Ermittlung
der
Kundenanforderungen
an
Zertifizierungskriterien einer dCZ nur Publikationen zu untersuchen, die für diese
Arbeit zielführend sind, muss daher eine Auswahl getroffen werden. Dieser
Auswahlprozess wird im Folgenden beschrieben.
Aufgrund dessen, dass die systematische Zusammenstellung der Literaturliste zum
Zeitpunkt dieser Ausarbeitung bereits knapp neun Monate zurückliegt, werden die
aktuellen Versionen der Publikationen von den Webseiten der Herausgeber
heruntergeladen. Nachdem die Aktualisierung des Literaturbestandes erfolgt ist, startet
der Auswahlprozess. Der Auswahlprozess besteht aus zwei Schritten. Im ersten Schritt
wird eine Auswahl auf Basis formaler Auswahlkriterien getroffen. Zu diesen formalen
Auswahlkriterien gehören u. a. das Publikationsjahr und die öffentliche Verfügbarkeit
der Publikation. Im anschließenden zweiten Schritt erfolgt eine Auswahl auf der
Grundlage inhaltlicher Auswahlkriterien. Zu diesen zählen beispielsweise die
Zielgruppe der Publikation oder der direkte Bezug zur Cloud-Thematik. Um eine
Bewertung im Hinblick auf die Auswahlkriterien treffen zu können, müssen die
gelisteten Publikationen zunächst attribuiert werden. Hierzu werden die Einleitung, die
22
Zusammenfassung und das Inhaltsverzeichnis der einzelnen Dokumente gelesen. Ist
dies zur Bewertung nicht ausreichend, werden weitere Inhalte herangezogen.
Die getroffene Auswahl an Cloud-Publikationen bildet die theoretische Grundlage zur
Ermittlung der Kundenanforderungen.
4.1.2 Vorgehensweise zur Herleitung von Kundenanforderungen aus den
ausgewählten Cloud-Publikationen
Im zweiten Schritt werden mögliche Kundenanforderungen90 aus diesen ausgewählten
Cloud-Publikationen hergeleitet. Dieser Vorgang wird codiert, um die den
Anforderungen zugrundeliegenden Aussagen und Quellen zuordnen zu können und um
hierdurch die Nachvollziehbarkeit der Herleitung zu gewährleisten.
Zur Herleitung werden die ausgewählten Cloud-Publikationen vollständig gelesen und
auf Aussagen hin untersucht, die mindestens ein Ableitungskriterium erfüllen. Erfüllt
eine Aussage ein oder mehrere Ableitungskriterien, so werden diese Aussage und ihre
Quelle in das Codierungsschema übertragen und das zutreffende Ableitungskriterium
vermerkt. Diese Ableitungskriterien ergeben sich aus den vorherigen Ausführungen und
sind in Tabelle 4-1 aufgelistet.
Nr. Ableitungskriterium
1
Die Aussage bezieht sich unmittelbar auf eine Zertifizierung oder eine Auditierung.
2
Die Aussage bzw. ein Aspekt dieser Aussage lässt sich als Anforderung auf einzelne
oder auf alle Zertifizierungskriterien einer dCZ übertragen, um …

… die Transparenz und Nachvollziehbarkeit einer dCZ zu steigern.

… den Cloud-Kunden von der Zuverlässigkeit einer dCZ zu überzeugen.

… den Cloud-Kunden durch die Umsetzung der Anforderung bei einer dCZ
folgende Mehrwerte zu bieten:
o Die Umsetzung der Anforderung unterstützt Cloud-Kunden bei der
Bewertung, ob ein zertifizierter Cloud-Dienst ihren Anforderungen
gerecht wird.
o Die Umsetzung der Anforderung erhöht die Transparenz des CloudServices bzw. des Cloud-Anbieters.
3
Die Aussage stellt eine Empfehlung an Cloud-Kunden dar, welche Informationen sie zur
90
Da die Kundenanforderungen aus Cloud-Publikationen hergeleitet und nicht unmittelbar von CloudKunden ermittelt werden, wäre es präziser, von möglichen Kundenanforderungen zu sprechen. Um
den Lesefluss jedoch nicht zu stören, wird das Adjektiv möglichen im Folgenden jedoch
weggelassen.
23
Bewertung der Risiken und des Sicherheitsniveaus des Cloud-Dienstes heranziehen
sollen. (Diese Informationen könnten im Rahmen einer dCZ durch Zertifizierungskriterien ermittelt und allen Interessenten des Zertifikates, insbesondere den CloudKunden, bereitgestellt werden.)
4
Die Aussage stellt eine Empfehlung an Cloud-Anbieter dar, welche Informationen sie
Cloud-Kunden bereitstellen sollen. (Diese Informationen könnten im Rahmen einer dCZ
durch Zertifizierungskriterien ermittelt und allen Interessenten des Zertifikates,
insbesondere den Cloud-Kunden, bereitgestellt werden.)
5
Aussagen, welche Cloud-Kunden die Ausführung bestimmter Aktivitäten empfehlen, die
unter Umständen von einer Cloud-Zertifizierung übernommen werden können, um die
Cloud-Kunden zu entlasten.
6
Aussagen, die Cloud-Anbietern die Ausführung bestimmter Aktivitäten empfehlen, die
unter Umständen von einer Cloud-Zertifizierung übernommen werden können, um die
Cloud-Anbieter zu entlasten.
Tab. 4-1: Kriterien zur Ableitung von Kundenanforderungen
Die aus den Cloud-Publikationen hergeleiteten Kundenanforderungen dienen als
Grundlage für die anschließende Durchführung des Workshops.
4.2
Workshop im Forschungsumfeld
In der zweiten Phase wird der bisher erstellte Anforderungskatalog in einem Workshop
mit erfahrenen Forschern aus dem Cloud-Computing-Umfeld diskutiert. Die Diskussion
innerhalb des Workshops wird elektronisch aufgezeichnet.
Das Ziel des Workshops ist, die bisher theoretisch ermittelten Anforderungen im
Hinblick auf praxisrelevante Leitfragen (siehe Tabelle 4-3) zu diskutieren, um die
Ergebnisse für die Überarbeitung der ermittelten Kundenanforderungen verwenden zu
können. Als Methodik wird hierzu der Workshop ausgewählt. Dieser ist geeignet, eine
effiziente, kontrollierte und dynamische Arbeitsumgebung zu erzeugen, in der
Anforderungen schnell ermittelt, priorisiert und abgestimmt werden können.91 Bei der
Auswahl der Teilnehmer wird darauf geachtet, dass deren Forschungsschwerpunkt auf
dem Thema Cloud-Computing liegt und sie ein fundiertes theoretisches aber auch
praktisches Wissen in diesem Themenbereich aufweisen.
Zur Durchführung des Workshops werden die aus den Cloud-Publikationen abgeleiteten
Anforderungen in einem Dokument92 zusammengeführt, welches den Teilnehmern zur
91
Vgl. Gottesdiener (2003), S. 52.
92
Vgl. zu diesem Dokument sowie zu dem im übernächsten Satz genannten Informationsblatt Anhang
A2.
24
Vorbereitung auf den Workshop vorab zugesendet wird. Die einzelnen Anforderungen
werden hierzu in das in Tabelle 4-2 dargestellte Schema übertragen, um den
Teilnehmern die notwendigen Informationen zu den einzelnen Anforderungen zur
Vorbereitung bereitzustellen. Darüber hinaus wird den Wissenschaftlern vorab ein
Informationsblatt bereitgestellt, in dem die Ziele, die Vorgehensweise und die
Leitfragen des Workshops beschrieben werden.
ID:
Anforderungsbezeichnung:
Beschreibung:
Quelle(n):
Tab. 4-2: Schema zur Darstellung einer Anforderung
Um die Moderation zu vereinfachen und die Diskussion innerhalb des Workshops
thematisch einzugrenzen, werden die in Tabelle 4-3 aufgeführten Leitfragen eingesetzt,
die den Teilnehmern zur Orientierung während der Diskussion dienen.
Kategorie
Leitfrage
Kunden- und
Praxisrelevanz
Ist die Anforderung für Kunden in der Praxis relevant?
Bietet die Anforderung Kunden in der Praxis einen Mehrwert?
Verständlichkeit
Sind die Bezeichnungen und Beschreibungen der Anforderung präzise und
prägnant?
Strukturierung
Gibt es Anforderungen, die zusammengefasst oder aufgeteilt werden
sollen?
Umsetzbarkeit
Welche organisatorischen und technischen Voraussetzungen und
Herausforderungen existieren bei der Umsetzung der Anforderung?
Bezug
Bezieht sich die Anforderung auf Zertifizierungskriterien oder auf die
Zertifizierung?
Kann eine Anforderung, die spezifisch für bestimmte
Zertifizierungskriterien gilt, sinnhaft auf andere Zertifizierungskriterien
übertragen werden?
-
Gibt es Anforderungen, aus denen sich weitere Anforderungen ergeben
bzw. sich aus diesen ableiten lassen?
Tab. 4-3: Leitfragen zur Orientierung innerhalb des Workshops
Vor Beginn der eigentlichen Diskussion der Anforderungen werden den Anwesenden
die Thematik und Ziele des Workshops vorgestellt. Zudem wird ihnen das bisherige
Vorgehen zur Ermittlung von Anforderungen erläutert und die Vorgehensweise
innerhalb des Workshops vorgestellt. Im Anschluss daran werden offene Fragen seitens
25
der Anwesenden geklärt, um Verständnisprobleme auszuschließen. Danach werden die
Anforderungen der Reihe nach diskutiert. Jede Anforderung wird vom Moderator
vorgestellt und dann unmittelbar diskutiert. Nach Abschluss des Workshops wird die
elektronische Aufzeichnung transkribiert und manuell ausgewertet. Mit den Ergebnissen
des Workshops werden anschließend die Anforderungen überarbeitet.
4.3
Validierung der Ergebnisse mittels Expertenaussagen
Um die aus den Cloud-Publikationen ermittelten und mit den Ergebnissen des
Workshops überarbeiteten Kundenanforderungen einzuordnen und empirisch zu
validieren, wird auf Aussagen von Experten aus der Praxis zurückgegriffen. Diese
Expertenaussagen stammen aus einem vierstündigen Expertenworkshop93, der im
Rahmen des Projektes Next Generation Certification (NGCert)94 im Dezember 2014
durchgeführt wurde.95 Dieses Projekt verfolgt das Ziel, die Forschung und Entwicklung
dynamischer Zertifizierungen für Cloud-Services voranzutreiben und wird vom
Bundesministerium
für
Bildung
und
Forschung
gefördert.
An
diesem
Expertenworkshop nahmen neben einem Moderator und drei Wissenschaftlern vier
Cloud-Anbieter, drei Cloud-Service-Auditoren und zwei Cloud-Service-Berater teil, die
fundierte Praxiserfahrungen aufweisen. Anhand eines Fragenkataloges wurden die für
die Entwicklung einer dCZ relevanten Bereiche, wie möglicher Umfang einer dCZ,
technische
und
organisatorische
Anforderungen
und
Grenzen
einer
dCZ,
Anwendungsfälle einer dCZ, Wertschöpfungskette einer dCZ sowie Risiken und
Risikostrategien einer dCZ diskutiert.
Die Tabelle 4-1 gibt eine Übersicht über die Teilnehmer und deren Kurzbezeichnung.
Die Kurzbezeichnung wird bei der Zitation der Expertenaussagen in den Kapiteln 5 und
6 verwendet.
93
Zur Unterscheidung von dem in Kapitel 4.2 beschriebenen Workshop wird dieser Workshop im
weiteren Verlauf als Expertenworkshop bezeichnet.
94
http://www.isq.uni-koeln.de/ngcert.html und http://www.ngcert.de/.
95
Es sei erwähnt, dass der Autor dieser Ausarbeitung am Expertenworkshop nicht beteiligt war.
26
Kurzbezeichnung
Bezeichnung innerhalb des Transkriptes
CSA#1
Cloud-Service-Zertifizierer-1
CSA#2
Cloud-Service-Zertifizierer-2
CSA#3
Cloud-Service-Zertifizierer-3
CSP#1
Cloud-Service-Provider-1
CSP#2
Cloud-Service-Provider-2
CSP#3
Cloud-Service-Provider-3
CSP#4
Cloud-Service-Provider-4
CSB#1
Cloud-Service-Berater-1
CSB#2
Cloud-Service-Berater-2
W#1
Wissenschaftler-1
W#2
Wissenschaftler-2
W#3
Wissenschaftler-3
M
Moderator
Tab. 4-1:Übersicht über Teilnehmer des Expertenworkshops
Da die Diskussion und die Aussagen der Teilnehmer elektronisch mitgeschnitten und
anschließend transkribiert wurden, kann das Transkript96 nun in dieser Arbeit zur
Einordnung und Validierung der ermittelten Kundenanforderungen herangezogen
werden. Hierzu wird das Transkript mit Hilfe der Software „NVivo 10“97 codiert und in
einem,
zum
Teil
iterativen
Prozess
qualitativ
ausgewertet.
Ziel
des
Auswertungsprozesses ist, die für die Forschungsfrage und die ermittelten
Kundenanforderungen
relevanten
Inhalte
und
Aspekte
aus
dem
Transkript
herauszuarbeiten, um mit diesen die hergeleiteten Kundenanforderungen bewerten zu
können.
Der Auswertungsprozess gestaltet sich wie folgt. Zur Strukturierung der Inhalte des
Transkriptes wird zunächst ein initiales Codierungsschema erstellt, welches sich an dem
zugrundeliegenden Fragenkatalog des Expertenworkshops orientiert. Im Anschluss
daran werden die Aussagen der Teilnehmer den Themenknoten des initialen
Codierungsschemas thematisch zugeordnet. In dem darauffolgenden iterativen Prozess
wird das Codierungsschema zum einen durch die Bildung weiterer thematischer
Unterknoten und zum anderen durch die Erstellung von Codierungsknoten für jede
96
Das Transkript des Expertenworkshops befindet sich in Anhang A3.
97
Für weitere Informationen vgl. http://www.qsrinternational.com/products_nvivo.aspx.
27
bereits ermittelte Kundenanforderung verfeinert, wobei die Erweiterung des
Codierungsschemas grundsätzlich vor dem Hintergrund der Zielstellung dieser Arbeit
erfolgt. In mehreren Durchläufen werden dabei insbesondere Expertenaussagen
herausgearbeitet, die sich auf Cloud-Kunden oder die ermittelten Kundenanforderungen
beziehen, und diese den jeweiligen Unterknoten zugeordnet.
Das Resultat der beschriebenen Vorgehensweise und des Codierungs- und
Auswertungsprozesses ist der finale Anforderungskatalog, der in Kapitel 6 vorgestellt
wird.
5
Ergebnisse der einzelnen Phasen der Anforderungsermittlung
Wie im vorhergehenden Kapitel zur Methodik beschrieben, gliedert sich das Vorgehen
zur Ermittlung der Kundenanforderungen an die Zertifizierungskriterien einer dCZ in
drei Phasen. In diesem Kapitel werden die Ergebnisse dieser drei Phasen dargelegt.
5.1
Zur
Literaturbasierte Anforderungsermittlung
Vorstellung
der
Ergebnisse
des
Vorgehens
zur
literaturbasierten
Anforderungsermittlung wird in Kapitel 5.1.1 zunächst auf die notwendige Auswahl
zielführender Cloud-Publikationen eingegangen. Im Anschluss daran wird in Kapitel
5.1.2 die Herleitung von Kundenanforderungen aus diesen Publikationen anhand von
ausgewählten Beispielen beschrieben.
5.1.1 Auswahl zielführender Cloud-Publikationen
In den folgenden Ausführungen wird dargelegt, welche Auswahlkriterien zur Auswahl
zielführender
Cloud-Publikationen
konkret
angewendet
werden
und
welche
Publikationen schlussendlich zur Herleitung von Kundenanforderungen untersucht
werden.
Auswahl auf Basis formaler Auswahlkriterien
Die Tabelle 5-1 gibt zunächst eine Übersicht über die formalen Auswahlkriterien. Die
dort gelisteten Auswahlkriterien werden in der angegebenen Reihenfolge auf die
Publikationen angewendet. Das bedeutet, dass jedes nachfolgende Auswahlkriterium
nur noch auf die Publikationen angewendet wird, die nach Anwendung des
vorhergehenden Auswahlkriteriums verbleiben.
28
Nr. /
Reihenfolge
Auswahlkriterium
1
Die Cloud-Publikation ist im Jahr 2011 oder später veröffentlicht worden.
2
Die Cloud-Publikation ist kostenfrei und öffentlich (zum Download) verfügbar.
Eine Registrierung oder Mitgliedschaft ist für den Download nicht erforderlich.
3
Der Eintrag in der Literaturliste verweist auf ein in sich geschlossenes
Dokument im PDF-Format und nicht auf eine HTML-Seite oder Excel-Datei.98
4
Die Entwicklung der Cloud-Publikation ist abgeschlossen. Die Publikation
befindet sich nicht im Entwurfsstadium.
Tab. 5-1: Übersicht zu den formalen Auswahlkriterien und deren Anwendungsreihenfolge
Durch das 1. Auswahlkriterium wird festgelegt, dass nur Cloud-Publikationen
berücksichtigt werden, die im Jahr 2011 oder später veröffentlicht wurden. Hierdurch
soll gewährleistet werden, dass die Publikationen die jüngsten Entwicklungen und
Fortschritte im Themenfeld des Cloud-Computings berücksichtigen und aufnehmen
konnten. Dieses Auswahlkriterium reduziert die Anzahl an Publikationen von 77 auf 55.
Die Anwendung des 2. Auswahlkriteriums auf die verbleibenden 55 Publikationen
verringert die Anzahl auf 44 Publikationen, da elf Publikationen nur nach einer
Registrierung oder durch eine Mitgliedschaft verfügbar sind. Durch das 3. und 4.
Auswahlkriterium wird die Anzahl weiter auf 31 bzw. 30 Publikationen reduziert. Die
Tabelle 5-2 fasst die quantitativen Resultate der Auswahl auf Basis der formalen
Auswahlkriterien nochmals zusammen. Schlussendlich verbleiben 30 Publikationen, die
der folgenden Auswahl auf Basis der inhaltlichen Auswahlkriterien zugrunde gelegt
werden.
98
Bei der Attribuierung der Publikationen der Literaturliste wurde festgestellt, dass sich hinter einigen
Einträgen keine Publikationen verbergen, sondern Webseiten, Verweise auf eigenständige
Zertifizierungsprogramme oder Entwicklungsprojekte auf der Plattform Google Developers.
29
Auswahlkriterien
Anzahl99
Anzahl an Publikationen in der zugrundeliegenden Literaturliste.
77
1. Anzahl verbleibender Publikationen, die im Jahr 2011 oder später veröffentlicht
wurden.
