Cloud Computing Standards

Transkript

1 Proseminar: Werkzeugunterstützung für sichere Software Cloud Computing Standards Wintersemester 2014/15 Proseminar Cloud Computing Standards Jannis Fey 1. Februar 2015 Technische Universität Dortmund Fakultät Informatik Lehrstuhl 14 Software Engineering Prof. Dr. Jan Jürjens betreut durch: Shayan Ahmadian

2 II Jannis Fey Matrikelnummer: Studiengang: Angewandte Informatik AF Dienstleistungsinformatik Werkzeugunterstützung für sichere Software Thema: Cloud Computing Standards Eingereicht: 1. Februar 2015 Betreuer: Shayan Ahmadian Prof. Dr. Jan Jürjens; Lehrstuhl 14 Software Engineering Fakultät Informatik Technische Universität Dortmund Otto-Hahn-Straße Dortmund

3 III Ehrenwörtliche Erklärung Ich erkläre hiermit ehrenwörtlich, dass ich die vorliegende Arbeit selbstständig angefertigt habe. Sämtliche aus fremden Quellen direkt oder indirekt übernommenen Gedanken sind als solche kenntlich gemacht. Die Arbeit wurde bisher keiner anderen Prüfungsbehörde vorgelegt und noch nicht veröffentlicht. Dortmund, den 1. Februar 2015 Unterschrift

4 Inhaltsverzeichnis 4 Inhaltsverzeichnis Ehrenwörtliche Erklärung... iii Inhaltsverzeichnis Abstract Einleitung Grundlagen Cloud Computing Zertifizierung Auditing Organisationen Cloud Security Alliance (CSA) National Institute of Standards and Technology (NIST) EuroCloud Bundesamt für Sicherheit in der Informationstechnik (BSI) Zertifizierung Zertifizierung nach ISO/IEC EuroCloud Star Audit (ECSA) Trusted Cloud - TÜV TRUST IT CSA Security, Trust & Assurance Registry (STAR) Certificate of Cloud Security Knowledge Übersicht Auditing Tools CloudAudit (CSA) ClouDAT Fazit und Ausblick Offene Fragestellungen Literaturverzeichnis... 21

5 Abstract 5 1 Abstract Cloud computing standards are a very important topic in relation to cloud security. For a cloud service provider it can be useful to certificate his service. A certification is a proof that your service includes special security requirements of a standard to a certain level. To simplify the audit process you can use an auditing tool to support the auditor in his work. There are many organisations which set the goal to provide cloud computing standards. The Cloud Security Alliance is a very successful international organisation. In the US the NIST and in Germany the BSI is responsible for cloud computing standards. EuroCloud is an organisation, which supports the security standards for cloud computing in Europe. The ISO Standard forms a basic for many certificates, which evaluate IT-Systems, especially Cloud Computing Services. Some examples for certifications are the EuroCloud Star Audit, Trusted Cloud or the CSA STAR Project. You will find more details about this certifications in Chapter 4. The Cloud Security Alliance still researches in the automation of the audit process. With the CSA CloudAudit tool they provide cloud providers a tool to support them in this task. In Germany is also some research on this topic with the ClouDAT project.

6 Einleitung 6 2 Einleitung Viele Unternehmen setzen heutzutage auf Cloud Computing Lösungen für ihre IT-Systeme. Der größte Vorteil für ein Unternehmen ist, dass es durch ein dynamisch skalierbares Cloud System Kosten einsparen kann. Stellt man sich ein großes Versandunternehmen wie Amazon.de vor, welches in bestimmten Zeiträumen -beispielsweise Weihnachten- eine viel höhere Zahl an Kunden und Einkäufe verwalten muss als an einem normalen Tag. Durch ein Cloud Computing System kann Amazon.de nun kurzfristig weitere Ressourcen in Form von Servern bereitstellen, um die Spitzenlast zu bewältigen. Im gleichen Umkehrschluss können an Tagen mit wenig Besucheransturm Server vom Netz genommen werden, um somit Kosten zu sparen. Ein Unternehmen muss also nicht dauerhaft ein System in Betrieb haben, das mit jeglicher Rechenlast zurechtkommt, sondern kann bei Bedarf sein System dynamisch erweitern. Cloud Computing bringt einen enormen Skalierungseffekt mit sich, wodurch natürlich Kosten gespart werden können. Allerdings darf man nicht vergessen, welche Risiken durch ein so hoch flexibles System entstehen. Datensicherheit, also die Zugangskontrolle und die Verschlüsselung der Daten, spielt eine entscheidende Rolle im Cloud Computing. Um zu bestätigen, dass ein Cloud Computing System die Anforderungen des Datenschutzes einhält, gibt es Zertifikate, welche die Einhaltung verschiedener Standards bestätigen. Um die Sicherheitsanforderungen des Cloud Services zu überprüfen, gibt es Tools, welche es dem Überprüfer einfacher machen, Fehler und Probleme in einem komplexen Cloud Computing System ausfindig zu machen. Der Cloud Computing Markt ist in den letzten Jahren enorm gewachsen. Mit zunehmenden Infrastrukturen und neuen Techniken ist die Standardisierung vorerst vernachlässigt worden. Allerdings ist es gerade in dieser Wachstumsphase besonders wichtig sich Gedanken über Standardisierungen zu machen, um dann spätere Konflikte und Sicherheitslücken zu vermeiden. Viele verschieden Organisationen versuchen jetzt neue Standards speziell für Cloud Computing zu entwickeln und diese auf den Markt zu bringen. Zunächst werden die benötigten Grundlagen für diese Ausarbeitung in Kapitel 2 gegeben. Dazu gehört auch eine kurze Vorstellung einiger wichtiger Organisationen. Kapitel 3 befasst sich dann mit den eigentlichen Zertifikaten und Standards, welche beschrieben und untereinander verglichen werden. Um dem Titel des Proseminars gerecht zu werden, befasst sich Kapitel 4 mit Auditing Tools bzw. Werkzeugen zur Prüfung von Cloud Computing Services. Abschließend beinhaltet die Ausarbeitung eine Zusammenfassung mit Stellungnahme des Autors und ein paar offene Fragen.