55
2. Anzahl verbleibender Publikationen, die öffentlich verfügbar sind.
44
3. Anzahl verbleibender Publikationen, die als ein in sich geschlossenes PDFDokument verfügbar sind.
31
4. Anzahl verbleibender Publikationen, die sich nicht in der Entwicklung befinden.
30
Tab. 5-2: Quantitative Ergebnisse des Auswahlprozesses auf Basis formaler Auswahlkriterien
Auswahl auf Basis inhaltlicher Auswahlkriterien
Die verbleibenden 30 Publikationen werden in diesem Schritt inhaltlich untersucht und
daraufhin bewertet, ob sie den inhaltlichen Auswahlkriterien entsprechen. Die Tabelle
5-3 gibt eine Übersicht zu den inhaltlichen Auswahlkriterien, die diesem Schritt
zugrunde gelegt werden. Zur Bewertung werden die Einleitung, die Zusammenfassung
und das Inhaltsverzeichnis gelesen. Sofern dies zur Bewertung nicht ausreicht, werden
weitere Inhalte der Publikationen gelesen.
Nr. Auswahlkriterien
5
Zielgruppe: Die Publikation richtet sich insbesondere an Cloud-Kunden.
6
Die Publikation wurde speziell für das Cloud-Computing-Modell entwickelt.
7
Die Publikation behandelt nicht ausschließlich das Thema Datenschutz.
8
Die Publikation richtet sich nicht an Anwendungsentwickler.
9
Die Publikation ist nicht auf ein spezielles Cloud-Bereitstellungsmodell oder
-Servicemodell beschränkt.
10
Die Publikation behandelt nicht das Thema Geschäftsmodelle im Cloud-Computing.
Tab. 5-3: Übersicht zu den inhaltlichen Auswahlkriterien und deren Anwendungsreihenfolge
Die inhaltlichen Auswahlkriterien reduzieren die Publikationen von 30 auf 17 Stück.
Die quantitativen Ergebnisse dieses zweiten Schrittes werden in der Tabelle 5-4
aufgeführt.
99
Gibt die Anzahl der nach Anwendung des jeweiligen Auswahlkriteriums verbleibenden Publikationen
an.
30
Anzahl100
Auswahlkriterien
Anzahl der nach dem ersten Schritt des Auswahlprozesses verbleibenden
Publikationen
30
5. Anzahl verbleibender Publikationen, die sich an die Zielgruppe der CloudKunden richten.
24
6. Anzahl verbleibender Publikationen, die speziell für das Cloud-ComputingModell entwickelt wurden.
22
7. Anzahl verbleibender Publikationen, die nicht ausschließlich das Thema
Datenschutz thematisieren.
20
8. Anzahl verbleibender Publikationen, die sich nicht an Anwendungsentwickler
richten.
19
9. Anzahl verbleibender Publikationen, die nicht auf einzelne Service- oder
Bereitstellungsmodelle beschränkt sind.
18
10. Anzahl verbleibender Publikationen, die nicht das Thema Geschäftsmodelle im
Cloud-Computing thematisieren.
17
Tab. 5-4: Quantitative Ergebnisse des Auswahlprozesses auf Basis der inhaltlichen Auswahlkriterien
Die Liste der zur Untersuchung ausgewählten Cloud-Publikationen wird um fünf CloudPublikationen ergänzt, auf welche in den zuvor ausgewählten Publikationen verwiesen
wird. Diese werden aufgenommen, da sie für die Zielerreichung dieser Arbeit aufgrund
ihrer Inhalte besonders geeignet sind. Dementsprechend werden die Auswahlkriterien
bei diesen fünf Publikationen nicht angewendet.
Schlussendlich werden 22 Cloud-Publikationen ausgewählt, die detailliert auf
Kundenanforderungen an die Zertifizierungskriterien einer dCZ untersucht werden.
Eine Übersicht zu den ausgewählten Publikationen gibt die folgende Tabelle 5-5.101 Die
Codierung, aus der für jede einzelne Publikation hervorgeht, welche Auswahlkriterien
zum Ausschluss führen, befindet sich in Anhang A4.
Nr. ID
Titel
Herausgeber
Jahr
1
1
Sicherheitsempfehlungen für CloudComputing-Anbieter
Bundesamt für Sicherheit in der
Informationstechnik
2012
2
9_1* FedRAMP - Continuous Monitoring Strategy
General Services Administration
2014
3
10
Guidelines on Security and Privacy in Public
Cloud Computing (SP800-144)
National Institute of Standards and
Technology
2011
4
18
Security Guidance for Critical Areas of Focus
Cloud Security Alliance
2011
100
Gibt die Anzahl der nach Anwendung des jeweiligen Auswahlkriteriums verbleibenden Publikationen
an.
101
Cloud-Publikationen, die in der zugrundeliegenden Literaturliste nicht enthalten sind und zusätzlich
hinzugefügt werden, sind innerhalb der Tabelle mit einem „*“ gekennzeichnet.
31
in Cloud Computing
5
28
Guides for Small-to-Mid-Sized Enterprises
(SMEs) in Safe Use of Cloud Computing
ASP-SaaS-Cloud Consortium
2011
6
30
Practical Guide to Cloud-Computing
Cloud Standards Customer Council
2014
7
43
Moving to the Cloud
Cloud-Computing Use Cases
Group
2011
8
47
Sichere Nutzung von Cloud-Anwendungen
Bundesverband IT-Sicherheit e.V.
2012
9
49
Service Measurement Index (SMI)
Carnegie Mellon University
2014
10
61
Cloud Computing Security Considerations
Australian Signals Directorate
2012
11
64
PCI Data Security Standard (PCI DSS) Cloud
Computing Guidelines V2.0
PCI Security Standards Council
2013
12
65
The Notorious Nine: Cloud Computing Top
Threats in 2013
Cloud Security Alliance
2013
13
68
Cloud Computing Synopsis and
Recommendations
National Institute of Standards and
Technology
2012
14
73
Cloud Contracts – What Providers and
Customers should discuss
EuroCloud Austria, u. a.
2012
15
75
Good Practice Guide for securely deploying
Governmental Clouds
European Network and Information 2013
Security Agency
16
76
Eckpunkte für sicheres Cloud Computing –
Bundesverband
Leitfaden für die Auswahl vertrauenswürdiger Informationswirtschaft,
Cloud Service Provider
Telekommunikation und neue
Medien e.V.
2013
17
80*
Cloud Computing - Standards Roadmap (NIST National Institute of Standards and
SP 500-291)
Technology
2013
18
82
Practical Guide to Cloud Service Level
Agreements
Cloud Standards Customer Council
2012
19
83
Practice Guide for Procuring Cloud Services
Office of the Government Chief
Information Officer
2013
20
89*
Sichere Nutzung von Cloud-Diensten
Bundesamt für Sicherheit in der
Informationstechnik
2014
21
94*
Procure Secure – A guide to monitoring of
security service levels in cloud contracts
European Network and Information 2012
Security Agency
22
94_1 Cloud Computing Information Assurance
*
Framework
European Network and Information 2009
Security Agency
Tab. 5-5: Übersicht der ausgewählten Cloud-Frameworks
Im Folgenden wird kurz auf die Inhalte und Themen der ausgewählten CloudPublikationen eingegangen. Die 22 Publikationen besitzen aufgrund des 5. und 6.
Auswahlkriteriums die Gemeinsamkeit, dass sie sich an Cloud-Kunden richten und
einen direkten Bezug zur Cloud-Thematik aufweisen. Jedoch unterscheiden sie sich in
ihren Inhalten und Zielen, die sie verfolgen. Die Publikationen behandeln diverse cloudbezogene Themenbereiche wie verschiedene Sicherheitsaspekte, den Datenschutz, die
Compliance, die Portabilität und Interoperabilität sowie die Vertragsgestaltung
32
zwischen Cloud-Anbietern und -Kunden und konzentrieren sich hierbei vor allem auf
die damit verbundenen Probleme und Risiken aus Kundensicht. Der Detailgrad, mit
dem die Publikationen auf diese Themenbereiche eingehen, variiert. Beispielsweise
reicht die Bandbreite im Bereich der Sicherheitsrisiken von einer reinen Übersicht zu
verschiedenen Sicherheitsrisiken bis hin zu einer detaillierten Beschreibung dieser
Risiken
und
der
Darstellung
der
entsprechenden
Implikationen
für
das
Risikomanagement der Cloud-Kunden. Ein Großteil der Cloud-Publikationen spricht
konkrete Handlungsempfehlungen aus, die Cloud-Kunden in den verschiedenen Phasen
einer
Cloud-Adoption
(Suche,
Auswahl,
Implementierung
und
Beendigung)
berücksichtigen und umsetzen sollen. Die Cloud-Publikationen verfolgen primär das
Ziel, Cloud-Kunden bei der Risikobewertung und Einschätzung des Sicherheitsniveaus
eines Cloud-Anbieters bzw. dessen Cloud-Services zu unterstützen.
Warum
die
ausgewählten
Cloud-Publikationen
zur
Ermittlung
von
Kundenanforderungen an die Zertifizierungskriterien einer dCZ zielführend sind und
untersucht werden, wird im Folgenden dargestellt. Die ausgewählten CloudPublikationen entstammen nicht aus dem theoriegeprägten Bereich der Forschung,
sondern wurden von Branchen- und Interessenverbänden oder nationalen und
internationalen Behörden herausgegeben, die sich an der Praxis orientieren.102 Daher
weisen sie einen engeren Bezug zur Praxis auf, was sich insbesondere dadurch äußert,
dass sie Cloud-Kunden sehr konkrete und praktisch umsetzbare Empfehlungen und
Handlungsanweisungen geben. Genau an diesen vielfältigen praxisbezogenen
Empfehlungen
und
Handlungsanweisungen
setzt
die
Ermittlung
der
Kundenanforderungen an. Dies hat folgenden Grund: Würden Teile dieser
Empfehlungen von einer dCZ abgedeckt und erfüllt, so müssten Cloud-Kunden diese
selbst nicht mehr berücksichtigen, sondern könnten stattdessen auf die dCZ und die
Informationen, die sie zum zertifizierten Cloud-Dienst bereitstellt, zurückgreifen. Im
Rahmen dieser Arbeit wird der Fokus darauf gelegt, welche dieser Empfehlungen auf
die Zertifizierungskriterien einer dCZ übertragen werden können.
102
Die einzige Ausnahme stellt Cloud-Publikation 49 dar, welche von der Carnegie Mellon University
herausgegeben wurde.
33
5.1.2 Untersuchung der ausgewählten Cloud-Publikationen
Zur
Ermittlung der
Kundenanforderungen
werden
die ausgewählten
Cloud-
Publikationen vollständig gelesen und auf Aussagen hin untersucht, bei denen ein oder
mehrere der bereits angeführten Ableitungskriterien103 zutreffen.104 Im Anschluss daran
wird überprüft, inwiefern sich diese Aussagen in Form von Kundenanforderungen auf
die Zertifizierungskriterien einer dCZ übertragen lassen.
Aufgrund des eingeschränkten Seitenumfangs dieser Arbeit kann die Herleitung der
Kundenanforderungen an dieser Stelle nicht für alle identifizierten Anforderungen
beschrieben werden. Um das Vorgehen dennoch zu verdeutlichen, soll der Einsatz der
Ableitungskriterien und die Herleitung der Kundenanforderungen im Folgenden anhand
von vier repräsentativen Anforderungen (A6, A82a, A82b und A8b) dargestellt werden.
Das vollständige Codierungsschema, aus dem hervorgeht, welche Ableitungskriterien
die
einzelnen
Aussagen
erfüllen
und
aus
welchen
Aussagen
welche
Kundenanforderungen abgeleitet werden, befindet sich in Anhang A5.
Anforderung A6105: Angabe von Messgrößen und Messwerten
Mehrere Cloud-Publikationen enthalten Aussagen, die empfehlen, dass der CloudAnbieter dem Cloud-Kunden aus verschiedenen Gründen quantitative Angaben
bereitstellen soll bzw. der Cloud-Kunde diese vom Cloud-Anbieter ermitteln soll. So
wird beispielsweise in einer Publikation gefordert, dass sich der Cloud-Kunde über die
Wiederherstellungszeit nach einem Störfall oder über die Aufbewahrungszeit von
Protokolldaten beim Cloud-Anbieter informieren soll.106 In der gleichen Publikation
wird im Zusammenhang mit der möglichen Vergleichbarkeit verschiedener CloudDienste gefordert, dass quantitative Messwerte bereitgestellt werden sollen, um einen
fundierteren Vergleich zu ermöglichen.107 Bei beiden Forderungen treffen die
Ableitungskriterien 3 und 4 zu. Abstrahiert man von diesen Empfehlungen und
überträgt diese auf die Zertifizierungskriterien einer dCZ, so kann daraus Anforderung
103
Vgl. zu den Ableitungskriterien Kapitel 4.1.2.
104
Vgl. zu diesem Absatz Kapitel 4.1.2.
105
Vgl. für weitere Informationen zu Anforderung A6 Kapitel 6.2.2.
106
Vgl. zur Wiederherstellungszeit Catteddu, Hogben (2009), S. 20 und zu der Aufbewahrungszeit
Catteddu, Hogben (2009), S. 13, 21.
107
Vgl. Catteddu, Hogben (2009), S. 6, 21.
34
A6 abgeleitet werden: „Im Prüfbericht eines Zertifizierungskriteriums sollen Messwerte,
Messgrößen und/oder weitere quantitative Informationen angegeben werden, sofern
dies für dieses Zertifizierungskriterium möglich und sinnvoll ist.“
Anhand von zwei Beispielen wird die Notwendigkeit von quantitativen Angaben
nochmals verdeutlicht. Hierzu werden zwei Zertifizierungskriterien des von SCHNEIDER
U. A.
(2014)
erstellten
Kriterienkataloges
herangezogen.108
So
fordert
das
Zertifizierungskriterium ZKL-066, dass „alle Rollen und deren Rechte im Rahmen des
Zugriffsrechtemanagements regelmäßig überprüft“ werden, jedoch wird nicht definiert,
was unter „regelmäßig“ zu verstehen ist. Um den Informationsgehalt der
Zertifizierungsergebnisse für einen Cloud-Kunden zu erhöhen, soll daher nicht nur
angegeben werden, dass ein Cloud-Service dieses Kriterium erfüllt, sondern auch, in
welchen regelmäßigen Zeitabständen der Cloud-Anbieter die Rollen und deren Rechte
überprüft. Zertifizierungskriterium ZKL-077 verlangt, dass „die betroffenen Kunden
rechtzeitig über entsprechende Sicherheitslücken, -brüche oder -vorfälle informiert“
werden. In diesem Fall soll neben dem Erfüllungsstatus des Zertifizierungskriteriums
auch angegeben werden, in welchem Zeitabstand betroffene Kunden informiert werden.
Anforderungen A82a und A82b109: Angabe des Prüfzeitpunktes und der
auditierenden Organisation
In einer Cloud-Publikation wird u. a. gefordert, dass in der Beschreibung eines
Zertifizierungskriteriums angegeben werden soll, wann die letzte Überprüfung dieses
Zertifizierungskriteriums stattfand und wer diese Überprüfung durchführte.110 Da es sich
hierbei um eine Forderung handelt, die sich unmittelbar auf eine Zertifizierung bezieht,
trifft Auswahlkriterium 1 zu. Aufgrund einer Aussage in einer weiteren CloudPublikation („[…] which reputable third party has performed audits and other
vulnerability assessments?“111) kann das Wer in der zuvor identifizierten Forderung
dahingehend konkretisiert werden, dass explizit die auditierende Organisation
offengelegt
werden
soll,
um
durch
die
mögliche
Reputation
dieser
die
Vertrauenswürdigkeit der Zertifizierung gegenüber Cloud-Kunden signalisieren zu
108
Vgl. zu diesem Zertifizierungskriterienkatalog Kapitel 3.5.
109
Vgl. für weitere Informationen zu den Anforderungen A82a und A82b Kapitel 6.2.2.
110
Vgl. General Services Administration (2014), S. 27-28.
111
Vgl. Australian Signals Directorate (2012), S. 14.
35
können. Da durch die Offenlegung der auditierenden Organisation die Transparenz der
Zertifizierung gesteigert wird, trifft Auswahlkriterium 2 zu. Aus diesen Forderungen
werden
folglich
die
Anforderungen
A82a
(„Im
Prüfbericht
eines
Zertifizierungskriteriums soll der Zeitpunkt der letzten Überprüfung angegeben
werden.“) sowie A82b („Im Prüfbericht eines Zertifizierungskriteriums soll die für die
Auditierung des Zertifizierungskriteriums verantwortliche Organisation angegeben
werden.“) gebildet.
Anforderung A8b112: Angabe des Prüfintervalls
Die Anforderung A8b wird aus Aussagen abgeleitet, bei denen die Auswahlkriterien 2,
3 und 4 zutreffen. So verlangt eine Cloud-Publikation, dass Cloud-Kunden ermitteln
sollen, ob und wie oft der Cloud-Anbieter Penetrationstests und Tests auf
Sicherheitslücken
durchführt.113
Eine
weitere
Publikation
fordert
in
diesem
Zusammenhang, dass der Cloud-Anbieter diese Penetrationstests jährlich oder nach
signifikanten Veränderungen ausführen soll.114 Fasst man diese beiden Forderungen
zusammen, abstrahiert von diesen und überträgt diese auf die Zertifizierungskriterien, so
ergibt sich hieraus die Kundenanforderung A8b: „Bei der Spezifikation eines
Zertifizierungskriteriums soll angegeben werden, in welchem Prüfintervall die
Einhaltung des Zertifizierungskriteriums geprüft wird.“.
Auf diese Art und Weise konnten schlussendlich 62 Kundenanforderungen an die
Zertifizierungskriterien einer dCZ aus den ausgewählten Cloud-Publikationen ermittelt
und als Grundlage für den anschließenden Workshop im Forschungsumfeld verwendet
werden.
5.2
Workshop im Forschungsumfeld
In diesem Kapitel wird nun dargelegt, zu welchen Ergebnissen der Workshop im
Forschungsumfeld führte und wie diese zur Überarbeitung der Anforderungen
herangezogen werden.
112
Vgl. für weitere Informationen zur Anforderung A8b Kapitel 6.1.
113
Vgl. Catteddu, Hogben (2009), S. 21.
114
Vgl. General Services Administration (2014), S. 25.
36
Der Workshop wurde im Januar 2015 durchgeführt. An diesem zweistündigen
Workshop
haben
vier
erfahrene
Wissenschaftler
teilgenommen,
deren
Forschungsschwerpunkte auf dem Themenkomplex des Cloud-Computings liegen. Die
Tabelle 5-1 gibt einen Überblick über die Teilnehmer und deren Rolle und ordnet diesen
jeweils eine Teilnehmer-ID zu, die bei der Zitation von Aussagen in Kapitel 6
verwendet wird.
Ziel des Workshops war, die aus den Cloud-Publikationen theoretisch hergeleiteten
Kundenanforderungen115 im Hinblick auf ihre Praxisrelevanz und Umsetzbarkeit zu
diskutieren. Die Grundlage hierfür war ein Anforderungskatalog, welcher die 62 aus
den Cloud-Frameworks ermittelten Anforderungen enthält.
Teilnehmer-ID
Rolle
TN#1
Wissenschaftler
TN#2
Wissenschaftler
TN#3
Wissenschaftler
TN#4
Wissenschaftler
TN#5
Moderator
Tab. 5-1: Zuordnung von Teilnehmer zu Teilnehmer-ID
Die Diskussion innerhalb des Workshops wurde elektronisch aufgezeichnet,
transkribiert und manuell ausgewertet.116 Bei der Auswertung wurde wie folgt
vorgegangen. Da die Anforderungen der Reihe nach diskutiert wurden, konnten die
Aussagen der Teilnehmer den Anforderungen direkt zugeordnet werden. Diese
Aussagen wurden daraufhin untersucht, ob sie für oder gegen eine Anforderung
sprechen und welche Gründe jeweils genannt wurden. Wurde sich mehrheitlich gegen
eine Anforderung ausgesprochen, so wurde diese gestrichen. Deuteten Aussagen darauf
hin, dass Anforderungen zusammengefasst bzw. aufgeteilt werden sollen und ergab sich
hierzu ein Konsens unter den Teilnehmern, so wurden die betroffenen Anforderungen
zusammengefasst bzw. aufgeteilt. Auf Basis der Ergebnisse des Workshops wurden
darüber hinaus auch die Formulierungen mehrerer Anforderungen überarbeitet, um
diese zu präzisieren.
115
Zur Steigerung des Leseflusses werden Kundenanforderungen im weiteren Verlauf dieses Kapitels nur
noch als Anforderungen bezeichnet.
116
Das Transkript dieses Workshops befindet sich in Anhang A6.
37
Der Workshop führte dazu, dass Anforderungen aus verschiedenen Gründen aufgeteilt,
zusammengefasst oder auch vollständig gestrichen wurden. Im Folgenden wird daher
auf die Gründe für eine Aufteilung, Zusammenfassung oder Streichung von
Anforderungen eingegangen. Im Anschluss daran werden die quantitativen Ergebnisse
der Auswertung des Workshops nochmals kurz zusammengefasst dargelegt.
Gründe für die Streichung von Anforderungen
Es gibt mehrere Gründe, die zu einer Streichung von Anforderungen geführt haben. Der
Hauptgrund hierfür war, dass sich die jeweiligen Anforderungen nicht an
Zertifizierungskriterien richteten, sondern an die gesamte Zertifizierung, und sich diese
auch nicht auf Zertifizierungskriterien übertragen ließen. Ein weiterer Grund für eine
Streichung war, dass die Umsetzung der jeweiligen Anforderung von den Teilnehmern
als zu aufwändig angesehen wurde und folglich vor dem Hintergrund eines
angemessenen Kosten- und Nutzenverhältnisses einer dCZ nicht umsetzbar wäre. Bei
zwei der 62 Anforderungen hat sich innerhalb der Diskussion herausgestellt, dass diese
keine Anforderungen an Zertifizierungskriterien darstellen, sondern funktionale
Anforderungen an einen Cloud-Dienst repräsentieren, sodass auch diese gestrichen
wurden. Schlussendlich führten die genannten Gründe dazu, dass von den
ursprünglichen 62 Anforderungen 37 gestrichen wurden.
Gründe für die Aufteilung und Zusammenfassung von Anforderungen
Die Entscheidung, ob eine Anforderung aufgeteilt werden kann und soll, wurde daran
festgemacht, ob die Umsetzung der aus der Aufteilung resultierenden Anforderungen
unabhängig voneinander erfolgen kann und dennoch der Mehrwert der ursprünglichen
Anforderung für Cloud-Kunden erhalten bleibt. Die Auswertung des Workshops hat
ergeben, dass 7 Anforderungen in weitere 7 Anforderungen aufgeteilt werden konnten.
Zusammengefasst wurden Anforderungen, wenn innerhalb des Workshops festgestellt
wurde, dass deren Forderung und Intention schon durch eine andere, bereits diskutierte
Anforderung abgebildet wurden. In diesem Zusammenhang hat der Workshop ergeben,
dass 10 Anforderungen mit ähnlichen Anforderungen zusammengefasst werden
konnten.
Die Tabelle 5-6 fasst die quantitativen Ergebnisse der Streichung, Aufteilung und
Zusammenfassung nochmals zusammen.
38
Anzahl an…
Anzahl
… Anforderungen, die im Workshop diskutiert wurden:
62
… Anforderungen, die gestrichen wurden:
(-) 37
… Anforderungen, die aus einer Aufteilung resultieren:
7
… Anforderungen, die mit ähnlichen Anforderungen zusammengefasst wurden:
… Anforderungen, die nach der Einarbeitung der Ergebnisse des Workshops im
Anforderungskatalog verblieben:
(-) 10
22
Tab. 5-6: Quantitative Ergebnisse der Überarbeitung des Anforderungskataloges
Nachdem der Anforderungskatalog mit den Ergebnissen des Workshops überarbeitet
wurde, verblieben schlussendlich 22 Anforderungen, die in Kapitel 6 ausführlich
vorgestellt werden. Von diesen 22 Anforderungen beziehen sich 16 Anforderungen auf
den Prüfbericht eines Zertifizierungskriteriums und 6 auf die Spezifikation eines
Zertifizierungskriteriums.
Anpassung des Codierungsschemas
Aufgrund der beschriebenen strukturellen und inhaltlichen Veränderungen der
Anforderungen musste das Codierungsschema im Nachgang an den Workshop
überprüft sowie angepasst werden, wobei dies nur für Anforderungen erfolgte, die nicht
gestrichen wurden. Zum einen musste bei umformulierten Anforderungen geprüft
werden, ob sich die codierten Aussagen noch auf diese Anforderungen beziehen. Zum
anderen wurde bei zusammengefassten Anforderungen geprüft, ob sich die codierten
Aussagen auch auf die daraus resultierende Anforderung übertragen lassen. Die
Anforderungen innerhalb des Codierungsschemas wurden darüber hinaus um Verweise
auf Aussagen der Workshopteilnehmer ergänzt.117 Aufgrund des eingeschränkten
Seitenumfangs dieser Arbeit befinden sich die detaillierten Ergebnisse der Auswertung,
aus denen hervorgeht, welche Anforderungen aufgeteilt, zusammenfasst oder gestrichen
wurden, in Anhang A5.
5.3
Auswertung des Expertenworkshops
Die Auswertung des Expertenworkshops hatte zum Ziel, aus dem dazugehörigen
Transkript
Expertenaussagen
und
Zusammenhänge
herauszuarbeiten,
die
zur
Einordnung und Validierung der aus den Cloud-Publikationen ermittelten und mit den
117
Diese Verweise wurden innerhalb des Codierungsschemas mit einem „T“, gefolgt von der
Identifikationsnummer der Aussage innerhalb des Transkriptes gekennzeichnet.
39
Ergebnissen des Workshops überarbeiteten Kundenanforderungen herangezogen
werden können. Zu welchen Ergebnissen die Auswertung führte, wird im Folgenden
beschrieben.
Die Auswertung des Transkriptes hat ergeben, dass keine Expertenaussagen identifiziert
werden konnten, die die einzelnen Kundenanforderungen unmittelbar validieren.
Hierfür gibt es drei Gründe. Der Hauptgrund liegt darin, dass die ermittelten
Kundenanforderungen nicht die Grundlage des Expertenworkshops waren und somit
nicht zielgerichtet thematisiert wurden. Ein weiterer Grund ist, dass die inhaltlichen
Themen des Expertenworkshops weniger aus der Kundenperspektive betrachtet wurden
als vielmehr aus den Sichtweisen der Cloud-Anbieter und -Auditoren. Zuletzt
erschwerte auch der Unterschied in den Abstraktionsgraden, mit denen die Themen
innerhalb des Expertenworkshops diskutiert wurden und die die ermittelten
Kundenanforderungen
aufweisen,
die
unmittelbare
Validierung
einzelner
Kundenanforderungen. So wurden die Themen innerhalb des Expertenworkshops auf
einem hohen Abstraktionsgrad diskutiert, wohingegen sich die in dieser Arbeit
identifizierten Kundenanforderungen auf einer konkreteren Abstraktionsebene befinden.
Dennoch konnten aus dem Transkript Expertenaussagen herausgearbeitet werden, die
sich
zur
Validierung
der
Kundenanforderungen
auf
einer
übergeordneten
Abstraktionsebene und nicht auf der Ebene der einzelnen Kundenanforderungen
verwenden lassen. So thematisierten die Experten beispielsweise den in Kapitel 3.3
beschriebenen Bedarf an Transparenz und Nachvollziehbarkeit, wie im weiteren Verlauf
dieses Kapitels dargelegt wird. Zuvor sei noch erwähnt, dass aus dem Transkript
darüber hinaus wertvolle Aussagen und Standpunkte herausgearbeitet wurden, die
Teilaspekte der ermittelten Kundenanforderungen betreffen und zu diesen die Experten
wichtige
Informationen liefern. Diese
Informationen werden
aufgrund ihres
unmittelbaren Bezugs zu einzelnen Kundenanforderungen direkt in die Beschreibung
der Anforderungen in Kapitel 6 eingearbeitet, sodass auf diese im weiteren Verlauf
dieses Kapitels nicht weiter eingegangen wird.
Transparenz und Nachvollziehbarkeit
Wie in Kapitel 3.3 dargelegt wird, stellt die Transparenz eine Kernanforderung der
Cloud-Kunden an eine dCZ und deren Zertifizierungskriterien dar. Gleichermaßen
heben auch mehrere Teilnehmer im Expertenworkshop den grundsätzlichen Mangel
40
bzw. Bedarf an Transparenz und Nachvollziehbarkeit in Bezug auf Cloud-Dienste und
Cloud-Zertifizierungen hervor.
So berichtet ein Cloud-Anbieter bezüglich der Transparenz eines Cloud-Dienstes aus
seiner Praxiserfahrung, dass seine Cloud-Kunden häufig bemängeln, dass seine
Leistungen intransparent und nicht nachvollziehbar seien: „[…] diese Fragen: ‚Wie
können wir das nachvollziehen?‘ hören wir von jedem zweiten Kunden. […] Es kommt
immer wieder die Diskussion: ‚Das ist ja intransparent, was sie da machen.‘ […] Aber
das haben wir relativ oft diese Diskussion. Wie können wir das denn nachweisen. […]“
(CSP#3). Aufgrund dessen kann vermutet werden, dass die Transparenz und
Nachvollziehbarkeit der Leistungen des Cloud-Anbieters und -Dienstes für CloudKunden auch aus Praxissicht einen hohen Stellenwert besitzt. In Bezug auf die
Transparenz einer Cloud-Zertifizierungen hebt ein Cloud-Anbieter den Mangel hervor,
dass bei derzeitigen Cloud-Zertifizierungen keine ausreichende Transparenz gegeben
sei, diese jedoch, ohne weitere Gründe zu nennen, gegenüber Cloud-Kunden
gewährleistet sein soll.118 Zur Begründung gibt ein Cloud-Service-Berater an, dass eine
dCZ transparent gestaltet sein soll, um hierdurch das Vertrauen der Cloud-Kunden
gewinnen zu können.119 Dass eine dCZ auch grundsätzlich transparent sein soll, um
Cloud-Kunden
dadurch
die
Nachvollziehbarkeit
und
Nachprüfbarkeit
der
Zertifikatsaussagen zu ermöglichen, wird durch die folgenden Aussagen unterstützt:
„Aber kann nicht das Ziel eines Zertifikates auch sein, dass man eine gewisse
Transparenz darstellen muss, die man dann Kunden vorlegt. […]“ (CSP#4). „Sehe ich
als ganz wichtigen Punkt. […] Weil es kann nicht sein, dass es nur eine Blackbox im
Hintergrund ist und einfach nur den internen zur Verfügung steht. Damit ist ja gar keine
Aussage da, [die] nach Außen hingetragen worden. Es muss prüfbar sein. Der letzte
Prüfpunkt ist der Kunde selber am Ende.“ (M).
Vor
dem
Hintergrund
der
Transparenzthematik
ergeben
sich
aus
dem
Expertenworkshop auch Einblicke, in welchen konkreten Bereichen einer dCZ für
Transparenz gesorgt werden soll. So fordern zwei Cloud-Anbieter, dass eine dCZ den
System- und Sicherheitsstatus, mögliche Risiken sowie die operativen Prozesse und
Sicherheitseigenschaften eines Cloud-Anbieters (jederzeit) darstellen und gegenüber
118
Vgl. E1503-E1509, S. 38.
119
Vgl. E862-E864, S. 22.
41
Cloud-Kunden nachweisen können soll.120 Dass die erforderlichen Nachweise durch
eine dCZ erbracht werden können, wird von einem Cloud-Anbieter auch als
Voraussetzung dafür angesehen, dass er sich überhaupt zertifizieren lässt.121 Ein weiterer
Bereich, den eine dCZ durch eine ausreichende Transparenz unterstützen soll und der
von einem Teilnehmer dadurch begründet wird, dass bei Cloud-Kunden diesbezüglich
Unsicherheiten bestehen, ist die Rechtskonformität der Cloud-Nutzung, wobei
insbesondere
die
Unsicherheiten
bei
der
rechtskonformen
Datenverarbeitung
hervorgehoben werden:122 „[…] was wir mitbekommen am Markt, dass der Kunde sagt,
ich weiß gar nicht, ob ich meine Daten bei euch verarbeiten lassen darf. Weil ich weiß
nicht genau, was damit passiert. Und diese Transparenz zu schaffen, ich glaube, das ist
eine Herausforderung, die man im Cloud Business hat und das sollte mit solchen
Zertifizierungen irgendwo abgefangen werden.“ (CSP#4). Auch wird von einem CloudService-Berater in Bezug auf die Zertifizierungskriterien der Bedarf an einer
ausreichenden Transparenz hervorgehoben und damit begründet, dass die Anwendung
der Zertifizierungskriterien für Anwender häufig unklar ist: „Das sind Kriterien
irgendwo, ja, wer sie wie eigentlich anwendet ist völlig diffus, ist völlig unklar
eigentlich für einen Anwender und ich guck immer sehr stark aus dieser Anwendersicht
eigentlich. Also wer tut was oder wer hat was von diesem Zertifikat. Wir wollen ja
eigentlich Transparenz erzeugen. Das ist ein ganz wichtiger Aspekt von solchen Dingen
denke ich. Wir wollen erzeugen ein gewisses Vertrauen […]“ (CSB#2). Zudem wird
angemerkt, dass eine dCZ bei der Darstellung von Lücken der Zertifizierung sowie in
Bezug auf die Fehlerbehebung im Rahmen des Störungs-Managements des CloudAnbieters transparent sein soll.123
Deutlich wird auch, dass bei der Entwicklung einer dCZ und im Hinblick auf die
notwendige Transparenz die Informationsbedürfnisse der Cloud-Kunden berücksichtigt
werden sollen, wie auch die folgenden Aussagen darlegen:124 „In so einer Zertifizierung
ist es eigentlich auch wichtig: Was will der Kunde eigentlich wissen?“ (CSB#1). „Was
120
Vgl. E9-E12, S. 2, E1080-E1086, S. 28 sowie E103-E108, S. 4.
121
Vgl. E506-E511, S. 14.
122
Vgl. hierzu auch E1692-E1695, S. 43.
123
Vgl. zur Transparenz bei Lücken innerhalb einer dCZ E1325-E1331, S. 34 und zur fehlenden
Nachprüfbarkeit und Nachvollziehbarkeit des Fehler- und Störungsmanagements E927-E928, S. 24.
124
Vgl. E2213-E2216, S. 56, E15-E16, S. 2 und E1933-E1934, S. 49.
42
können wir tatsächlich messen und was davon will der Kunde tatsächlich sehen?“
(CSP#3). „Aber der Kunde sagt am Ende was er braucht und was er sich von einem
Zertifikat verspricht.“ (CSB#1). Dies kann als Bestätigung dafür angesehen werden,
dass, wie bereits in Kapitel 1 theoretisch dargelegt,125 bei der Entwicklung einer
effektiven dCZ kundenorientiert vorgegangen werden soll, was nochmals durch
folgende Expertenaussage eines Cloud-Service-Beraters unterstrichen wird: „[…] Was
Qualität ist, entscheidet immer der Kunde. […]“ (CSB#1). In diesem Zusammenhang
sei jedoch erwähnt, dass nicht nur die Informationsbedürfnisse der Cloud-Kunden eine
Rolle spielen, sondern auch die Bereitschaft der Cloud-Anbieter, sensible Informationen
nach außen zu geben, wie im Expertenworkshop von Cloud-Anbietern angemerkt
wird.126
Zusammenfassend kann festgehalten werden, dass auch aus Expertensicht eine
ausreichende Transparenz in verschiedenen Bereichen einer dCZ gewährleistet sein soll,
um hierdurch das Vertrauen der Cloud-Kunden in eine dCZ zu gewinnen und die
beschriebenen Mängel, wie die fehlende Nachvollziehbarkeit und Nachprüfbarkeit, zu
beheben. Da die ermittelten Kundenanforderungen an die Zertifizierungskriterien, wie
die Ausführungen des 6. Kapitels zeigen werden, darauf abzielen, die Transparenz einer
dCZ für Cloud-Kunden zu steigern, validieren die soeben dargelegten Expertenaussagen
die Kundenanforderungen insofern, als dass sie die Forderung nach einer ausreichenden
Transparenz und Nachvollziehbarkeit auch aus Expertensicht stützen und bestätigen.127
6
Kundenanforderungen an Zertifizierungskriterien
In diesem Kapitel werden nun die zentralen Ergebnisse dieser Arbeit, die ermittelten
Kundenanforderungen, die aus den Arbeitsergebnissen der drei Phasen der
Anforderungsermittlung resultieren, vorgestellt und beschrieben.
Wie die Ausführungen in den Kapiteln 3.3 und 5.3 darlegen, ist die Transparenz ein
entscheidender Faktor für den Nutzen, das Vertrauen sowie für die Akzeptanz einer
dCZ. Sie kann schlussendlich als eine der Voraussetzungen für den Erfolg einer dCZ
angesehen werden und soll daher auch bei einer dCZ gegeben sein. Die
125
Vgl. Kapitel 1.1, Absatz 4.
126
Vgl. E592-E594, S. 16, E835-E838, S. 22 und E1226-E1228, S. 31.
127
Vgl. zur Kernanforderung ‚Transparenz einer dCZ‘ Kapitel 3.3.
43
Kundenanforderungen besitzen daher die Gemeinsamkeit, die Transparenz im Hinblick
auf die Verständlichkeit, Zuverlässigkeit und Nachvollziehbarkeit einer dCZ gegenüber
Cloud-Kunden zu ermöglichen bzw. zu fördern.