7 Grundlagen 7 3 Grundlagen Um die weiteren Themen dieser Ausarbeitung zu verstehen, wird in diesem Kapitel zunächst eine Grundlage zu Cloud Computing, Zertifizierung und Auditing gelegt. Des Weiteren folgt eine Vorstellung vier wichtiger Organisationen für Cloud Computing Standards. 3.1 Cloud Computing Um den Begriff Cloud Computing zu definieren, lässt sich die Begriffsdefinition des BSI hier einmal zitieren: Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software. 1 In eigenen Worten lässt sich Cloud Computing also als eine IT-Infrastruktur beschreiben, die über ein Netzwerk erreichbar ist und dynamisch an den Nutzer angepasst werden kann. Cloud Computing gliedert sich zunächst einmal in vier Liefermodelle: Public Cloud, Private Cloud, Community Cloud und Hybrid Cloud. 1 Als Public Cloud bezeichnet man einen Cloud Service, welcher öffentlich, also z.b. über das Internet für jeden erreichbar und nutzbar, ist. Eine Private Cloud hingegen ist nur intern für beispielsweise ein Unternehmen und seine Nutzer verfügbar. Community Cloud weist einen ähnlichen Aufbau wie eine Public Cloud auf, allerdings wird der Service von einem kleineren Nutzerkreis bezogen (z.b. mehrere Universitäten oder Städte). Als Hybrid Cloud bezeichnet man eine Mischform aus Public und Private Cloud, es gibt also sowohl öffentlich als auch nur intern nutzbare Teile. Des Weiteren unterscheidet man zwischen drei verschiedenen Servicemodellen: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS). 1 IaaS kann beispielsweise eine komplette IT-Infrastruktur wie Speicher oder virtualisierte Computer sein. Eine Plattform mit Programmierumgebung, wie z.b. die Google App Engine, mit welcher eigene Software auf der Cloud bereitgestellt werden kann, stellt man sich unter PaaS vor. Als SaaS beschreibt man direkt verfügbare Software, wie z.b. eine Office Suite in der Cloud oder Datenspeicher wie Dropbox. 3.2 Zertifizierung Zunächst einmal gilt es zu klären, was Zertifizierung genau bedeutet. Zertifizierung ist ein Prozess, der überprüft, ob bestimmte Anforderungen an ein System aktuell eingehalten werden. Ein Zertifikat ist dementsprechend also ein Nachweis über die Einhaltung von bestimmten Anforderungen. 2 In der Informatik gibt es verschiedene Möglichkeiten für 1 [BSI14] BSI Grundlagen Cloud Computing, Aufrufdatum [BSI14] BSI Cloud Zertifizierung, Aufrufdatum