Die finalen Kundenanforderungen lassen sich in zwei Kategorien einteilen. Die erste
Kategorie umfasst Kundenanforderungen an Zertifizierungskriterien, welche die
Spezifikationen der Zertifizierungskriterien betreffen. Diese werden im folgenden
Unterkapitel 6.1 vorgestellt. Die zweite Kategorie beinhaltet Kundenanforderungen an
Zertifizierungskriterien,
die
sich
auf
die
Prüfberichte
der
einzelnen
Zertifizierungskriterien beziehen. Auf diese wird in Unterkapitel 6.2 eingegangen. Bei
der Vorstellung der einzelnen Anforderungen werden diese jeweils mit einer
Überschrift, die die eindeutige Anforderungs-ID128 und die Bezeichnung der
Anforderung enthält, voneinander abgetrennt. Fußnoten, die auf Aussagen innerhalb des
Transkriptes des Workshops verweisen, werden mit einem „T“, gefolgt von der
Identifikationsnummer der Aussage gekennzeichnet.129 Fußnoten, die auf Aussagen
innerhalb des Transkriptes des Expertenworkshops verweisen, werden mit einem „E“,
gefolgt von der Zeilennummer der Aussage gekennzeichnet.
6.1
Kundenanforderungen an die Spezifikation eines Zertifizierungskriteriums
Durch die folgenden Anforderungen soll die Transparenz der Zertifizierungskriterien
für Cloud-Kunden gesteigert werden, indem ihre Spezifikationen mit weiteren
Informationen angereichert werden, die für Cloud-Kunden eine mögliche Relevanz
besitzen. Bevor die Kundenanforderungen der Reihe nach vorgestellt werden, gibt die
Tabelle
6-1
zunächst
einen
Gesamtüberblick
über
die
identifizierten
Kundenanforderungen an die Spezifikation eines Zertifizierungskriteriums.
ID
Anforderungsbezeichnung
A8b
Angabe des Prüfintervalls
A22a
Benachrichtigungsverhalten, Ereignisse
A22b
Benachrichtigungsverhalten, Art und Weise
A44
Veränderungen, bei denen eine erneute Auditierung des Zertifizierungskriteriums
notwendig ist
128
Diese Anforderungs-ID entspricht der Identifikationsnummer der Anforderung innerhalb des
Codierungsschemas.
129
Vgl. Fußnote 117.
44
A59a
Konsequenzen bei der Verletzung der Gültigkeit eines Zertifizierungskriteriums
A85
Klassifikation des Zertifizierungskriteriums hinsichtlich seiner Bedeutung für die
Informationssicherheit
Tab. 6-1: Übersicht über die Kundenanforderungen an die Spezifikation der Zertifizierungskriterien
A8b: Angabe des Prüfintervalls
Anforderung: Bei der Spezifikation eines Zertifizierungskriteriums soll angegeben
werden,
in
welchem
Prüfintervall130
die
Einhaltung
des
Zertifizierungskriteriums geprüft wird.
Das Prüfintervall gibt an, wann die Überprüfung eines Zertifizierungskriteriums erfolgt.
Die bisherigen Ausführungen dieser Arbeit zeigen, dass große Zeitabstände zwischen
der Überprüfung der Zertifizierungskriterien in der dynamischen Cloud-Umgebung
unzureichend sind, um die Gültigkeit der Zertifikatsaussage fortwährend aufrecht zu
erhalten. Der Bedarf an engmaschigeren Überprüfungen wird auch im Transkript des
Expertenworkshops von einem Cloud-Auditor hervorgehoben: „Ich denke mal, dass der
Druck des Marktes aber so sein wird, dass diese langen Abstände zwischen den
Zertifizierungen[,] wo man nicht weiß was passiert, dass das nicht mehr akzeptabel
ist.“ (CSA#2). Im Gegensatz zu den derzeitigen Cloud-Zertifizierungen, bei denen die
Zertifizierungskriterien üblicherweise in einem ein- bis dreijährigen Turnus überprüft
werden, soll daher die Überprüfung der Kriterien bei einer dCZ in engeren
Zeitabständen oder ereignisbasiert erfolgen. Durch die Verkürzung dieser Abstände, bis
hin zu einer kontinuierlichen Überprüfung, kann die Zuverlässigkeit der Einhaltung der
Zertifizierungskriterien gesteigert werden.131
Um diese Zuverlässigkeit gegenüber Cloud-Kunden zu signalisieren, soll das
Prüfintervall bei der Spezifikation des Zertifizierungskriteriums angegeben werden.
Durch diese Angabe kann sich ein Cloud-Kunde selbst von der Zuverlässigkeit des
Zertifizierungsprozesses überzeugen, wodurch wiederum sein Vertrauen in die
Zertifizierung gesteigert werden kann.
130
Das Prüfintervall bestimmt, wann eine Überprüfung der Einhaltung eines Zertifizierungskriteriums
erfolgt.
131
Vgl. zur Steigerung der Zuverlässigkeit aufgrund der verkürzten Abstände Kapitel 3.1.
45
Bei der Angabe des Prüfintervalls kann unterschieden werden, ob die Überprüfung in
bestimmten Zeitabständen und/oder bei Eintritt bestimmter Ereignisse erfolgt.132 Im
Detail soll daher bei der Spezifikation angegeben werden, ob die Überprüfung auf Basis
eines bestimmten Zeitintervalls und/oder ereignisbasiert stattfindet. Um den
Informationsgehalt der Spezifikation eines Zertifizierungskriteriums weiter zu erhöhen,
sollen zusätzlich der konkrete Zeitabstand und/oder die entsprechenden Ereignisse
dargelegt werden.
Die Angabe des Prüfintervalls bei der Spezifikation eines Zertifizierungskriteriums ist
jedoch nur sinnvoll, wenn das Prüfintervall statisch von der Zertifizierungsstelle, die für
die Gestaltung der Vorgaben einer Zertifizierung zuständig ist, festgelegt wird und sich
nicht in Abhängigkeit vom zu zertifizierenden Cloud-Dienst verändert. Soll vor dem
Hintergrund einer dCZ, um der Vielfalt der Cloud-Dienste gerecht zu werden, ein
dynamisches Prüfintervall zum Einsatz kommen, wie ein Cloud-Auditor im
Expertenworkshop fordert,133 so muss dieses aufgrund seiner Individualität entsprechend
im Prüfbericht eines Zertifizierungskriteriums und nicht bei seiner Spezifikation
angegeben werden.134
A22a: Benachrichtigungsverhalten, Ereignisse
Anforderung: Bei der Spezifikation eines Zertifizierungskriteriums soll angegeben
werden, ob und bei welchen Ereignissen in Bezug auf das
Zertifizierungskriterium
Cloud-Kunden
vom
Cloud-Anbieter
benachrichtigt werden.
Aus Sicht der Cloud-Kunden besteht aus verschiedenen Gründen ein Interesse daran,
bei Eintritt bestimmter Ereignisse (zeitnah) vom Cloud-Anbieter benachrichtigt zu
werden. Treten beispielsweise Ereignisse ein, die die Verfügbarkeit der Daten betreffen
oder eine Störung des gesamten Cloud-Dienstes zur Folge haben, so müssen die
betroffenen
Cloud-Kunden
zur
Gewährleistung
ihres
eigenen
regulären
Geschäftsbetriebes umfassend informiert werden. Darüber hinaus unterliegen CloudKunden gesetzlichen Vorgaben, wie beispielsweise dem Bundesdatenschutzgesetz,
132
Vgl. T168-T176, S. 16-17.
133
Vgl. E170-E171, S. 6.
134
Vgl. zur Angabe des Prüfintervalls im Prüfbericht Anforderung A8a Kapitel 6.2.2.
46
welches eine umgehende Benachrichtigung durch den Cloud-Anbieter fordert. Werden
personenbezogene Endkundendaten eines Cloud-Kunden kompromittiert, so ist dieser
gemäß
§42a
des
Bundesdatenschutzgesetzes135
gegenüber
seinen
Endkunden
verpflichtet, diese umgehend darüber zu informieren. Dieser Verpflichtung kann der
Cloud-Kunde natürlich nur nachkommen, wenn er vom Cloud-Anbieter entsprechend
informiert wird.
Überträgt man diese Forderung der Benachrichtigung der Cloud-Kunden auf die
Zertifizierungskriterien einer dCZ, so kann es als eine Kundenanforderung angesehen
werden, dass Cloud-Kunden bei bestimmten kritischen Ereignissen136 in Bezug auf ein
Zertifizierungskriterium
vom
Beispielsweise
die
kann
Cloud-Anbieter
benachrichtigt
Benachrichtigung
bei
der
werden
sollen.
Verletzung
eines
Zertifizierungskriteriums oder die Über- bzw. Unterschreitung bestimmter Schwellwerte
für Cloud-Kunden einen Mehrwert in einer dCZ bieten.137 Bei welchen Ereignissen
Cloud-Kunden
benachrichtigt
werden,
soll
bei
der
Spezifikation
eines
Zertifizierungskriteriums angegeben werden, damit Cloud-Kunden diese Ereignisse
einsehen und sich von ihrer Angemessenheit entsprechend der eigenen Anforderungen
überzeugen können. Um allerdings eine Informationsüberflutung der Cloud-Kunden zu
vermeiden, müssen die Ereignisse von der Zertifizierungsstelle gewissenhaft festgelegt
werden.
Im Zusammenhang mit der Benachrichtigung sind jedoch nicht nur die Ereignisse
relevant, sondern auch die Art und Weise, mit der die Benachrichtigung erfolgt.138 Dies
führt zu Anforderung A22b, die im folgenden Abschnitt vorgestellt wird.
A22b: Benachrichtigungsverhalten, Art und Weise
Anforderung: Bei der Spezifikation eines Zertifizierungskriteriums soll angegeben
werden, auf welche Art und Weise der Cloud-Kunde vom CloudAnbieter benachrichtigt wird.
135
Vgl. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (2010), S. 35.
136
Vgl. T399, S. 35.
137
Vgl. zu den in diesem Satz erwähnten Ereignissen Hogben, Dekker (2012), S. 6, 13, 40, 41 und
Australian Signals Directorate (2012), S. 17.
138
Vgl. T397, S. 35.
47
In einem engen Zusammenhang mit der Anforderung A22a und den Ereignissen, bei
deren Eintritt Cloud-Kunden vom Cloud-Anbieter informiert werden, steht die Art und
Weise, mit der Cloud-Kunden über bestimmte Ereignisse benachrichtigt werden. Dies
hat den Grund, dass je nach Ereignis eine andere Form der Benachrichtigung
erforderlich und ausreichend sein kann. Mögliche Benachrichtigungsformen, die von
den Wissenschaftlern genannt werden, sind die unmittelbare, direkte Benachrichtigung
eines betroffenen Kunden, die Benachrichtigung über das Kunden-Dashboard139 sowie
die Benachrichtigung durch den Versand von Berichten in bestimmten Intervallen. 140
Neben den Ereignissen soll daher auch die Art und Weise, mit der eine
Benachrichtigung erfolgt, bei der Spezifikation eines Zertifizierungskriteriums
angegeben
werden.
Speziell
ist
die
Angabe
der
Art
und
Weise
bei
Zertifizierungskriterien relevant, die Cloud-Anbieter zu einer Benachrichtigung
verpflichten.141
A44: Veränderungen, bei denen eine erneute Überprüfung des
Zertifizierungskriteriums notwendig ist
Anforderung: Bei der Spezifikation eines Zertifizierungskriteriums soll angegeben
werden, bei welchen Veränderungen seitens des Cloud-Anbieters
eine erneute Überprüfung des Zertifizierungskriteriums durch den
Auditor erfolgt.
Mögliche Aktualisierungen und Veränderungen eines Cloud-Dienstes erhöhen die
Komplexität einer dCZ.142 Führt ein Cloud-Anbieter Veränderungen innerhalb seines
Cloud-Dienstes
durch,
könnten
diese
die
Gültigkeit
eines
oder
mehrerer
Zertifizierungskriterien gefährden. Um nach diesen Veränderungen dennoch die
Gültigkeit zu gewährleisten, ist eine erneute Überprüfung der von den Veränderungen
betroffenen Zertifizierungskriterien erforderlich. Die Notwendigkeit zur Überprüfung
von Veränderungen im Rahmen einer Zertifizierung wird insofern auch durch die
Expertenaussage eines Cloud-Beraters unterstützt, als dass er den Wert eines
139
Vgl. Anforderung A56.
140
Vgl. T395 sowie T398, S. 34.
141
Vgl. zur Existenz solcher Zertifizierungskriterien T392, S. 34 und ZKL-077.
142
Vgl. Kapitel 2.2.3 sowie E412-E414, S. 12.
48
Zertifikates, im Sinne des Nutzens, bei sich häufig ändernden Gegebenheiten in Frage
stellt.143
In diesem Zusammenhang stellt sich grundsätzlich die Frage, welche konkreten
Veränderungen eine erneute Überprüfung eines Zertifizierungskriteriums erfordern, wie
auch
ein
Cloud-Auditor
anmerkt.144
Aufgrund
der
Vielfalt
der
möglichen
Veränderungen innerhalb eines Cloud-Systems sowie aufgrund des damit verbundenen
hohen Prüfaufwandes145 ist es jedoch im Rahmen einer dCZ nicht möglich, sämtliche
Veränderungen daraufhin zu überprüfen, ob die Gültigkeit der Zertifizierungskriterien
weiterhin eingehalten wird. Zudem ist es nicht erforderlich, sämtliche Veränderungen
zu berücksichtigen, da diese sich auch im Hinblick auf ihre Relevanz für die Gültigkeit
der Zertifizierungskriterien unterscheiden können.146 Die Zertifizierungsstelle soll daher
vorgeben, bei welchen konkreten Veränderungen welche Zertifizierungskriterien erneut
überprüft werden müssen. Dies wird in der Praxis bereits in ähnlicher Form durch das
Zertifizierungsrahmenwerk FedRAMP147 umgesetzt. Dieses Zertifizierungsrahmenwerk
fordert, dass der Cloud-Anbieter einen Auditor bereits vor der Umsetzung bestimmter
Veränderungen
(„significant
changes“)
mit
einer
vorgegebenen
Vorlaufzeit
informiert.148 Der Auditor bewertet die geplanten Veränderungen anschließend im
Hinblick darauf, ob nach deren Umsetzung eine erneute Auditierung notwendig ist und
zugleich welche Zertifizierungskriterien erneut geprüft werden müssen.
Um Cloud-Kunden von der Zuverlässigkeit der Einhaltung der Zertifizierungskriterien
bei einer dCZ zu überzeugen, soll bei der Spezifikation eines Zertifizierungskriteriums
angegeben werden, bei welchen Veränderungen seitens des Cloud-Anbieters eine
erneute Überprüfung des Kriteriums erfolgt. Zur Umsetzung dieser Anforderung kann
die Zertifizierungsstelle eine Liste mit möglichen Veränderungen erstellen und diesen
143
Vgl. E373-E375, S. 11.
144
Vgl. E383-E385, S. 11.
145
Sofern die Überprüfung der von einer Veränderung betroffenen Zertifizierungskriterien nicht
vollautomatisiert erfolgt, entsteht ein hoher Prüfaufwand.
146
Beispielsweise erfordert die Inbetriebnahme eines weiteren Rechenzentrums oder der Wechsel des
Verschlüsselungsalgorithmus eine erneute Überprüfung bestimmter Zertifizierungskriterien,
wohingegen beim Hinzufügen eines zusätzlichen Administratorenzugangs keine erneute
Überprüfung notwendig wäre.
147
http://www.fedramp.gov/.
148
Vgl. zu diesem Absatz General Services Administration (2012), S. 39.
49
Veränderungen jeweils die Zertifizierungskriterien zuordnen, die bei der jeweiligen
Veränderung erneut überprüft werden müssen.149 Die Erstellung der Liste stellt für die
Zertifizierungsstelle zunächst einen hohen initialen Aufwand dar, besitzt jedoch
insbesondere für einen Auditor den Vorteil, dass dieser bei einer Veränderung anhand
der Liste ableiten kann, welche Zertifizierungskriterien erneut geprüft werden müssen.150
Daher wird hierdurch auch die Effizienz einer dCZ gesteigert.
Wurde die Zuordnung von möglichen Veränderungen zu Zertifizierungskriterien einmal
erstellt, können diese Informationen dazu genutzt werden, um die Zuverlässigkeit der
Einhaltung der Zertifizierungskriterien gegenüber Cloud-Kunden zu signalisieren,
indem diese Informationen in die Spezifikationen der einzelnen Zertifizierungskriterien
übertragen werden.
Obwohl diese Anforderung von den Wissenschaftlern Zuspruch erhält, muss kritisch
hinterfragt werden, ob die möglichen Veränderungen aufgrund der Vielfalt und
Komplexität der Cloud-Dienste überhaupt bei der Spezifikation statisch festgelegt
werden können oder ob diese nicht individuell in Abhängigkeit des zu zertifizierenden
Cloud-Dienstes festgelegt werden müssten.151
Zusammenfassend kann festgehalten werden, dass bei der Spezifikation der einzelnen
Zertifizierungskriterien angegeben werden soll, bei welchen Veränderungen innerhalb
des Cloud-Dienstes eine erneute Überprüfung eines Zertifizierungskriteriums erfolgt,
um hierdurch die Transparenz des Zertifizierungsprozesses für Cloud-Kunden zu
steigern und ihnen vor allem die Zuverlässigkeit des Zertifizierungsprozesses zu
signalisieren.
A59a: Konsequenzen bei der Verletzung der Gültigkeit eines
Zertifizierungskriteriums
Anforderung: Bei der Spezifikation eines Zertifizierungskriteriums soll angegeben
werden, welche Konsequenzen die von einem Auditor festgestellte
149
Alternativ könnte die Zertifizierungsstelle zu jedem Zertifizierungskriterium festlegen, bei welchen
Veränderungen eine erneute Überprüfung dieses Zertifizierungskriteriums erforderlich ist.
150
Vgl. T495, S. 42.
151
Vgl. T479-T483, S. 40-41.
50
Verletzung des Zertifizierungskriteriums für den Cloud-Anbieter
hat.
Um wiederum die Transparenz des Zertifizierungsprozesses und die Zuverlässigkeit der
Zertifikatsaussage gegenüber Cloud-Kunden zu signalisieren, soll bei der Spezifikation
eines Zertifizierungskriteriums angegeben werden, welche Konsequenzen eine vom
Auditor festgestellte Verletzung eines Zertifizierungskriteriums für den Cloud-Anbieter
besitzt. Die Konsequenzen sollen hierbei individuell für jedes Zertifizierungskriterium
festgelegt werden, da diese sich hinsichtlich ihrer Bedeutung für die Zertifikatsaussage
und Informationssicherheit unterscheiden können. Mögliche Konsequenzen wären, dass
der Auditor respektive die Zertifizierungsstelle dem Cloud-Anbieter eine Frist zur
Wiederherstellung der Einhaltung des verletzten Zertifizierungskriteriums setzt oder –
im schlimmsten Fall – dass das Zertifikat dem Cloud-Anbieter (vorübergehend)
entzogen wird.