8 Grundlagen 8 Zertifizierung. Man kann Mitarbeiter hinsichtlich seiner Fähigkeiten und Kompetenzen auszeichnen, etwa durch eine schriftliche Wissensüberprüfung. Außerdem kann Software auf ihrer Qualität überprüft und demnach zertifiziert werden. Es lassen sich auch ganze IT- Umgebungen, wie Cloud Computing Systeme, überprüfen, die durch ein Zertifikat bestätigt werden. Zur Veranschaulichung ist hier eine Zertifizierung nach dem IT-Grundschutz oder anderen Datenschutzbestimmungen zu nennen. Unterscheiden sollte man diese Zertifikate von sogenannten digitalen Zertifikaten. Ein digitales Zertifikat ist beispielsweise ein SSL-Zertifikat, mit dem digital überprüft werden kann, ob ein Benutzer authentisiert ist und bestimmte Aktionen durchführen darf. Mit digitalen Zertifikaten befasst sich diese Ausarbeitung allerdings nicht. Bei der Zertifizierung von Cloud Computing Systemen ist es hilfreich, ein Auditing Tool einzusetzen, mit welchem ein Audit der IT-Umgebung vereinfach werden kann. Was genau ein Audit ist, wird im nächsten Kapitel 2.3 behandelt. 3.3 Auditing Auditing umfasst die Überprüfung von Softwareprojekten auf bestimmte Anforderungen und Richtlinien. Ein Audit kann entweder von einem externen oder unternehmensinternen Spezialisten, Auditor genannt, durchgeführt werden. In der IT gibt es mehrere verschiedene Audits, welche sich auf ein Fachgebiet spezialisieren. Man kann einen Audit z.b. auf Quellcode, Sicherheitsaspekte, Performance und vielen anderen Bereichen anwenden. 3 In vielen IT- Infrastrukturen, wie auch dem Cloud Computing, ist es notwendig, einen sogenannten Security-Audit (Sicherheitsaudit) durchzuführen. Ein Sicherheitsaudit dient dazu, Fehler, also Sicherheitslücken, im System zu finden, sodass eine Lösung gefunden werden kann. Ein solcher Audit kann jedoch auch aufdecken, dass Anforderungen, wie bestimmte Datenschutzbedingungen oder Ähnliches, vom Cloud-Anbieter nicht eingehalten wurden, sodass er diese nach dem Audit beheben kann. Um einen Audit zu vereinfachen und einheitlich zu machen, werden in der Praxis verschiedene Tools verwendet. Für einen IT-Sicherheitsaudit wird unter anderem z.b. auch das Tool Wireshark 4 verwendet, um aus dem Scan Schwachstellen zu erkennen. Auditing hilft also bei der Überprüfung und Zertifizierung einer IT-Umgebung, wie etwa einem Cloud System. 3.4 Organisationen In dem folgenden Abschnitt werden vier verschiedene Organisationen vorgestellt. Dabei wurde versucht, die wichtigsten Organisationen im Bereich Cloud Computing Standards auszuwählen. Als eine international bekannte Organisation wird die Cloud Security Alliance betrachtet. CSA ist eine der wichtigsten Organisationen in der weltweiten Förderung von Standards im Cloud Computing. In den USA ist für die Standardisierung von Cloud Computing das National Institute of Standards and Technology zuständig. Für Europa besteht ein 3 [CCSR11] NIST Cloud Computing Standards Roadmap, Cloud Auditor, Seite 23 4 [WS15] Wireshark Website, Aufrufdatum

9 Grundlagen 9 Netzwerk von Organisationen unter dem Namen EuroCloud, welches die Standardisierung der Cloud Dienste in Europa voran bringen möchte. Letztendlich sorgt das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Sicherheit und neue Standards im Bereich Cloud Computing in Deutschland Cloud Security Alliance (CSA) Die Cloud Security Alliance, kurz CSA, ist eine non-profit Organisation mit dem Ziel, die Standardisierung und Sicherheit im Cloud Computing zu fördern. Als eine international aufgestellte Organisation wird sie von Branchenspezialisten aus der Industrie, Unternehmen, Verbänden und anderen wichtigen Interessensgruppen geführt. 5 Die CSA führt einige noch laufende Forschungsprojekte, welche nützliche Dokumente, Tools und Berichte für Cloud- Nutzern und Anbietern bereitstellen, um damit den sicheren Umgang mit Cloud Computing Services zu unterstützen. 6 Dazu gehören z.b. das GRC Stack Tool 7 (Risk Management and Compliance), mit welchem Cloud Systeme auf Sicherheit überprüft werden können. Das GCR Stack Toolkit wird in dieser Ausarbeitung allerdings nicht genauer betrachtet. CSA bietet auch Schulungen und Weiterbildungen im Bereich Cloud Sicherheit an. In Kapitel 3.1 wird das Certificate of Cloud Security Knowledge nähergehend betrachtet, welches im Prinzip eine schriftliche Prüfung ist, mit der durch das Bestehen grundlegende Kenntnisse über Cloud Sicherheit bestätigt werden. Des Weiteren bietet CSA das CloudAudit Projekt an, auf welches in Kapitel 4.1 dieser Ausarbeitung eingegangen wird. CloudAudit soll den Auditprozess für Cloud Computing Systeme vereinfachen und automatisieren National Institute of Standards and Technology (NIST) Das National Institute of Standards and Technology, kurz NIST, ist eine amerikanische Bundesbehörde welche in vielen verschiedenen Bereichen wie Chemie, Physik, Logistik, Medizin und natürlich auch in der IT neue Standards entwickelt und umsetzt. Die eigens ernannte Mission lautet: To promote U.S. innovation and industrial competitiveness by advancing measurement science, standards, and technology in ways that enhance economic security and improve our quality of life. 8 Das NIST hilft also dabei, neue Technologien mithilfe von modernen Messtechniken und Standards so zu unterstützen, dass sie für alle sicher und vorteilhaft nutzbar sind. Durch die große Beteiligung bei der Standardisierung hat das NIST genau wie CSA international großes Ansehen erlangt. Im Bereich Cloud Computing legt das NIST eine Roadmap vor, welche das Thema Cloud Computing auf eine einheitliche Ebene definiert. Diese NIST Cloud 5 [CSA14] CSA Website, About, Aufrufdatum [SS15] Search Security, Definition Cloud Security Alliance (CSA), Magarete Rouse, Februar 2011, Aufrufdatum [CSA14] Cloud Security Alliance, GRS-Stack, Aufrufdatum: [NIST14] Website des National Institute of Standards and Technology, Misson, Aufrufdatum