Dass die Konsequenzen der Verletzung eines Zertifizierungskriteriums gegenüber
Cloud-Kunden dargestellt werden sollen, kann durch Expertenaussagen nur insoweit
bestätigt werden, als dass aufgrund einer ermöglichenden Nachvollziehbarkeit und
Nachprüfbarkeit die grundsätzliche Festsetzung von Fristen zur Wiederherstellung der
Gültigkeit gefordert wird.152
A85: Klassifikation des Zertifizierungskriteriums hinsichtlich seiner Bedeutung
für die Informationssicherheit
Anforderung: Bei der Spezifikation eines Zertifizierungskriteriums soll angegeben
werden, welche Bedeutung das Zertifizierungskriterium für die
Informationssicherheit eines Cloud-Services besitzt.
Wird eine dCZ so gestaltet, dass nicht alle Zertifizierungskriterien für die Vergabe des
Zertifikates vom Cloud-Dienst erfüllt werden müssen, so sollen Cloud-Kunden zur
Einschätzung des Sicherheitsniveaus des zertifizierten Cloud-Dienstes genau prüfen
können, welche konkreten Zertifizierungskriterien nicht erfüllt werden, bevor sie diesen
Cloud-Dienst nutzen. Um Cloud-Kunden in diesem Zusammenhang bei der
Einschätzung der Relevanz eines nicht erfüllten Zertifizierungskriteriums zu
152
Vgl. E918-E921, S. 24 und E925-E928, S. 24.
51
unterstützen,
soll
die
Bedeutung
des
Zertifizierungskriteriums
für
die
Informationssicherheit eines Cloud-Dienstes angegeben werden, was auch von drei
Wissenschaftlern als sinnvoll erachtet wird.153 Nutzen Cloud-Kunden bereits einen
zertifizierten Cloud-Dienst und wird die Gültigkeit eines Zertifizierungskriteriums nach
der Vergabe des Zertifikates verletzt, so können Cloud-Kunden anhand dieser
Informationen auch erkennen, ob es sich um ein weniger wichtiges oder um ein
bedeutendes Kriterium handelt, welches akut die Sicherheit des genutzten CloudDienstes gefährden könnte.
Die Herausforderung bei der Angabe der Bedeutung besteht darin, diese gegenüber
Cloud-Kunden verständlich und einfach darzulegen. Eine praxistaugliche Möglichkeit
hierzu, die bereits durch die Cloud-Zertifizierung EuroCloud Star Audit umgesetzt
wird,154 ist der Einsatz eines mehrstufigen Klassifizierungsschemas, in dessen Klassen
die einzelnen Zertifizierungskriterien anhand ihrer Bedeutung einsortiert werden.
Obwohl diese Anforderung von drei Wissenschaftlern als sinnvoll angesehen wird, wird
von diesen auch darauf hingewiesen, dass solch eine Klassifikation zum einen von einer
gewissen Subjektivität geprägt ist und zum anderen die Bedeutung eines
Zertifizierungskriteriums auch vom betrachteten Cloud-Service abhängig ist, was die
Umsetzung der Anforderung erschwert.155
Wie von einem Workshopteilnehmer angemerkt wird, ist diese Klassifikation zudem im
Zusammenhang mit der Anforderung A22a hilfreich, um sich bei der Festlegung der
Benachrichtigungsereignisse und der Art und Weise wie die Benachrichtigung erfolgt
auch an der Bedeutung der einzelnen Zertifizierungskriterien orientieren zu können.156
6.2
Kundenanforderungen an den Prüfbericht eines Zertifizierungskriteriums
Die Kundenanforderungen, die in diesem Kapitel vorgestellt werden, zielen darauf ab,
die Transparenz einer dCZ für Cloud-Kunden zu steigern, indem die Prüfberichte der
Zertifizierungskriterien mit Inhalten angereichert werden, die aus der Überprüfung der
153
Vgl. T517, T519 sowie T527, S. 43-44.
154
Vgl. https://eurocloud-staraudit.eu/de/publications/ecsa-controls.html und T523, S. 44.
155
Vgl. T517, T522, T523, S. 42-44.
156
Vgl. zu diesem Absatz T517, S. 43.
52
Zertifizierungskriterien resultieren und die für Cloud-Kunden relevant sind. Damit diese
Inhalte den Cloud-Kunden bereitgestellt werden können, müssen hierfür zunächst die
Grundlagen
geschaffen
werden.
Daher
unterteilt
sich
die
Vorstellung
der
Kundenanforderungen innerhalb dieses Kapitels in zwei Unterkapitel, wobei im
folgenden Unterkapitel 6.2.1 zunächst die Anforderungen zur Herstellung dieser
Grundlagen beschrieben werden, bevor in Unterkapitel 6.2.2 die ermittelten
Anforderungen an die Inhalte der Prüfberichte vorgestellt werden.
Die Tabelle 6-2 gibt einen Gesamtüberblick über die Kundenanforderungen an den
Prüfbericht eines Zertifizierungskriteriums.
ID
Anforderungsbezeichnung
A1a
Existenz eines Prüfberichtes zu jedem Zertifizierungskriterium
A1b
Einsichtnahme in die Prüfberichte
A56
Existenz eines Kunden-Dashboard
A33
Vergleichbarkeit des Prüfberichtes
A79
Angabe der Auditierungsmethode(n)
A9a
Angabe der Evaluationsobjekte
A9b
Angabe der Prüftiefe
A6
Angabe von Messwerten, Messgrößen und weiteren quantitativen
Informationen
A13
Angabe des Ausführungsintervalls
A8a
Angabe des Prüfintervalls
A82a
Angabe des Prüfzeitpunktes
A82b
Angabe der auditierenden Organisation
A59b
Konsequenzen bei der Verletzung der Gültigkeit eines Zertifizierungskriteriums
A15a, A15b
Sub-Cloud-Provider
A2
Angabe von Parametern, Aktivitäten und Ereignissen, die ein Cloud-Anbieter
und ein Auditor überwachen (kontinuierliches Monitoring)
Tab. 6-2: Übersicht über die Kundenanforderungen an die Prüfberichte der Zertifizierungskriterien
6.2.1 Kundenanforderungen zur Schaffung der Grundlagen
A1a: Existenz eines Prüfberichtes zu jedem Zertifizierungskriterium
Anforderung: Jedes Zertifizierungskriterium soll einen Prüfbericht besitzen.
Eine grundlegende Kundenanforderung stellt die Existenz eines Prüfberichtes dar,
wobei jedes Zertifizierungskriterium einen Prüfbericht besitzen soll. Diese Anforderung
53
wurde nicht aus einer Cloud-Publikation abgeleitet, sondern resultiert aus einer Aussage
eines Workshopteilnehmers: „Es muss für jedes Kriterium, was überprüft wurde, ein
Ergebnis, […] ein Ergebnissatz, also eine Zertifikatsaussage [vorhanden sein].“
(TN#3).
Jedoch reicht die alleinige Existenz der Prüfberichte nicht aus, um Cloud-Kunden einen
Mehrwert zu bieten. Darüber hinaus sollen sie die für Cloud-Kunden relevanten
Informationen in einem angemessen Detailgrad enthalten. Welche Informationen die
Prüfberichte enthalten sollen, wird durch die in Kapitel 6.2.2 beschriebenen
Anforderungen dargelegt.
A1b: Einsichtnahme in die Prüfberichte
Anforderung: Jeder Prüfbericht soll von Cloud-Kunden eingesehen werden
können.
Damit sich Cloud-Kunden von den Inhalten der Prüfberichte sowie insbesondere vom
Zertifizierungsstatus überzeugen können, sollen die Prüfberichte öffentlich zugänglich
sein.157 Da sich die Informationen innerhalb der Prüfberichte bei einer dCZ häufig
ändern können, ist es zur Abbildung der aktuellen Informationen darüber hinaus
erforderlich, Cloud-Kunden eine geeignete Plattform bereitzustellen. Die Notwendigkeit
dieser Plattform führt zur folgenden Anforderung A56.
A56: Existenz eines Kunden-Dashboard
Anforderung: Jedes
Zertifizierungskriterium
soll
im
Kunden-Dashboard
enthalten sein.
Damit sich Cloud-Kunden im Rahmen einer dCZ jederzeit vom aktuellen
Zertifizierungsstatus eines Cloud-Dienstes überzeugen können und die Inhalte der
Prüfberichte dargestellt werden können, muss die Zertifizierungsstelle Cloud-Kunden
eine elektronische Plattform bereitstellen. Über diese Plattform, die im weiteren Verlauf
Kunden-Dashboard
genannt
und
auch
von
mehreren
Teilnehmern
des
Expertenworkshops gefordert wird, können sich Cloud-Kunden selbst Transparenz
157
Vgl. T48-T49, S. 7.
54
herbeiführen.158 Insbesondere besteht vor dem Hintergrund einer dCZ, bei der sich die
Zertifizierungsergebnisse
durch
die
kontinuierliche
Überprüfung
der
Zertifizierungskriterien häufig ändern können, die Notwendigkeit eines KundenDashboards, auf dem die aktuellen Zertifizierungsstatus abgebildet werden können.
Außerdem kann es bei einer dCZ erforderlich sein, die Zertifizierungskriterien und
Prüfintervalle159 an veränderte Umstände und Anforderungen anzupassen oder auch
neue Zertifizierungskriterien aufgrund neuer Sicherheitslücken hinzuzufügen.160
Solch ein Kunden-Dashboard soll jedoch auch zu jeder Zeit den aktuellen
Sicherheitsstatus sowie den operativen Systemstatus eines Cloud-Dienstes darstellen
und gegenüber Cloud-Kunden nachweisen können.161 Hierzu soll das KundenDashboard neben Kennzahlen zur Verfügbarkeit und Laufzeit noch weitere
systemrelevante Parameter umfassen, die Cloud-Kunden von außen selbst nicht
ermitteln können.162 Allerdings muss sich in diesem Zusammenhang auch an der
Bereitschaft der Cloud-Anbieter orientiert werden, sensible Informationen nach außen
zu geben.163 Der Vorteil eines Kunden-Dashboards aus Sicht eines Cloud-Anbieters liegt
darin, dass dieses die Anzahl der Supportanfragen reduzieren kann.164
Von den Experten wird auch deutlich hervorgehoben, dass eine dCZ gegenüber CloudKunden
verständlich
Informationsbedürfnisse
sein
soll
sowie
und
deren
die
verschiedenen
unterschiedliche
Zielgruppen,
technische
deren
Kenntnisse
berücksichtigt werden sollen.165 Um auch innerhalb des Kunden-Dashboards der
Forderung nach der Verständlichkeit nachzukommen, wird von mehreren Experten der
Einsatz eines Ampelsystems vorgeschlagen, welches die Informationen in einer leicht
verständlichen Art und Weise darstellen soll.166 Die abzubildenden Informationen
158
Vgl. E66-E68, S. 3 und E1775-E1777, S. 45.
159
Vgl. zur Anpassung der Prüfintervalle Anforderung A8a.
160
Vgl. E117-E120, S. 4, E283-E291, S. 8 sowie zur Abdeckung aktueller Sicherheitsbedrohungen E180E182, S. 6, E208-E211, S. 6-7.
161
Vgl. E103-E104, S. 4 und E68, S. 3.
162
Vgl. E1430-E1432, S. 36.
163
Vgl. E2031-E2040, S. 51.
164
Vgl. E315-E329, S. 9.
165
Vgl. E211-E212, S. 7 und E310-E312, S. 9.
166
Vgl. E108, S. 4, E220, S. 7, E322-E329, S. 9 und E297-E303, S. 9.
55
zielgruppengerecht zu aggregieren sowie angemessene Schwellwerte für den Übergang
zwischen den Ampelstufen festzulegen, stellen die Herausforderungen bei der
Umsetzung eines Ampelsystems dar.167
Grundsätzlich sollen das Dashboard und die darin enthaltenen Informationen
zuverlässig, authentisch und manipulationssicher sein, um für Cloud-Kunden einen
tatsächlichen Nutzen zu stiften.168
A33: Vergleichbarkeit des Prüfberichtes
Anforderung: Der Prüfbericht eines Zertifizierungskriteriums soll immer den
gleichen Aufbau und vergleichbare Inhalte besitzen.
Damit Cloud-Kunden die Inhalte der einzelnen Prüfberichte über verschiedene
zertifizierte Cloud-Dienste hinweg vergleichen können, soll der Prüfbericht eines
Zertifizierungskriteriums immer den gleichen Aufbau und vergleichbare Inhalte
besitzen. Der Bedarf an einer möglichen Vergleichbarkeit wird auch von zwei
Teilnehmern innerhalb des Workshops bestätigt.169
Jedoch stellt sich die Frage, inwiefern die Vergleichbarkeit der Prüfberichte vor dem
Hintergrund der Vielfalt an Cloud-Services, die sehr individuell und spezifisch sein
können, sowie aufgrund der Subjektivität eines Auditors hergestellt werden kann. 170
Laut einem Teilnehmer des Workshops ist eine gewisse Vergleichbarkeit durch die
Beschreibung
der
Prüfmethode,
der
geprüften
Evaluationsobjekte
und
der
Prüfergebnisse inklusive quantitativer Angaben gegeben,171 es bleibt jedoch offen, ob
diese Angaben Cloud-Kunden ausreichen, sodass in diesem Bereich weiterer
Forschungsbedarf besteht. Innerhalb des Expertenworkshops wird die Vergleichbarkeit
im Sinne eines Benchmarkings von einem Teilnehmer kurz angesprochen und auch dort
angemerkt, dass die vergleichbare Messung von Leistungen verschiedener Cloud-
167
Vgl. zur Aggregation und Verdichtung E1238-E1242, S. 32, E242-E248, S. 7, E1011-E1014, S. 26
und zu den verschiedenen Zielgruppen E332-E335, S. 10.
168
Vgl. zur Zuverlässigkeit E868-E874, S. 23 und zur Authentizität und Manipulationssicherheit E632E647, S. 17, E1367-E1368, S. 35.
169
Vgl. T240-T242, T245, S. 23 sowie Gora (2009), S. 240.
170
Vgl. T256, T260, T263-T268, S. 24-25.
171
Vgl. T246, S. 23.
56
Dienste eine Herausforderung darstellt und herausgearbeitet werden soll, inwiefern dies
möglich ist.172
6.2.2 Kundenanforderungen an die Inhalte des Prüfberichtes
Die Anforderungen, die in diesem Unterkapitel vorgestellt werden, beschreiben, welche
Informationen der Prüfbericht eines Zertifizierungskriteriums enthalten soll, um CloudKunden von der Zuverlässigkeit und Angemessenheit einer dCZ zu überzeugen und um
ihnen die Zertifizierungsergebnisse in einer nachvollziehbaren und verständlichen Art
und Weise bereitzustellen. Angemessenheit bedeutet in diesem Zusammenhang, dass
sich Cloud-Kunden davon überzeugen können müssen, ob die Zertifizierung ihren
Anforderungen an die Informationssicherheit gerecht wird. In Bezug auf die
Zuverlässigkeit muss sich ein Cloud-Kunde davon überzeugen können, mit welcher
Zuverlässigkeit die Einhaltung der Zertifizierungskriterien überprüft und gewährleistet
wird.
Grundsätzlich kann zwischen den umfangreichen, vertraulichen Prüfberichten für die
Zertifizierungsstelle und den Prüfberichten für Cloud-Kunden unterschieden werden.173
Da die Prüfberichte der Cloud-Kunden gemäß Anforderung A1b öffentlich sein sollen,
muss bei ihren Inhalten unbedingt beachtet werden, dass sie keine Informationen
enthalten, die die Sicherheit des zertifizierten Cloud-Services oder die Vertraulichkeit
von Kundendaten gefährden.
A79: Angabe der Auditierungsmethode(n)
Anforderung: Im Prüfbericht eines Zertifizierungskriteriums soll (sollen) die vom
Auditor
eingesetzte(n)
Auditierungsmethode(n)
genannt
und
beschrieben sein.
Um die Transparenz der Zertifizierung zu steigern und die Glaubwürdigkeit und
Akzeptanz
eines
Zertifikates
zu
stärken,
soll
die
Dokumentation
des
Zertifizierungsprozesses öffentlich verfügbar sein.174 Ein zentraler Bestandteil des
Prozesses ist die Überprüfung der Einhaltung der Zertifizierungskriterien, wofür
172
Vgl. E1967-E1971, S. 49-50.
173
Vgl. Bock (2008), S. 613 und T53, S. 7.
174
Vgl. Bock (2008), S. 613.
57
Auditierungsmethoden eingesetzt werden. Welche Auditierungsmethoden bei der
Überprüfung eines Zertifizierungskriteriums zum Einsatz kommen, besitzt neben dem
Prüfintervall einen Einfluss auf die Zuverlässigkeit der Einhaltung. So kann
beispielsweise
die
Zuverlässigkeit
durch
den
Einsatz
kontinuierlicher
Auditierungsmethoden erhöht werden, da durch diese eine fortlaufende Kontrolle der
Einhaltung
erfolgen
zugrundeliegenden
kann.
Aufgrund
technischen
der
Vielfalt
Infrastrukturen
der
könnten
den
Cloud-Diensten
(teil-)automatisierte
Auditierungsmethoden jedoch nicht grundsätzlich bei allen Cloud-Diensten eingesetzt
werden.175 Infolgedessen sollen die tatsächlich eingesetzten Auditierungsmethoden nicht
bei der Spezifikation eines Zertifizierungskriteriums angegeben werden, sondern nur im
Prüfbericht.
Um Zuverlässigkeit der Einhaltung gegenüber Cloud-Kunden zu signalisieren und die
eingangs erwähnte Transparenz, Glaubwürdigkeit und Akzeptanz eines dynamischen
Cloud-Zertifikates aus Kundensicht zu steigern, sollen daher die vom Auditor
eingesetzten Auditierungsmethoden im Prüfbericht des Zertifizierungskriteriums
angegeben werden und für Cloud-Kunden nachvollziehbar sowie verständlich
beschrieben werden. Dass die Angabe der Auditierungsmethode zur Steigerung der
Transparenz beiträgt, wird auch im Expertenworkshop von einem Cloud-Anbieter
hervorgehoben.176
A9a: Angabe der Evaluationsobjekte
Anforderung: Im Prüfbericht eines Zertifizierungskriteriums soll angegeben
werden, welche Evaluationsobjekte bei der Auditierung des
Zertifizierungskriteriums überprüft werden.
Mit dem Begriff Evaluationsobjekt wird das Objekt bezeichnet, welches zur
Beschaffung
der
erforderlichen
Nachweise177
vom
Auditor
bzw.
der
Auditierungsmethode untersucht bzw. herangezogen wird, um die Bewertung der
Einhaltung eines Zertifizierungskriteriums durchführen zu können. Zur Verdeutlichung
dieser Definition wird im Folgenden ein Beispiel angeführt, für das auf ein
175
Vgl. E563-E566, S. 15 sowie E619-E621, S. 16-17.
176
Vgl. E789-E792, S. 21.
177
Vgl. zu den Nachweisen Kapitel 3.2.
58
Zertifizierungskriterium
zurückgegriffen
wird.
Beispielsweise
fordert
das
Zertifizierungskriterium ZKL-248, dass geprüft wird, ob die „[…] Informationssysteme
des Cloud-Anbieters regelmäßig dahingehend überprüft [werden], ob bestimmte
Sicherheitsstandards erfüllt werden können […]“. Mögliche Evaluationsobjekte dieses
Zertifizierungskriteriums sind:

Die schriftlichen Dokumentationen des Prüfprozesses, aus denen u. a.
hervorgeht, welche Informationssysteme überprüft werden, auf welche
Sicherheitsstandards diese überprüft werden, wer für die Überprüfung beim
Cloud-Anbieter verantwortlich ist und wie die Regelmäßigkeit der Überprüfung
geregelt ist.

Vergangenheitsorientierte Nachweise, die die Durchführung der regelmäßigen
Überprüfungen bestätigen.

Die für die Überprüfung der Informationssysteme verantwortlichen Mitarbeiter
des Cloud-Anbieters, die vom Auditor befragt werden.
Bleibt eine Zertifizierung bei der Beschreibung der Evaluationsobjekte zu vage, stellt
dies nach BOCK (2008) einen schwerwiegenden Mangel dar und Cloud-Kunden können
nicht nachvollziehen, welche Evaluationsobjekte im Zentrum der Überprüfung
standen.178 Damit Cloud-Kunden jedoch nachvollziehen können, ob die dCZ ihren
Anforderungen entspricht, sollen die Evaluationsobjekte daher in den einzelnen
Prüfberichten genannt werden.
A9b: Angabe der Prüftiefe
Anforderung: Im Prüfbericht eines Zertifizierungskriteriums soll angegeben
werden, in welcher Prüftiefe die Evaluationsobjekte untersucht
wurden.
Die Prüftiefe gibt an, in welchem Umfang die einem Zertifizierungskriterium
zugrundeliegenden Evaluationsobjekte überprüft wurden. Es kann eine vollumfängliche
oder stichprobenartige Überprüfung unterschieden werden. Sie kann als ein Attribut zur
näheren Beschreibung des Prüfumfangs angesehen werden und steht daher in einem
engen Zusammenhang mit Anforderung A9a. Die Angabe der Prüftiefe und der enge
178
Vgl. zum Mangel aufgrund der fehlenden Beschreibung der Evaluationsobjekte Bock (2008), S. 614.
59
Zusammenhang zum Evaluationsobjekt werden anhand des folgenden Beispiels
verdeutlicht. Das Zertifizierungskriterium ZKL-039179 fordert, dass, „wenn eine
Leistung eines Sub-Cloud-Anbieters für einen Cloud-Service notwendig ist […]“,
geprüft wird, ob „[…] die Kommunikation mit diesem Sub-Cloud-Anbieter
verschlüsselt […]“ wird. Bei diesem Kriterium soll im Sinne der Prüftiefe angegeben
werden, ob der Auditor nur einen Teil der Kommunikationsverbindungen zu mehreren
Sub-Cloud-Providern (SCP) geprüft hat oder ob er die Verschlüsselung bei jeder
Kommunikationsverbindung geprüft hat.
Wird die Prüftiefe im Prüfbericht zu jedem Evaluationsobjekt angegeben, so können
Cloud-Kunden hieran den Umfang der Überprüfung erkennen und somit abschätzen, ob
diese Prüftiefe für ihren Sicherheitsbedarf angemessen ist. Reicht die Prüftiefe eines
Zertifizierungskriteriums einem Cloud-Kunden nicht aus, da er einen besonders hohen
Schutzbedarf besitzt, so kann er sich in diesem Fall selbst an den Cloud-Anbieter
wenden und weitere Nachweise einfordern oder sogar eine eigene Überprüfung
durchführen. Dass Cloud-Kunden die Prüftiefe nachlesen können sollen, wird auch
durch eine Aussage eines Workshopteilnehmers unterstützt: „Das ist Aufgabe des
Zertifikats, den angemessenen Prüfumfang festzulegen [und] zu definieren. Und die
Anforderungen vom Kunden, die können ja individuell sein, aber er muss es nachlesen
können. Das ist das Wichtige.“ (TN#3).
A6: Angabe von Messwerten, Messgrößen und weiteren quantitativen
Informationen
Anforderung: Im Prüfbericht eines Zertifizierungskriteriums sollen Messwerte,
Messgrößen
und/oder
weitere
quantitative
Informationen
angegeben werden, sofern dies für dieses Zertifizierungskriterium
möglich und sinnvoll ist.
Um den Informationsgehalt des Prüfberichtes für Cloud-Kunden zu erhöhen, soll der
Prüfbericht um Messgrößen und konkrete quantitative Angaben, wie beispielsweise
Messwerte oder auch Ausführungsintervalle180, ergänzt werden. Hierdurch kann die
Vergleichbarkeit der Prüfberichte verschiedener zertifizierter Cloud-Dienste, die bisher
179
Vgl. zur Herkunft dieses Zertifizierungskriteriums Kapitel 3.5.
180
Vgl. zum Ausführungsintervall Anforderung A13.
60
oftmals nur auf einer reinen Ja/Nein-Bewertung des Kriteriums basiert, verfeinert
werden, um Cloud-Kunden somit eine fundiertere Entscheidung im Auswahlprozess zu
ermöglichen.181
Wie im Workshop erwähnt wird, ist die Angabe von Messwerten, Messgrößen und
weiteren quantitativen Werten jedoch nicht für alle Zertifizierungskriterien sinnvoll
möglich,182 weshalb bei der Entwicklung einer dCZ jedes Zertifizierungskriterium
daraufhin untersucht werden muss, welche quantitativen Angaben sinnvoll und für
Cloud-Kunden relevant sind. Zudem besteht die Herausforderung bei der Angabe und
Interpretation von quantitativen Angaben darin, diese ins Verhältnis zum betrachteten
Cloud-Service bzw. Cloud-Anbieter zu setzen, wie im Workshop angemerkt wird.183
Anhand der folgenden Beispiele soll gezeigt werden, bei welcher Art von
Zertifizierungskriterien die oben genannten Angaben für Cloud-Kunden hilfreich sind.
So kann beispielsweise im Zusammenhang mit dem Zertifizierungskriterium ZKL404184, welches prüft, ob ein Cloud-Anbieter eine „schnelle Skalierungsfähigkeit“
besitzt,
angegeben
werden,
innerhalb
welcher
Zeit
Cloud-Kunden
weitere
Systemressourcen bereitgestellt werden können. Die Angabe von reinen Messgrößen
hingegen ist beispielsweise in Anbetracht des Zertifizierungskriteriums ZKL-362185
hilfreich, um offenzulegen, zu welchen Messgrößen konkrete Messwerte in Echtzeit auf
der
Webseite
des
Cloud-Anbieters
publiziert
werden.
In
Bezug
auf
das
Zertifizierungskriterium ZKL-077186 stellt die Angabe, innerhalb welcher Zeit die
betroffenen Cloud-Kunden vom Cloud-Anbieter informiert werden, eine weitere
hilfreiche Information für Cloud-Kunden dar.
181
Vgl. T124, S. 14.
182
Vgl. T121, T123, S. 14.
183
Vgl. T118, S. 13.
184
ZKL-404: „Besitzt der offerierte Cloud-Service eine schnelle Skalierungsfähigkeit; kann er also nach
Bedarf schnell und elastisch zur Verfügung gestellt werden?“.
185
ZKL-362: „Verfügt der Cloud-Anbieter über ein Availability Management Information System, das
die Performance des angebotenen Cloud-Services ermittelt? Werden Informationen des AMIS in
Echtzeit auf der Webseite des Cloud-Anbieters publiziert?“.
186
ZKL-077: „Werden die betroffenen Kunden rechtzeitig über entsprechende Sicherheitslücken, -brüche
oder -vorfälle informiert?“.
61
A13: Angabe des Ausführungsintervalls
Anforderung: Im
Prüfbericht
eines
Ausführungsintervall
Zertifizierungskriteriums
angegeben
werden,
soll
wenn
das
das
Zertifizierungskriterium die regelmäßige Ausführung bestimmter
Tätigkeiten vom Cloud-Anbieter fordert.
Der dieser Arbeit zugrundeliegende Kriterienkatalog mit kontinuierlich zu prüfenden
Zertifizierungskriterien umfasst unter anderem auch Zertifizierungskriterien, die vom
Cloud-Anbieter die regelmäßige Ausführung bestimmter Tätigkeiten fordern. Zu diesen
Tätigkeiten zählen beispielsweise die Durchführung von Penetrationstests187 oder die
regelmäßige Überprüfung der Kontrollziele, Kontrolltätigkeiten und Prozesse des
Informationssicherheits-Managementsystems (ISMS)188. Der zeitliche Abstand, mit dem
ein Cloud-Anbieter diese Tätigkeiten ausführt, wird als Ausführungsintervall
bezeichnet. Da die Durchführung von Penetrationstests und die Überprüfung des ISMS
zur Sicherheit eines Cloud-Dienstes beitragen, kann angenommen werden, dass das
Sicherheitsniveau des Cloud-Dienstes zunimmt, je häufiger diese Tätigkeiten ausgeführt
werden. Daher kann das jeweilige Ausführungsintervall Cloud-Kunden als Indikator für
die Sicherheit des zertifizierten Cloud-Dienstes dienen, weshalb dieses in den
Prüfberichten der Zertifizierungskriterien, die die Ausführung bestimmter Tätigkeiten
von Cloud-Anbietern fordern, angegeben werden soll.
A8a: Angabe des Prüfintervalls
Anforderung: Im
Prüfbericht
eines
Zertifizierungskriteriums
soll
das
Prüfintervall des Zertifizierungskriteriums angegeben werden.
Die hier beschriebene Anforderung unterscheidet sich von der bereits vorgestellten
Anforderung A8b darin, dass das Prüfintervall nicht bei der Spezifikation des
Zertifizierungskriteriums, sondern im Prüfbericht angegeben werden soll. Das hat den
Hintergrund,
dass
die
Angaben
innerhalb
der
Spezifikation
eines
Zertifizierungskriteriums Standardvorgaben darstellen, die grundsätzlich bei einer dCZ
gelten. Von diesen Standardvorgaben kann jedoch beispielsweise durch die Festlegung
187
ZKL-092: „Werden beim Cloud-Anbieter regelmäßig Penetrationstests durchgeführt?“.
188
ZKL-160: „Werden interne Audits zu den geplanten Intervallen durchgeführt, um zu überprüfen, ob
die Kontrollziele, Kontrolltätigkeiten, Prozesse und Prozeduren des ISMS […]“.
62
eines individuellen Prüfintervalls abgewichen werden. Ein Grund für solch eine
Abweichung könnte sein, dass bei der letzten Überprüfung des Zertifizierungskriteriums
ein Verstoß festgestellt wurde und der verantwortliche Auditor zur Vermeidung von
zukünftigen Verstößen eine engmaschigere Überprüfung festsetzt. Die Notwendigkeit
von individuellen Prüfintervallen in Abhängigkeit vom jeweils zu zertifizierenden
Cloud-Dienst wird zudem von einem Cloud-Auditor innerhalb des Expertenworkshops
hervorgehoben und mit der unterschiedlichen Dynamik innerhalb der betrieblichen
Prozesse eines Cloud-Anbieters und der rapiden Veränderbarkeit der den CloudDiensten
zugrundeliegenden
Technologien
begründet.189
Da
das
individuelle
Prüfintervall von den Standardvorgaben der Spezifikation abweicht, soll es folglich im
Prüfbericht angegeben werden.
Können Cloud-Kunden das individuelle Prüfintervall eines Zertifizierungskriteriums
einsehen, so trägt dies dazu bei, sie von der Zuverlässigkeit der Einhaltung des
Zertifizierungskriteriums zu überzeugen. Zudem können sie anhand dieser Information
in Kombination mit der Angabe, an welchem Zeitpunkt die letzte Prüfung190 erfolgt ist,
ableiten, wann die nächste Überprüfung des Zertifizierungskriteriums erfolgen soll.
A82a: Angabe des Prüfzeitpunktes
Anforderung: Im Prüfbericht eines Zertifizierungskriteriums soll der Zeitpunkt
der letzten Überprüfung angegeben werden.
Der Prüfzeitpunkt gibt an, wann die letzte Überprüfung der Einhaltung eines
Zertifizierungskriteriums erfolgt ist. Wird der Prüfzeitpunkt im Prüfbericht eines
Zertifizierungskriteriums angegeben, so können Cloud-Kunden den Zeitpunkt der
letzten Überprüfung nachvollziehen.
Insbesondere ist die Angabe des Prüfzeitpunktes für Cloud-Kunden vor dem
Hintergrund neuer Sicherheitslücken relevant. Werden neue Sicherheitslücken bekannt,
so liegt es im Interesse der Cloud-Kunden, dass die dCZ überprüft, ob ein CloudAnbieter angemessene Schutzmaßnahmen gegen diese Sicherheitslücken umgesetzt hat.
Ob diese Überprüfung nach dem Zeitpunkt des Bekanntwerdens einer Sicherheitslücke
189
Vgl. E155-E172, S. 5-6.
190
Vgl. zur Angabe des Prüfzeitpunktes Anforderung A82a.
63
auch erfolgt ist, können Cloud-Kunden anhand des Prüfzeitpunktes ermitteln. Des
Weiteren können Cloud-Kunden anhand der Angabe des Prüfzeitpunktes und des
Prüfintervalls ableiten, wann eine erneute Überprüfung des Zertifizierungskriteriums
erfolgt.
A82b: Angabe der auditierenden Organisation
Anforderung: Im Prüfbericht eines Zertifizierungskriteriums soll die für die
Auditierung
des
Zertifizierungskriteriums
verantwortliche
Organisation angegeben werden.
Um die Vertrauenswürdigkeit einer dCZ zu erhöhen, soll im Prüfbericht eines
Zertifizierungskriteriums die Organisation genannt werden, die für die Auditierung des
Zertifizierungskriteriums verantwortlich ist.
Dies hat verschiedene Gründe. Zum einen trägt diese Information grundsätzlich zur
Transparenz des Zertifizierungsprozesses bei und kann über die nachvollziehbare
Akkreditierung
der
auditierenden
Organisation
die
wahrgenommene
Vertrauenswürdigkeit des Zertifizierungsprozesses steigern.191 Zum anderen können
Cloud-Kunden bei Rückfragen zu einem Zertifizierungskriterium die jeweilige
verantwortliche Organisation kontaktieren.
A59b: Konsequenzen bei der Verletzung der Gültigkeit eines
Zertifizierungskriteriums
Anforderung: Im Prüfbericht eines Zertifizierungskriteriums soll angegeben
werden, welche Frist dem Cloud-Anbieter zur Wiederherstellung
der Gültigkeit des betroffenen Zertifizierungskriteriums auferlegt
wird
und
wann
eine
erneute
Überprüfung
des
Zertifizierungskriteriums erfolgt.
Wird eine Verletzung eines Zertifizierungskriteriums durch den Auditor festgestellt, so
soll
191
die Einhaltung des
Vgl. Bock (2008), S. 613.
Zertifizierungskriteriums
durch den
Cloud-Anbieter
64
schnellstmöglich wiederhergestellt werden, um die Gültigkeit des Zertifikates aufrecht
zu erhalten.192
Um Cloud-Kunden davon zu überzeugen, dass eine dCZ nach der Feststellung einer
Verletzung die schnellstmögliche Wiederherstellung der Einhaltung anstrebt, soll der
Prüfbericht eines verletzten Zertifizierungskriteriums um weitere Informationen ergänzt
werden. Zum einen soll der Prüfbericht um den Zeitpunkt, an dem die Verletzung
festgestellt wurde, und um eine Frist, die dem Cloud-Anbieter zur Wiederherstellung
der Gültigkeit des Zertifizierungskriteriums auferlegt wurde, ergänzt werden. 193 Zum
anderen soll dem Prüfbericht in diesem Zusammenhang auch der Zeitpunkt, an dem
eine erneute Überprüfung des verletzten Zertifizierungskriteriums erfolgt, hinzugefügt
werden.194
A15a, A15b: Sub-Cloud-Provider
Anforderung: Im Prüfbericht eines Zertifizierungskriteriums soll angegeben
werden,
ob
der
Cloud-Anbieter
in
Bezug
auf
das
Zertifizierungskriterium eine Leistung eines Sub-Cloud-Providers
bezieht sowie ob und in welcher Form die Überprüfung des
Zertifizierungskriteriums beim SCP erfolgt ist.
Wie in Kapitel 2.2.3 dargelegt, kann ein Cloud-Dienst auch aus mehreren Diensten und
Ressourcen zusammengestellt werden, die von weiteren Cloud-Anbietern, den
sogenannten Sub-Cloud-Providern, bereitgestellt werden. Die Einbindung von SCP
birgt für einen Cloud-Anbieter das Risiko, dass sich die Sicherheitsrisiken eines SCP
auch auf seinen Cloud-Dienst auswirken können, wodurch ein entsprechendes
Gefährdungspotential entsteht. Da ein Cloud-Anbieter gegenüber seinen Endkunden für
die Gesamtsicherheit seines Cloud-Angebotes verantwortlich ist, müsste er in diesem
Fall auch die Sicherheit der von ihm eingebundenen Cloud-Dienste überprüfen und die
192
Es wird die Annahme getroffen, dass die Verletzung eines Zertifizierungskriteriums dazu führt, dass
das Cloud-Zertifikat vorübergehend seine Gültigkeit verliert.
193
Vgl. T381, S. 33.
194
Vgl. T298, S. 28.
65
erforderlichen Nachweise vom SCP einfordern, um seinen Kunden ein ausreichendes
Sicherheitsniveau gewährleisten zu können.195
Um dieses Gefährdungspotential durch eine dCZ zu reduzieren und eine möglichst
verlässliche Aussage zur Sicherheit des gesamten Cloud-Dienstes treffen zu können,
müssten auch die eingebundenen SCP auf die Einhaltung von Zertifizierungskriterien
hin überprüft werden. Die Überprüfung von SCP stellt aktuell jedoch noch eine
Herausforderung dar und wird zurzeit von keiner Cloud-Zertifizierung in der Praxis
umgesetzt.196 Folglich bleibt das genannte Gefährdungspotential bestehen, was eine
große Schwäche derzeitiger Cloud-Zertifizierungen darstellt. Diese Schwächen sollen
gegenüber Cloud-Kunden transparent dargestellt werden.197
Dementsprechend ist es erforderlich, im Prüfbericht eines Zertifizierungskriteriums die
folgenden Informationen in Bezug auf den Einsatz von SCP anzugeben, um CloudKunden über das vorhandene Gefährdungspotential eines zertifizierten Cloud-Dienstes
aufzuklären. Zunächst soll angegeben werden, ob der zertifizierte Cloud-Dienst in
Bezug auf das Zertifizierungskriterium eine Leistung eines SCP einsetzt.198 Darüber
hinaus soll angegeben werden, ob das Zertifizierungskriterium unmittelbar beim CloudAnbieter überprüft wurde oder ob dies aufgrund eines eingebundenen SCP nicht bzw.
nur eingeschränkt möglich war.199 Beispielsweise soll bei einer Zertifizierung eines
SaaS-Providers, der einen IaaS einsetzt, zum Zertifizierungskriterium ZKL-050200 im
Prüfbericht angegeben werden, dass die Speicherung der Daten bei einem SCP erfolgt
sowie ob und in welcher Form eine Überprüfung des Zertifizierungskriteriums bei
diesem SCP erfolgt ist.