10 Grundlagen 10 Computing Standards Roadmap beinhaltet neben einer genauen Definition auch aktuelle Standards, Lücken und Prioritäten in Bezug auf die Standardisierung des Cloud Computing. 9 Anders als die anderen hier vorgestellten Organisationen bietet das NIST selbst keine Zertifizierung bzw. ein Zertifikat an. Mit der NIST Cloud Computing Standards Roadmap werden grundsätzlich nur Standards für Cloud Computing Systeme definiert und beschrieben EuroCloud EuroCloud ist eine unabhängige non-profit Organisation, welche aus einer zweistufigen Instanz besteht. Auf erster Ebene sitzt die Haupt EuroCloud Europe Organisation, von der aus alle Lokalen Komitees auf der zweiten (Länder-) Ebene koordiniert werden. In weniger als drei Jahren haben 30 Länder eine EuroCloud Präsenz und sind damit Teil des EuroCloud Netzwerkes. 10 Abbildung 1: Struktur der EuroCloud Organisation 10 Der Vorteil, den die europaweit aufgestellte Organisation EuroCloud mit dieser Struktur mit sich bringt, ist der Nutzen, den alle lokalen EuroCloud Teilnehmer aus der Entwicklung oder Forschung anderer Länder ziehen. Wenn also ein Land einen neuen Standard, beispielsweise ein neues Programm oder Tool entwickelt, dann profitieren alle anderen Länder, die Teil des EuroCloud Netzwerkes sind, auch von diesen Entwicklungen. Ein weiterer Vorteil besteht dadurch, dass alle lokalen EuroClouds mithilfe von EuroCloud Europe auf Länderebene eigenständig handeln können. Dadurch kann beispielsweise EuroCloud Deutschland immer noch selbst entscheiden, welche Standards sie verwenden und wie sie diese einsetzen. Außerdem besteht keine finanzielle Abhängigkeit zwischen den lokalen und der Hauptorganisation [CCSR11] NIST Cloud Computing Standards Roadmap, Executive Summary, Seite 1 & 2 10 [EUR14] Website der EuroCloud Organisation, About EuroCloud, Aufrufdatum:

11 Grundlagen Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) ist als nationale Sicherheitsbehörde von Deutschland dafür zuständig, dass die IT-Sicherheit in Deutschland voran gebracht wird. Dabei unterstützt das BSI nicht nur den Staat selbst, sondern auch Hersteller, private und geschäftliche Nutzer, sowie Anbieter von Informationstechnik. 11 Beim Thema Cloud Computing sieht sich das BSI dazu berufen, Anwendern und Anbietern bei Problemen und Fragen zu helfen, sodass Cloud Computing sicher angeboten und genutzt werden kann. 12 Das BSI bietet neben vielen Hilfestellungen auf ihrer Seite auch eine kurze Liste über bereits existierende Cloud-Zertifizierungen an. Darunter z.b. das Gütesiegel von Eurocloud, CSA und TÜV Trust IT. Dieses wird in Kapitel 3 näher erläutert. Auch ein eigenes Zertifikat des BSI scheint in Arbeit zu sein, wie sie auf ihrer Website berichten: Im Moment gibt es erste Ansätze im BSI, um ein Zertifikat für die Sicherheit einer Cloud zu erarbeiten und zu etablieren. 13 Ähnlich wie das NIST eine Cloud Computing Standards Roadmap erstellt hat, gibt es vom BSI ein Eckpunktepapier, das alle relevanten Punkte für Sicherheit von Cloud Computing abdeckt und dem Cloud Service Provider, also Anbieter, einen Leitfaden an die Hand gibt, wie dieser seinen Service umsetzen sollte [BSI14] Vorstellung des BSI, Das BSI, Michale Hange, Aufrufdatum: [BSI14] BSI Cloud Computing Themenseite, Aufrufdatum: [BSI14] BSI Cloud Zertifizierung, Aufrufdatum: [BSI14] BSI Cloud Eckpunktepapier, Aufrufdatum:

12 Zertifizierung 12 4 Zertifizierung Zertifikate werden von verschiedenen Unternehmen und Organisationen vergeben. Viele Zertifikate nutzen dazu als Basis den ISO/IEC Standard. Diese Norm ist sehr breit gefächert, kann aber eben dadurch als Grundlage für eine Zertifizierung dienen. Das Trusted Cloud Zertifikat (Kapitel 3.3) nutzt beispielsweise unter anderem die ISO Norm als Basis für seine Prüfkriterien. Auch das CSA Security, Trust & Assurance Registry (STAR) Zertifikat nutzt den ISO Standard um z.b. ein gewisses Level zu erreichen, dazu später in Kapitel 3.4 mehr. Mit dem EuroCloud Star Audit (ECSA) behandelt diese Ausarbeitung in Kapitel 3.2 auch ein Zertifikat, welches speziell und eigens für Cloud Computing Systeme konzipiert und zugeschnitten ist. Diese drei Zertifikate sind eher technisch orientiert. Sie überprüfen, ob das zugrunde liegende System die Sicherheitsanforderungen erfüllt, und zeichnen dies durch ein Zertifikat aus. Es gibt allerdings auch Zertifikate, welche Fachkräfte auf ihr Wissen über Sicherheit im Bereich Cloud Computing testen. Als Beispiel für diese Art von Zertifizierung behandelt das Kapitel 3.5 das Certificate of Cloud Security Knowledge, welches einen Online-Test zur Überprüfung der Kompetenzen vorsieht. 4.1 Zertifizierung nach ISO/IEC Die ISO/IEC Norm ist ein internationaler Standard für die erfolgreiche Realisierung eines Informationssicherheits-Managementsystems. Die Norm legt vor, wie der Aufbau, Durchführung, Instandhaltung und kontinuierliche Verbesserung des IT- Sicherheitsmanagements in einem Unternehmen auszusehen hat. Außerdem enthält sie Standard Anforderungen für die Einschätzung und Behandlung von Informationssicherheitsrisiken. Die ISO/IEC Norm ist so ausgelegt, dass sie allgemein für alle Organisationen und Unternehmen anwendbar ist, unabhängig von der Größe oder Art des Unternehmens. 15 Dieser Standard ist sehr allgemein gültig und umfangreich, weshalb er auch auf Cloud- Computing Systeme anzuwenden ist. ISO ist ein in der Branche anerkannter Nachweis für Sicherheit und Zuverlässigkeit von Cloud Diensten. 16 Da es sich hierbei um keinen speziellen Standard für Cloud Computing handelt, muss allerdings beachtet werden, dass wichtige Aspekte, die bei Cloud Diensten eine Rolle spielen, eventuell nicht ausreichend behandelt werden. So kann es trotzdem noch zu Sicherheitslücken, also Fehlern im System, durch die Schaden entstehen kann, kommen. Trotzdem wird eine Zertifizierung nach der ISO Norm in der Branche als Siegel für Sicherheit anerkannt. 16 Da die ISO Organisation selbst keine Zertifizierung durchführt, muss ein Unternehmen selbst dafür sorgen, dass ihr Service ISO konform ist. Natürlich kann ein Unternehmen auch von sich selbst aus verkünden, dass ihr Service nach der Norm arbeitet, allerdings ist eine richtige Zertifizierung durch einen Auditor viel aussagekräftiger und wird von vielen Kunden sogar gefordert. 16 In Deutschland ist etwa das BSI ein solcher Auditor, welcher einen Anbieter 15 [ISO14] ISO Store, Standrads Catalogue, ISO/IEC 27001:2013, Abstract, Aufrufdatum: [CIS15] CIS, Newsletter März 2013, Aufrufdatum