195
Vgl. Bundesamt für Sicherheit in der Informationstechnik (2012), S. 60.
196
Vgl. zur Herausforderung aufgrund der Kombination mehrerer Cloud-Dienste Kapitel 2.2.3.
197
Vgl. E1325-E1331, S. 34.
198
Vgl. T447, S. 38.
199
Vgl. T201, T207, T211, S. 20.
200
ZKL-050: „Sind alle in der Cloud gespeicherten Kundendaten durch z.B. virtuelle Speicherbereiche,
Tagging etc. voneinander sicher isoliert?“.
66
A2: Angabe von Parametern, Aktivitäten und Ereignissen, die ein Cloud-Anbieter
und ein Auditor überwachen (kontinuierliches Monitoring)
Anforderung: Im Prüfbericht eines Zertifizierungskriteriums soll angegeben
werden, welche Parameter, Aktivitäten und Ereignisse in Bezug auf
das Zertifizierungskriterium durch den Cloud-Anbieter und den
Auditor überwacht werden.
Um die Zuverlässigkeit der Überprüfung und Einhaltung der Zertifizierungskriterien
gegenüber Cloud-Kunden zu signalisieren, soll in den Prüfberichten angegeben werden,
welche Parameter, Aktivitäten und Ereignisse der Cloud-Anbieter sowie der Auditor im
Rahmen
eines
kontinuierlichen
Monitorings
in
Bezug
auf
das
jeweilige
Zertifizierungskriterium überwachen.201 Diese Anforderung resultiert überwiegend
daraus, dass in mehreren untersuchten Cloud-Publikationen gefordert wird, dass CloudAnbieter bestimmte Parameter und Aktivitäten überwachen und protokollieren sollen
und Cloud-Kunden in Erfahrung bringen sollen, welche dies sind. 202 Beispielsweise
kann zum Zertifizierungskriterium ZKL-073203 angegeben werden, dass der Traffic des
Cloud-Dienstes oder auch die Anzahl erfolgreicher bzw. fehlgeschlagener LoginVersuche fortlaufend überwacht werden, um somit Anomalien aufdecken und
entsprechende Maßnahmen einleiten zu können. Da jedoch nicht zu allen
Zertifizierungskriterien Parameter und Aktivitäten überwacht werden können,
beschränkt sich diese Anforderung auf Zertifizierungskriterien, zu denen dies möglich
ist.
201
Vgl. T73-T75, S. 9 und T421, S. 36.
202
Vgl. Bundesamt für Sicherheit in der Informationstechnik (2012), S. 49-50 und Catteddu, Hogben
(2009), S. 13, 16, 21.
203
ZKL-073: „Können Angriffe und Sicherheitsvorfälle rechtzeitig erkannt und zeitnahe Reaktion
eingeleitet werden?“.
67
7
Mit
Fazit
dieser Arbeit
wurde das
Ziel verfolgt,
Kundenanforderungen an die
Zertifizierungskriterien einer dynamischen Cloud-Zertifizierung zu ermitteln, um
hierdurch einen Beitrag zur Entwicklung einer effektiven, kundenorientierten dCZ zu
leisten.
Zu diesem Zweck wurde zunächst ermittelt, welche Faktoren aus Kundensicht zur
Akzeptanz einer dCZ beitragen. Dabei hat sich herausgestellt, dass die Transparenz
einer dCZ ein entscheidender Faktor ist, damit Cloud-Kunden Vertrauen in eine dCZ
aufbauen können. Die Transparenz wurde dementsprechend als eine Kernanforderung
der Cloud-Kunden angesehen, vor deren Hintergrund Kundenanforderungen ermittelt
wurden, mit denen die Transparenz im Hinblick auf die Zertifizierungskriterien einer
dCZ gesteigert werden kann. Auf dieser Grundlage konnten schließlich 62 mögliche
Kundenanforderungen
aus
22
ausgewählten
Cloud-Publikationen
systematisch
hergeleitet und in einem initialen Anforderungskatalog zusammengeführt werden.
Dieser initiale Anforderungskatalog bildete die Ausgangsbasis für den darauffolgenden
Workshop im Forschungsumfeld, in dem die literaturbasierten Kundenanforderungen
bezüglich ihrer Kundenrelevanz und Praxistauglichkeit diskutiert wurden. Aufgrund der
Ergebnisse des Workshops wurden Kundenanforderungen aus verschiedenen Gründen
gestrichen, zusammengefasst, aufgeteilt oder auch umformuliert. Aufgrund dessen
wurde der Anforderungskatalog im Nachgang überarbeitet, sodass nach dem Workshop
schlussendlich 22 Kundenanforderungen verblieben, die von den teilnehmenden
Wissenschaftlern Zuspruch erhielten, da sie als sinnvoll und kundenrelevant angesehen
wurden. Diese Kundenanforderungen verfolgen das gemeinsame Ziel, die Transparenz
der
dCZ
zu
steigern,
indem
die
Spezifikationen
und
Prüfberichte
der
Zertifizierungskriterien mit für Kunden relevanten Informationen angereichert werden.
Die Kundenanforderungen wurden im 6. Kapitel vorgestellt. Aufgrund dieser Resultate
wurden die ersten drei Teilziele dieser Arbeit erreicht.
Jedoch gestaltete sich die empirische Validierung der Kundenanforderungen als
schwierig und die einzelnen Anforderungen konnten mittels Expertenaussagen aus der
Praxis nicht unmittelbar validiert werden. Der Hauptgrund hierfür liegt darin, dass die
Kundenanforderungen innerhalb des Expertenworkshops nicht zielgerichtet thematisiert
68
wurden. Trotz dieser Tatsache konnten die Anforderungen insofern validiert werden, als
dass auch die Experten die Notwendigkeit an einer ausreichenden Transparenz deutlich
hervorgehoben haben und hierdurch die grundlegende Kernanforderung und somit auch
unmittelbar die Kundenanforderungen bestätigten. Darüber hinaus konnten wertvolle
Informationen aus der Sicht der Experten gewonnen werden, die wichtige Teilaspekte
der Kundenanforderungen thematisieren und mit denen die Beschreibung der
Anforderungen
angereichert
werden
konnten.
Aufgrund
der
eingeschränkten
Validierung müssen die ermittelten Kundenanforderungen mit einer gewissen Skepsis
betrachtet werden und es sind weitere Forschungsarbeiten notwendig, um die
Anforderungen beispielsweise in einer quantitativen Studie gegenüber Cloud-Kunden
unmittelbar zu validieren.
Weiterhin sei erwähnt, dass die vorgestellten Kundenanforderungen keinen Anspruch
auf Vollständigkeit erheben, da die Ermittlung dieser auf einer Literaturuntersuchung
und nicht auf einer direkten Kundenbefragung basierte, sodass angenommen werden
kann, dass weitere wichtige Kundenanforderungen nicht identifiziert wurden. Zudem
sollte untersucht werden, welche Implikationen die Umsetzung der Anforderungen für
Cloud-Anbieter und Zertifizierungsstellen im Hinblick auf die damit einhergehenden
Aufwände besitzt und ob diese für sie akzeptabel sind.
Schlussendlich bleibt zu hoffen, dass die erarbeiteten Kundenanforderungen trotz der
genannten Einschränkungen einen Beitrag zur kundenorientierten Gestaltung einer
dynamischen Cloud-Zertifizierung leisten werden.
69
Literaturverzeichnis
Armbrust u. a. (2010)
Michael Armbrust, Armando Fox, Rean Griffith, Anthony Joseph, Randy Katz,
Andy Konwinski, Gunho Lee, David Patterson, Ariel Rabkin, Ion Stoica, Matei
Zaharia: A view of cloud computing. In: Communications of the ACM. Nr. 4,
Jg. 53, 2010, S. 50-58
Australian Signals Directorate (2012)
Australian Signals Directorate: Cloud Computing Security Considerations.
http://www.asd.gov.au/publications/protect/Cloud_Computing_Security_Consid
erations.pdf, Abruf am 20.11.2014
Bernnat u. a. (2012)
Rainer Bernnat, Wolfgang Zink, Nicolai Bieber, Joachim Strach: Das
Normungs- und Standardisierungsumfeld von Cloud Computing.
http://www.trustedcloud.de/media/content/20111222_BMWi_Cloud_Standards_Studie_Abschlussb
ericht_%28FINAL%29.pdf, Abruf am 15.02.2015
Bezzi, Kaluvuri, Sabetta (2011)
Michele Bezzi, Samuel Kaluvuri, Antonino Sabetta: Ensuring Trust in Service
Consumption Through Security Certification. In: ACM (Hrsg.): Proceedings of
the International Workshop on Quality Assurance for Service-Based
Applications (QASBA), September 14, 2011, Lugano, Schweiz. New York, NY,
USA 2011, S. 40-43
Bock (2008)
Kirsten Bock: EuroPriSe Trust Certification. In: Datenschutz und
Datensicherheit (DuD). Nr. 9, Jg. 32, 2008, S. 610-614
Bruhn (2008)
Manfred Bruhn: Qualitätsmanagement für Dienstleistungen. Grundlagen,
Konzepte, Methoden. 7. Aufl., Berlin, Heidelberg 2008
70
Bundesamt für Sicherheit in der Informationstechnik (2012)
Bundesamt für Sicherheit in der Informationstechnik: Sicherheitsempfehlungen
für Cloud Computing Anbieter - Mindestanforderungen in der
Informationssicherheit.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderunge
n/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf,
Abruf am 20.11.2014
Bundesamt für Sicherheit in der Informationstechnik (2014)
Bundesamt für Sicherheit in der Informationstechnik: Zertifizierung nach
Technischen Richtlinien - Verfahrensbeschreibung / Zertifizierungsschema.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/TechnR
ichtlinien/MaintenanceRe-Zert_pdf.pdf, Abruf am 20.11.2014
Catteddu, Hogben (2009)
Daniele Catteddu, Giles Hogben: Cloud Computing - Information Assurance
Framework. http://www.enisa.europa.eu/activities/riskmanagement/files/deliverables/cloud-computing-information-assuranceframework/at_download/fullReport, Abruf am 04.12.2014
Cimato u. a. (2013)
Stelvio Cimato, Ernesto Damiani, Francesco Zavatarelli, Renato Menicocci:
Towards the Certification of Cloud Services. In: IEEE (Hrsg.): 9th World
Congress on Services (SERVICES), Juni 27 - Juli 2, 2013, Santa Clara, CA,
USA. Washington, DC, USA 2013, S. 92-97
Dempsey u. a. (2011)
Kelley Dempsey, Nirali Chawla, Arnold Johnson, Ronald Johnston, Alicia
Jones, Angela Orebaugh, Matthew Scholl, Kevin Stine: Information Security
Continuous Monitoring (ISCM) for Federal Information Systems and
Organizations. http://csrc.nist.gov/publications/nistpubs/800-137/SP800-137Final.pdf, Abruf am 16.12.2014
71
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (2010)
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit:
Bundesdatenschutzgesetz (BDSG).
http://www.bfdi.bund.de/SharedDocs/Publikationen/GesetzeVerordnungen/BDS
G.pdf, Abruf am 15.02.2015
Doney, Cannon (1997)
Patricia Doney, Joseph Cannon: An examination of the nature of trust in buyerseller relationships. In: Journal of Marketing. Nr. 2, Jg. 61, 1997, S. 35-51
Gadatsch, Klein, Münchhausen (2013)
Andreas Gadatsch, Henrik Klein, Manuel Münchhausen: Zertifizierte ITSicherheit für Cloud-Services. https://www.ittuv.com/fileadmin/datenpool/pdf/whitepaper/White-Paper_Zertifizierte-CloudServices-final-20130722.pdf, Abruf am 30.11.2014
Garrison, Kim, Wakefield (2012)
Gary Garrison, Sanghyun Kim, Robin Wakefield: Success factors for deploying
cloud computing. In: Communications of the ACM. Nr. 9, Jg. 55, 2012, S. 62-68
General Services Administration (2012)
General Services Administration: FedRAMP - Concept of Operations
(CONOPS). http://www.gsa.gov/graphics/staffoffices/FedRAMP_CONOPS.pdf,
Abruf am 04.12.2014
General Services Administration (2014)
General Services Administration: Continuous Monitoring Strategy & Guide.
http://www.gsa.gov/graphics/staffoffices/Continuous_Monitoring_Strategy_Gui
de_072712.pdf, Abruf am 04.12.2014
Gora (2009)
Stefan Gora: Security Audits. In: Datenschutz und Datensicherheit (DuD). Nr. 4,
Jg. 33, 2009, S. 238-246
Gottesdiener (2003)
Ellen Gottesdiener: Requirements by Collaboration: Getting It Right the First
Time. In: IEEE Software. Nr. 2, Jg. 20, 2003, S. 52-55
72
Grobauer, Walloschek, Stöcker (2011)
Bernd Grobauer, Tobias Walloschek, Elmar Stöcker: Understanding Cloud
Computing Vulnerabilities. In: Security Privacy. Nr. 2, Jg. 9, 2011, S. 50-57
Hale, Gamble (2013)
Matthew Hale, Rose Gamble: Building a Compliance Vocabulary to Embed
Security Controls in Cloud SLAs. In: IEEE (Hrsg.): 9th World Congress on
Services (SERVICES), Juni 28 - Juli 3, 2013, Santa Clara, CA, USA.
Washington, DC, USA 2013, S. 118-125
Hofmann, Schumacher (2014)
Georg Hofmann, Meike Schumacher: Studie zur Akzeptanz von Cloud
Computing. https://www.eurocloud.de/2012/news/cloud-akzeptanz/studie-cloudakzeptanz.html, Abruf am 18.11.2014
Hogben, Dekker (2012)
Giles Hogben, Marnix Dekker: Procure Secure - A guide to monitoring of
security service levels in cloud contracts.
http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloudcomputing/procure-secure-a-guide-to-monitoring-of-security-service-levels-incloud-contracts/at_download/fullReport, Abruf am 20.11.2014
International Organization for Standardization (2004)
International Organization for Standardization (Hrsg.): Conformity assessment Vocabulary and general principles. ISO 17000:2004. o.O. 2004
Jensen u. a. (2009)
Meiko Jensen, Jörg Schwenk, Nils Gruschka, Luigi Lo Iacono: On Technical
Security Issues in Cloud Computing. In: IEEE (Hrsg.): Proceedings of the 2009
IEEE International Conference on Cloud Computing (CLOUD 2009), September
21 - 25, 2009, Bangalore, Indien. Washington, DC, USA 2009, S. 109-116
Juels, Oprea (2013)
Ari Juels, Alina Oprea: New Approaches to Security and Availability for Cloud
Data. In: Communications of the ACM. Nr. 2, Jg. 56, 2013, S. 64-73
73
Khan, Malluhi (2010)
Khaled Khan, Qutaibah Malluhi: Establishing Trust in Cloud Computing. In: IT
Professional. Nr. 5, Jg. 12, 2010, S. 20-27
Koehler, Anandasivam, Dan (2010)
Philip Koehler, Arun Anandasivam, Ma Dan: Cloud Services from a Consumer
Perspective. In: Association for Information Systems (Hrsg.): Proceedings of the
16th Americas Conference on Information Systems (AMCIS 2010), August 12 15, 2010, Lima, Peru. Atlanta, Georgia, USA 2010, S. 1-10
Kogan, Sudit, Vasarhelyi (1999)
Alexander Kogan, Ephraim Sudit, Miklos Vasarhelyi: Continuous Online
Auditing: A Program of Research. In: Journal of Information Systems. Nr. 2, Jg.
13, 1999, S. 87-103
Kunz, Niehues, Waldmann (2013)
Thomas Kunz, Peter Niehues, Ulrich Waldmann: Technische Unterstützung von
Audits bei Cloud-Betreibern. In: Datenschutz und Datensicherheit (DuD). Nr. 8,
Jg. 37, 2013, S. 521-525
Lansing, Sunyaev (2013)
Jens Lansing, Ali Sunyaev: Does Pain Result in Gain? Assessing Cloud Service
Certifications’ Effectiveness. In: Association for Information Systems (Hrsg.):
Proceedings of the 34th International Conference on Information Systems (ICIS
2013), Dezember 15 - 18, 2013, Mailand, Italien. Atlanta, Georgia, USA 2013,
S. 1-12
Lins (2014)
Sebastian Lins: Methoden und Modelle zur kontinuierlichen Auditierung von
Cloud-Services. Seminararbeit. Köln 2014
74
Lins u. a. (2015)
Sebastian Lins, Scott Thiebes, Stephan Schneider, Ali Sunyaev: What is Really
Going on at Your Cloud Service Provider? Creating Trustworthy Certifications
by Continuous Auditing. In: IEEE (Hrsg.): 48th Hawaii International Conference
on System Science, Januar 5 - 8, 2015, Kauai, Hawaii. Washington, DC, USA
2015, S. 5352-5361
Marston u. a. (2011)
Sean Marston, Zhi Li, Subhajyoti Bandyopadhyay, Juheng Zhang, Anand
Ghalsasi: Cloud Computing - The Business Perspective. In: Decision Support
Systems. Nr. 1, Jg. 51, 2011, S. 176-189
Meissner (2008)
Sebastian Meissner: Zertifizierungskriterien für das Datenschutzgütesiegel
EuroPriSe. In: Datenschutz und Datensicherheit (DuD). Nr. 8, Jg. 32, 2008, S.
525-531
Mell, Grance (2011)
Peter Mell, Timothy Grance: The NIST Definition of Cloud Computing.
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf, Abruf
am 04.01.2015
Montesino, Fenz (2011)
Raydel Montesino, Stefan Fenz: Information Security Automation: How Far Can
We Go? In: IEEE (Hrsg.): 6th International Conference on Availability,
Reliability and Security (ARES), August 22 - 26, 2011, Wien, Österreich.
Washington, DC, USA 2011, S. 280-285
Munoz, Mana (2013)
Antonio Munoz, Antonio Mana: Bridging the GAP between Software
Certification and Trusted Computing for Securing Cloud Computing. In: IEEE
(Hrsg.): 9th World Congress on Services (SERVICES), Juni 27 - Juli 2, 2013,
Santa Clara, CA, USA. Washington, DC, USA 2013, S. 103-110
75
National Institute of Standards and Technology (2013)
National Institute of Standards and Technology: Security and Privacy Controls
for Federal Information Systems and Organizations.
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf,
Abruf am 16.12.2014
Office of the Government Chief Information Officer (2013)
Office of the Government Chief Information Officer: Practice Guide for
Procuring Cloud Services.
http://www.infocloud.gov.hk/themes/ogcio/media/practiceguideindividual/Practi
ce_Guide(2013-11)_EN.pdf, Abruf am 20.11.2014
Paulus (2011)
Sachar Paulus: Standards für Trusted Clouds. In: Datenschutz und
Datensicherheit (DuD). Nr. 5, Jg. 35, 2011, S. 317-321
Pearson (2013)
Siani Pearson: Privacy, Security and Trust in Cloud Computing. In: Siani
Pearson, George Yee (Hrsg.): Privacy and Security for Cloud Computing.
London 2013, S. 1-57
Pinkett (2004)
Fred Pinkett: Automating System Security Audits. In: Information Systems
Control Journal. Nr. 1, Jg. 4, 2004, S. 45-46
Rannenberg (1998)
Kai Rannenberg: Zertifizierung mehrseitiger IT-Sicherheit. Kriterien und
organisatorische Rahmenbedingungen. Braunschweig, Wiesbaden 1998
Rannenberg (2000)
Kai Rannenberg: IT Security Certification and Criteria - Progress, Problems and
Perspectives. In: Sihan Qing, Jan Eloff (Hrsg.): Proceedings of the IFIP TC11
15th Annual Working Conference on Information Security for Global
Information Infrastructures, August 22 - 24, 2000, Beijing, China. New York,
NY, USA 2000, S. 1-10
76
Sabetta, Bezzi, Kaluvuri (2012)
Antonino Sabetta, Michele Bezzi, Samuel Kaluvuri: Towards a Development
Environment to Orchestrate Services with Certified Security Properties. In:
ACM (Hrsg.): Proceedings of the 2012 ACM SIGSOFT Symposium on Industry
Day, Juni 25 - 28, 2012, Bertinoro, Italien. New York, NY, USA 2012, S. 1-4
Schneider, Lansing, Sunyaev (2013)
Stephan Schneider, Jens Lansing, Ali Sunyaev: Empfehlungen zur Gestaltung
von Cloud-Service-Zertifizierungen. In: Industrie Management. Nr. 4, Jg. 29,
2013, S. 13-17
Schneider, Lins (2015)
Stephan Schneider, Sebastian Lins: Dynamic Certification of Cloud Services. In:
Communications of the ACM. Noch nicht erschienen, voraussichtlich 2015, S.
1-4
Schneider u. a. (2014)
Stephan Schneider, Jens Lansing, Fangjian Gao, Ali Sunyaev: A Taxonomic
Perspective on Certification Schemes: Development of a Taxonomy for Cloud
Service Certification Criteria. In: IEEE (Hrsg.): 47th Hawaii International
Conference on System Sciences (HICSS), Januar 6 - 9, 2014, Waikoloa, USA.
Washington, DC, USA 2014, S. 4998-5007
Spanoudakis, Damiani, Mana (2012)
George Spanoudakis, Ernesto Damiani, Antonio Mana: Certifying Services in
Cloud: The Case for a Hybrid, Incremental and Multi-layer Approach. In: IEEE
(Hrsg.): 14th International Symposium on High-Assurance Systems Engineering
(HASE), Oktober 25 - 27, 2012, Omaha, USA. Washington, DC, USA 2012, S.
175-176
Sturm, Lansing, Sunyaev (2014)
Benjamin Sturm, Jens Lansing, Ali Sunyaev: Moving in the Right Direction?:
Mapping literature on Cloud Service Certifications’ Outcomes with
Practitioners’ Perceptions. In: Michel Avital, Jan Leimeister, Ulrike Schultze
(Hrsg.): 22nd European Conference on Information Systems (ECIS 2014), Juni 9
- 11, 2014, Tel Aviv, Israel. o. O. 2014, S. 1-17
77
Subashini, Kavitha (2011)
S. Subashini, V. Kavitha: Review: A Survey on Security Issues in Service
Delivery Models of Cloud Computing. In: Journal of Network and Computer
Applications. Nr. 1, Jg. 34, 2011, S. 1-11
Sunyaev, Schneider (2013)
Ali Sunyaev, Stephan Schneider: Cloud Services Certification. In:
Communications of the ACM. Nr. 2, Jg. 56, 2013, S. 33-36
Voßbein (2006)
Reinhard Voßbein: Prüfstandards für den Datenschutz - Hilfe für den
Datenschutzbeauftragten. In: Datenschutz und Datensicherheit (DuD). Nr. 11,
Jg. 30, 2006, S. 713-717
Windhorst, Sunyaev (2013)
Iryna Windhorst, Ali Sunyaev: Dynamic Certification of Cloud Services. In:
IEEE (Hrsg.): 8th International Conference on Availability, Reliability and
Security (ARES), September 2 - 6, 2013, Regensburg, Deutschland.
Washington, DC, USA 2013, S. 412-417
Yang u. a. (2006)
Shu-Chen Yang, Wan-Chiao Hung, Kai Sung, Cheng-Kiang Farn: Investigating
initial trust toward e-tailers from the elaboration likelihood model perspective.
In: Psychology & Marketing. Nr. 5, Jg. 23, 2006, S. 429-445
78
Anhang
A1. Zertifizierungskriterienkatalog
ZKL Zertifizierungskriterium
4 Wird ein standardisiertes Vorgehensmodell (z. B. ITIL oder COBIT) für die IT-Prozesse des
angebotenen Cloud-Services definiert und eingehalten? Besitzt der Cloud-Anbieter Zertifikate
dafür? Wenn ja, welche?
5 Ist ein Informationssicherheits-Managementsystem (ISMS) im Unternehmen des CloudAnbieters implementiert sowie nachhaltig gepflegt?
10 Existiert ein Datenschutzbeauftragter, der gegenüber Cloud-Kunden für seine Belange des
Datenschutzes und seinen Unterauftragnehmern gegenüber als Ansprechpartner zur Verfügung
steht?
11 Sind alle Mandanten eines Cloud-Services auf allen Ebenen des Cloud-Stacks, d. h.
Anwendung, Server, Netze, Storage etc., sicher und robust getrennt?
24 Ist die Grundkonfiguration für den Cloud-Server sicher erstellt? Wird also ein gehärtetes
Betriebssystem eingesetzt? Sind alle nicht benötigten Programme und Dienste abgeschaltet oder
deinstalliert?
25 Werden sämtliche Standardmaßnahmen für den Schutz des Cloud-Hosts, d. h. Host Firewalls,
Network-Intrusion-Prevention-System, Applikationsschutz, Antivirus, regelmäßige
Integritätsüberprüfungen wichtiger Systemdateien und Host-based Intrusion-Detection-Systems,
praktiziert?
31 Sind Sicherheitsmaßnahmen gegen Malware oder schadhafte Programmcodes, d. h.
Virenschutz, Trojaner-Detektion, Spam-Schutz etc., vorhanden?
32 Sind Sicherheitsmaßnahmen gegen netzbasierte Angriffe, d. h. IPS/IDS-Systeme, Firewall,
Application Layer Gateway etc., im Einsatz?
37 Ist die Kommunikation zwischen Cloud-Anbieter und -Nutzer mit einem robusten Algorithmus
verschlüsselt?
38 Ist die Kommunikation zwischen verschiedenen Cloud-Standorten mit einem robusten
Algorithmus verschlüsselt?
39 Wenn eine Leistung eines Sub-Cloud-Anbieters für einen Cloud-Service notwendig ist, wird
dann die Kommunikation mit diesem Sub-Cloud-Anbieter verschlüsselt?
40 Existiert eine redundante Vernetzung der Cloud-Rechenzentren?
42 Sind auf der I/PaaS-Plattform laufende Anwendungen von verschiedenen Cloud-Kunden durch
z. B. Sandboxing-Technologien voneinander isoliert?
46 Wird ein sicheres Patch-, Änderungs- und Release-Management durchgeführt (Sind
Abnahmekriterien für neue Informationssysteme und System-Upgrades etabliert? Finden
Eignungsprüfungen der Systeme vor der Abnahme statt?), damit Störungen im Betrieb
vermieden sowie Sicherheitslücken minimiert werden können?
48 Wurde die Patch-Verträglichkeit vor dem Einspielen in den Wirkbetrieb auf Testsystemen
sichergestellt?
50 Sind alle in der Cloud gespeicherten Kundendaten durch z. B. virtuelle Speicherbereiche,
Tagging etc. voneinander sicher isoliert?
51 Werden Daten, Software und Systeme basierend auf dem Datensicherungskonzept und der mit
Cloud-Kunden vereinbarten Backup-Politik regelmäßig gesichert und archiviert? Können
gesicherte Daten, Software und Systeme wiederhergestellt werden?
52 Gibt es beim Cloud-Anbieter einen Mechanismus, der sporadisch überprüft, ob die erzeugten
Datensicherungen zur Wiederherstellung verlorener Daten tatsächlich erfolgreich genutzt
79
werden können?
58 Werden kryptografische Maßnahmen vom Cloud-Anbieter unter der Voraussetzung eingesetzt,
dass alle Cloud-Kunden zugrundeliegenden relevanten Vereinbarungen, Gesetze und
Regulatorien eingehalten werden?
60 Wenn die gespeicherten Daten von Cloud-Anbieter verschlüsselt sind: Ist der für das
Schlüsselmanagement Verantwortliche fachlich geschult?
66 Werden alle Rollen und deren Rechte im Rahmen des Zugriffsrechtemanagements regelmäßig
überprüft?
71 Stellt der Cloud-Anbieter seinen Kunden die Möglichkeit bereit, alle im SLA vereinbarten
messbaren Größen einschließlich der Verfügbarkeit des angebotenen Services durch einen
neutralen Dritte kontinuierlich zu überwachen?
72 Wird der Cloud-Service 24/7 gegenüber Angriffen und Sicherheitsvorfällen umfassend
überwacht?
73 Können Angriffe und Sicherheitsvorfälle rechtzeitig erkannt und zeitnahe Reaktion eingeleitet
werden?
75 Werden alle Aktivitäten von Administratoren protokolliert und überwacht, damit
nachvollziehbar ist, wann wer welche Änderungen am Service vorgenommen hat?
76 Ist das handlungsfähige Team für Security-Incident-Handling und Trouble-Shooting 24/7
erreichbar?
77 Werden die betroffenen Kunden rechtzeitig über entsprechende Sicherheitslücken, -brüche oder
-vorfälle informiert?
79 Stehen alle relevanten Sicherheits-Protokolldaten in einem für die maschinelle Verarbeitung
geeigneten Format zur Verfügung?
83 Werden Notfallmanagement-Pläne regelmäßig getestet und erneuert, um deren Aktualität und
Wirksamkeit zu garantieren?
90 Sind standardisierte oder offengelegte Schnittstellen (API und Protokolle) für den CloudService, einschließlich seine Middleware und Speicherung, im Einsatz?
91 Werden die Cloud-Kunden regelmäßig über Sicherheitsmaßnahmen, Änderungen im ITSicherheitsmanagement, Sicherheitsvorfälle, die Ergebnisse durchgeführter
Informationssicherheitsrevision (IS-Revisionen) und Penetrationstests in Kenntnis gesetzt?
92 Werden beim Cloud-Anbieter regelmäßig Penetrationstests durchgeführt?
93 Erfüllt ein interner Sicherheitsprüfer/Auditor folgende Bedingungen:
1) Er verfügt über eine geeignete Qualifikation.
2) Er ist objektiv und unparteiisch.
3) Er war nicht an der Erstellung der zu prüfenden Gegenstände beteiligt.
100 Wird offengelegt, wo (Land und/oder Region) die Kundendaten gespeichert und verarbeitet
werden?
134 Gibt es einen Risikomanagementplan des Cloud-Anbieters dahingehend, welche angemessenen
Maßnahmen, Ressourcen, Verantwortlichkeiten und Priorisierungen für die Verwaltung der
Informationssicherheit bestehen? Wird dieser Plan unter Berücksichtigung neu auftretender
Sicherheitsherausforderungen kontinuierlich aktualisiert und verbessert?
156 Sind fachliche Kenntnisse und Fähigkeiten der Mitarbeiter des Cloud-Anbieters im Bereich der
Sicherheit durch ein anerkanntes Rahmenwerk wie CISA, CISSP, CISM, ITIL oder CPP
zertifiziert?
159 Können die Protokolle über die Ausbildung, Schulung, Fähigkeiten, Erfahrung und
Qualifikationen der Mitarbeiter aufrechterhalten werden?
160 Werden interne Audits zu den geplanten Intervallen durchgeführt, um zu überprüfen, ob die
Kontrollziele, Kontrolltätigkeiten, Prozesse und Prozeduren des ISMS: (ISO 10, 13)
1) die Anforderungen der ISO-27001 und anderen relevanten Vorschriften erfüllen;
80
2) die identifizierten Informationssicherheitsanforderungen leisten; und
3) wie erwartet funktionieren?
173 Werden passende Kontakte mit relevanten Behörden in Bezug auf die Sicherheit seitens des
Cloud-Anbieters gepflegt?
174 Werden geeignete Kontakte mit bestimmten Interessengruppen, anderen Spezialistenforen für
Sicherheit oder Fachverbänden seitens des Cloud-Anbieters gepflegt?
202 Sind Netzwerke des Cloud-Anbieters angemessen verwaltet und kontrolliert, um sie gegen
Bedrohungen zu schützen und die Sicherheit für alle Systeme und Applikationen, die das
Netzwerk nutzt, sowie die Daten beim Versand zu garantieren?
214 Kann die Integrität der öffentlich zugänglichen Information gewährleistet werden, um eine
unbefugte Modifikation auszuschließen?
216 Sind die Uhren aller relevanten Informationsverarbeitungssysteme des Cloud-Anbieters mit
einer anerkannten Zeitquellen synchronisiert?
219 Wird der logische Zugriff auf Diagnose- und Konfigurationsschnittstellen des Cloud-Anbieters
kontrolliert?
227 Ist die Verwendung von Systemprogrammen, mit denen System- und Softwareeinstellungen
überschrieben werden könnten, eingeschränkt und kontrolliert?
228 Werden inaktive Sessions nach einem vordefinierten Zeitraums der Inaktivität automatisch
geschlossen?
230 Sind Beschränkungen der Verbindungsdauer für die Anwendungen mit hohem Risiko des
Cloud-Anbieters im Einsatz?
241 Wenn ein Betriebssystem des Cloud-Anbieters geändert ist: Werden entsprechende
geschäftskritische Applikationen überprüft und getestet, um eine nachteilige Auswirkung auf
organisatorische Operationen oder die Sicherheit auszuschließen sind?
248 Werden Informationssysteme des Cloud-Anbieters regelmäßig dahingehend überprüft, ob
bestimmte Sicherheitsstandards erfüllt werden können?
251 Kann die finanzielle Überlebensfähigkeit, Bonität und Zahlungsfähigkeit des Cloud-Anbieters
sichergestellt werden?
282 Steht die Testbestätigung des Notfallmanagements (Business Continuity Management) des
Cloud-Anbieters für Cloud-Kunden zur Einsicht bereit?
283 Existiert ein Sicherheitsmanager im Unternehmen des Cloud-Anbieters, der die Durchsetzung
der Sicherheitsmaßnahmen leitet und gewährleistet? Kann sichergestellt werden, dass der
Sicherheitsmanager des Cloud-Anbieters direkt an seine strategische Unternehmensleitung
berichtet?
291 Ist die Historie für den Incident-Response (IR)-Prozess des Cloud-Anbieters dokumentiert und
für Cloud-Kunden zugänglich?
294 Stammen die Technologien und Produkte zur Verschlüsselung, Entschlüsselung, Signing und
Verifizierung des Cloud-Services aus zuverlässigen Quellen?
299 Ist die Test- bzw. Entwicklungsumgebung eines Cloud-Services von seiner Datenspeicherungbzw. Workload-Umgebung sicher separiert?
303 Werden Backup- und Ausfallsicherungssysteme entsprechend bereinigt, wenn VM-Images in
der Cloud gelöscht werden?
309 Ist die Netzwerkverbindung des Cloud-Anbieters zuverlässig in dem Sinn, dass die
Netzwerkverbindung ausreichend Bandbreite und eine geringe Latenzzeit für den Im- und
Export der erwarteten Menge an Kundendaten besitzt?
322 Stehen SLAs zwischen Cloud-Anbieter und -Kunden in einem standardisierten und für die
maschinelle Verarbeitung geeigneten Format bereit, um einerseits die automatisierte
Auswertung aller relevanten Voraussetzungen zu unterstützen, andererseits die Auswahl und
damit die Allokation der benötigten Ressourcen zu beschleunigen?
81
323 Werden die Aktivitäten von Rollen, die das Recht besitzen, Daten zu erstellen, einzusehen,
bekanntzugeben, zu transportieren und vernichten zu dürfen, überwacht und kontrolliert?
362 Verfügt der Cloud-Anbieter über ein Availability Management Information System, das die
Performance des angebotenen Cloud-Services ermittelt?
Werden Informationen des AMIS in Echtzeit auf der Webseite des Cloud-Anbieters publiziert?
366 Werden alle Events, die den Geschäftsbetrieb des Kunden tangieren und nicht auf technischer
Ebene automatisch behandelt werden, durch den Einsatz geeigneter Mechanismen wie EventDriven Messaging Patterns an die Kunden weitergeleitet, damit dieser entsprechende
Maßnahmen initiieren kann?
404 Besitzt der offerierte Cloud-Service eine schnelle Skalierungsfähigkeit; kann er also nach
Bedarf schnell und elastisch zur Verfügung gestellt werden?
57k Schlüsselwechsel müssen regelmäßig durchgeführt werden. Man muss regelmäßig auf die
Aktualität der verwendeten Schlüssel überprüfen.
A2. Informationsblatt und Anforderungskatalog für den Workshop im
Forschungsumfeld
Aufgrund seines Seitenumfangs befindet sich dieser Anhang auf der beigefügten CD.
A3. Transkript des Expertenworkshops
Aufgrund seines Seitenumfangs befindet sich dieser Anhang auf der beigefügten CD.
A4. Codierung der Auswahl zielführender Cloud-Publikationen
Aufgrund seines Seitenumfangs befindet sich dieser Anhang auf der beigefügten CD.
A5. Codierung der Herleitung der Kundenanforderungen
Aufgrund seines Seitenumfangs befindet sich dieser Anhang auf der beigefügten CD.
A6. Transkript des Workshops im Forschungsumfeld
Aufgrund seines Seitenumfangs befindet sich dieser Anhang auf der beigefügten CD.
A7. Inhalte der beigefügten CD-ROM
Auf der beigefügten CD-ROM befinden sich die folgenden Dokumente:
1. Masterarbeit im Word-Format (*.doc)
2. Masterarbeit im PDF-Format (*.pdf)
3. Auswertung des Expertenworkshops als NVivo-Projektdatei
4. Verwendete Quellen als Citavi-Projektordner
82
5. Anhänge A2-A6