13 Zertifizierung 13 gemäß der ISO/IES Norm auf Basis von IT-Grundschutz zertifiziert. 17 Um vom BSI diese Zertifizierung zu erhalten, sind folgende Schritte notwenig: Zuerst muss der Cloud-Anbieter sich einer Überprüfung seiner Dienste unterziehen. Dazu nimmt ein vom BSI speziell zertifizierter Auditor eine Sichtung der Dokumente vor, worunter man sich stark vereinfacht ein Protokoll von Wireshark vorstellen kann. Außerdem nimmt der Auditor eine Vor-Ort-Prüfung vor, nach der er einen Audit-Report, welcher dem BSI zur eigentlichen Prüfung vorliegen muss, erstellt. Anhand dieses Berichtes entscheidet dann das BSI, ob ein Zertifikat vergeben werden kann oder nicht. 17 Inhaltlich teilt sich die ISO-Norm in zwei Teile auf. Der technische Teil beinhaltet die Sicherheit der IT-Systeme, welche die pysikalischen Daten speichern. Dazu reguliert die Norm mehrere notwendige Maßnahmen, auch Controlls genannt. Zu diesen Maßnahmen gehören unter anderem physikalische Sicherheit der IT-Systeme (Firewall, Virenscanner), personelle Sicherheit, Zugangskontrolle, sowie Verhalten im Notfall. Doch nur durch sicherer Soft- und Hardware ist die Norm noch nicht erfüllt. Viel wichtiger ist ein strukturiertes und durchdachtes Management der Prozesse in einem Informationssicherheits-Managementsystem. Die kontrollierte Steuerung der Sicherheitsmaßnahmen führt zu der gewünschten Sicherheit des Systems. Doukumentation, Schulung/Training und Verantwortungsbewusstsein spielen dabei eine große Rolle. 18 Abbildung 2 verdeutlicht, wie die inhaltliche Aufteilung der Norm gegliedert ist. Es ist deutlich zu erkennen, dass der Fokus auf dem Management eines IT-Systems liegt. Abbildung 2: Inhaltliche Aufteilung der ISO/IEC Norm EuroCloud Star Audit (ECSA) Das EuroCloud Start Audit Zertifikat ist ein relativ neues Zertifikat welches seit 2011 von der EuroCloud Organisation (vgl ) ausgestellt wird. Dazu werden von unabhängigen Auditoren verschiedene Kriterien wie z.b. Sicherheit, Infrastruktur, Anwendung und Implementierung geprüft. Das Prüfverfahren besteht aus einem Fragenkatalog von ca [BSI14] BSI, ISO Zertifizierung auf Basis von IT-Grundschutz, Aufrufdatum [TÜVS15] TÜV Süd, ISO/IEC Transparenz und Sicherheit mit System, Aufrufdatum

14 Zertifizierung 14 Fragen, welcher ausgewertet und anschließend in einem persönlichen Gespräch erläutert und durch eine Besichtigung der Rechenzentren überprüft wird. Dieser Fragenkatalog wurde in enger Zusammenarbeit mit dem BSI entwickelt. Dabei wurden die vom BSI formulierten Mindestanforderungen übernommen. Unternehmen, die eine Zertifizierung erfolgreich durchlaufen haben, erhalten eine zweijährige Zertifizierung mit individueller Bewertung, welche in Form von ein bis fünf Sternen vergeben wird. 19 Dadurch, dass das EuroCloud Star Audit Zertifikat speziell auf Cloud-Computing Services zugeschnitten ist, stellt es eine optimale Zertifizierung für Anbieter da. Aufgrund der Zertifizierung über einen Zeitraum von nur zwei Jahren ist der Anbieter gezwungen, sich einer Nach-Auditierung zu unterziehen. 19 Hierdurch besteht eine kontinuierliche Prüfung des Services trotz eventueller Umstrukturierungen oder Weiterentwicklungen beim Unternehmen. EuroCloud Deutschland wurde erst 2009 gegründet und hat bereits 2011 auf der Cebit erste zertifizierte Unternehmen vorgestellt. Bisher wurden nur wenige Unternehmen mit dem ECSA Gütesiegel ausgezeichnet. Die Zukunft wird zeigen, wie sich dieses noch recht neue Zertifikat auf dem Markt positionieren wird. Eine mögliche Entwicklung ist, dass sich eher mittelständische Unternehmen einer Zertifizierung unterliegen lassen, aber auch Microsoft hat angekündigt, seine Cloud basierte Office Lösung mit dem EuroCloud Star Audit zertifizieren lassen zu wollen Trusted Cloud - TÜV TRUST IT Die TÜV TRUST IT GmbH gehört zur Unternehmensgruppe TÜV Austria (Technischer Überwachungsverein) und hat ein standardisiertes Prüfverfahren namens Trusted Cloud entwickelt. Das Trusted Cloud Prüfverfahren basiert auf bekannten Normen und Standards wie z.b. ISO 27001, dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikationsgesetz (TKG). Das Prüfverfahren ist in vier relevante Bereiche unterteilt: Organisatorische Sicherheit, technische Sicherheit, Qualität des Service-Managements und Compliance. Für jedes Themengebiet wird ein Trust-Level zwischen eins und vier vergeben, woraus sich dann das Gesamtlevel des Zertifikats ergibt. Abbildung 3 zeigt die sieben Phasen der Zertifizierung nach dem Trusted Cloud Standard [ITB14] IT-Business, Cloud-Gütesiegel von Eurocloud soll Rechtssicherheit erhöhen, Katrin Hofmann, , Aufrufdatum: [ECO15] eco, Verband der deutschen Internetwirtschaft, Pressemeldung , Aufrufdatum: [ITÜV14] Seite des IT-TÜV, Trusted Cloud, Aufrufdatum:

15 Zertifizierung 15 Abbildung 3: siebenstufiges Verfahren von Trusted Cloud 22 Ähnlich wie bei dem EuroCloud Star Audit wird der zu prüfende Cloud-Anbieter mit einem Level zwischen eins und vier bewertet. Dadurch kann der Kunde unter anderem direkt einsehen, wie hoch die Sicherheitsanforderungen bezüglich des Datenschutzes beim Anbieter sind. Level 1 bedeutet zum Beispiel, dass dieser Anbieter gerade einmal für die Speicherung von unkritischen / unsensiblen Daten geeignet ist, wobei Level 4 bedeuten kann, dass dieser Cloud-Provider höchsten deutschen Sicherheitsstandards unterliegt. Das von der TÜV TRUST IT GmbH ausgestellte Zertifikat ist im Vergleich zu EuroCloud ein Jahr länger, also drei Jahre, gültig. 23 Allerdings erfolgt jährlich auch ein erneuter Monitoring-Audit, um zu überprüfen, ob die Anforderungen weiterhin eingehalten wurden. Bei EuroCloud hingegen erfolgt ein weiterer Audit erst nach Ablauf des Zertifikats, also nach zwei Jahren. Es lässt sich vermuten, dass durch die jährliche Überprüfung ein größerer Nachweis für Sicherheit durch das Trust IT Zertifikat besteht, als durch das von EuroCloud. 4.4 CSA Security, Trust & Assurance Registry (STAR) Die Security, Trust & Assurance Registry (kurz STAR) ist ein offenes Online-Verzeichnis, welches die Sicherheit von Cloud Service Anbietern dokumentiert. CSA bietet einem Anbieter drei Level an, unter denen er sich in der Registry eintragen darf. Level 1 Self-Assessment ist das momentan am häufigsten vorkommende Level, wenn man sich das STAR Verzeichnis ansieht. Um dieses Level zu erreichen, muss ein Cloud-Provider eine Selbsteinschätzung über die Sicherheit seines Services geben, wozu er beispielsweise das CSA Tool Cloud Controls Matrix (CCM) 24 verwenden kann, um einen Bericht zu erstellen. CCM ist ein Framework, welches detaillierte Informationen über den Cloud-Service sammelt und in Form eines Berichtes, der später eingereicht werden kann, bereitstellt. Alternativ kann der Anbieter auch eine Reihe von Multiple-Choice Fragen aus einem Fragebogen namens Consensus Assessments Initiative Questionnaire (CAIQ) beantworten. Um sich für Level 2 zu verifizieren, muss sich der Cloud-Anbieter z.b. durch ein auf ISO basierendes STAR Certificate zertifizieren lassen. Continuous bildet das 3. Level, welches 22 [ITÜV14] Bildquelle Abbildung 3, Als Vorlage diente: siebenstufiges Verfahren von Trusted Cloud, Aufrufdatum: [ITÜV14] Seite des IT-TÜV, Trusted Cloud, Aufrufdatum: [CSA14] Cloud Security Alliance, Cloud Control Matrix, Aufrufdatum:

16 Zertifizierung 16 allerdings erst für 2015 geplant ist. CSA STAR Continuous Monitoring soll eine Automatisierung des Security-Audits von Cloud Computing Diensten ermöglichen. 25 Durch den offenen Zugang zum STAR Verzeichnis ist es als Cloud-Provider eine gute Möglichkeit, seine Sicherheit gegenüber dem Kunden öffentlich zu zeigen. Durch relativ geringen Aufwand, also dem Ausfüllen eines Ja/Nein-Fragebogens, ist eine Eintragung in den Register mit Level 1 ohne Kosten möglich. Das führt neben der Aufnahme von großen Unternehmen in das Verzeichnis auch zu einer Aufnahme von kleineren. Abbildung 4 zeigt ein Unternehmen (hier: Dropbox, Inc.), das mit dem Level 1 Self Assessment aufgenommen wurde. Abbildung 4: Beispielhafter Auszug aus dem STAR Register Certificate of Cloud Security Knowledge Das Certificate of Cloud Security Knowledge ist als Ausgangspunkt der Cloud Security Zertifikate bekannt. 27 Die Zusammenarbeit zwischen CSA und ENISA (European Network and Information Security Agency) bedeutet, dass die zwei führenden Organisationen in Cloud- Sicherheit Forschung weltweit dieses Zertifikat zu einem der Top Zertifikate der Branche machen. 28 Das CCSK ist ein Online-Test, welcher das individuelle Wissen auf Sicherheitsaspekte des Cloud Computings überprüft und bewertet. Der Teilnehmer muss dazu innerhalb von 90 Minuten 60 zufällig ausgewählte Fragen aus Bereichen wie Verschlüsselung, Virtualisierung, Architektur etc. beantworten. Um zu bestehen, müssen 80% der Fragen richtig beantwortet worden sein. Um dies zu erreichen, bietet CSA sogar spezielle Trainings mit Partnern wie z.b. HP (Hewlett-Packard) an [CSA14] Cloud Security Alliance, Star Overview, Aufrufdatum: [CSA14] Cloud Security Alliance, Star Registry, Aufrufdatum: [CIO15] CIO, Top 10 Cloud Computing Certifications, SHARON FLORENTINE, , Aufrufdatum: [CSA14] Cloud Security Alliance, CCSK FAQ, Aufrufdatum: [CSA14] Cloud Security Alliance, CCSK Education Training, Aufrufdatum:

17 Zertifizierung 17 Der Test basiert im Wesentlichen auf zwei Dokumenten, welche als Übung empfohlen werden: CSA Security Guidance for Critical Areas of Focus in Cloud Computing V3 (beinhaltet 177 Seiten) und Cloud Computing: Benefits, Risks and Recommendations for Information Security (beinhaltet 125 Seiten). Das CCSK Zertifikat wird international anerkannt und bestätigt dem Teilnehmer ein großes Wissen über Risiken und Sicherheiten von Cloud Computing. Anders als die Zertifikate zuvor ist das CCSK ein Zertifikat, das das Wissen einer Person bestätigt, und nicht nachweist, wie sicher ein System, bzw. Cloud Service ist. Es bietet für viele IT-Experten eine Möglichkeit, ihre Fähigkeiten gezielt auszubauen und dementsprechend dann auch nachzuweisen. 4.6 Übersicht Um einen Einblick in die Nutzung der Zertifikate und Standards zu geben, folgt eine Tabelle in der vier Unternehmen aufgelistet sind, und die diese in Hinblick auf die Verwendung von ISO 27001, EuroCloud und dem STAR Register vergleicht. Microsoft bietet mit seinem Azure Dienst viele Cloud-Lösungen gleichzeitig an. Mit Azure können zum Beispiel SQL-Datenbanken, Speicherdienste oder virtuelle Computer realisiert werden. 30 Neben Azure ist BPOS (Business Productivity Online Suite) mit in der Übersicht. BPOS ist der Vorgänger von Microsoft Office 365, also einer Cloud basierten Office Suite. Ähnlich wie Office 365 ist Google Apps mit , Kalender, Cloud-Speicher und eigener Office Software. 31 Mit Amazon Web Services (AWS) 32 stellt das Unternehmen eine flexible einsetzbare Infrastruktur für Cloud-Services zur Verfügung, also ähnlich wie Microsoft Azure. Anbieter ISO EuroCloud STAR Microsoft Azure Ja Nein Ja Microsoft BPOS / 365 Ja Geplant Ja Google Apps Ja 33 Nein Nein Amazon AWS Ja Nein Ja Tabelle 1: Übersicht von Diensten und Zertifizierung [AZ15] Microsoft Azure Website, Aufrufdatum: Google Apps Website, Aufrufdatum: Amazon Web Services Website, Aufrufdatum: [GOFW14] Google For Work Blog, Ja seit Mai [CW14] Computerwoche.de, Was taugen Cloud-Zertifikate?, Basiert auf der Tabelle Übersicht: Dienste mit Zertifikat von Hans Paulini, Aufrufdatum:

18 Auditing Tools 18 5 Auditing Tools Um dem Titel des Proseminars etwas gerecht zu werden, werden in diesem Kapitel zwei Auditing Tools, also Werkzeuge, zur Unterstützung einer automatisierten Überprüfung von Cloud Computing Services auf Sicherheit vorgestellt. Die Grundidee hinter einem Auditing Tool ist es, das zu überprüfende System systematisch auf Sicherheitsanforderungen zu überprüfen und damit den Audit-Prozess für den Auditor einfacher zu machen. Das Tool erstellt nach der Prüfung einen Bericht oder Protokoll, in dem Details des Audits stehen. Dieser Bericht kann bei der Zertifizierung durch eine Organisation, wie z.b. dem BSI, helfen, das ganze Verfahren zu beschleunigen. Im Abschnitt 4.1 wird das CloudAudit Projekt der Cloud Security Alliance vorgestellt und ein wenig auf die technische Vorgehensweise dieses Tools eigegangen. Dem Autor dieser Ausarbeitung wurde vorgeschlagen, auch etwas über das ClouDAT Projekt zu schreiben und dies vorzustellen. Ein Grund dafür ist, dass dieses Forschungsprojekt unter anderem von der TU-Dortmund, genauer der Fakultät für Informatik LS 14 - AG SECSE, unterstützt wird CloudAudit (CSA) CloudAudit ist ein noch aktuell laufendes Forschungsprojekt der CSA mit dem Ziel, ein Tool zu entwickeln, welches den Audit Prozess automatisieren soll. Das Tool soll möglichst simpel gehalten werden, sodass es leicht und einfach zu implementieren ist. Außerdem soll es eine Möglichkeit für Erweiterungen geben - und das Ganze am besten Plattformunabhängig. 36 Das CloudAudit Tool beinhaltet eine Reihe von Prozessen und Technologien auf HTTP Basis, welche die Aufbereitung und Prüfung von Sicherheitsinformationen automatisiert. Das Tool ist eher wie ein Verzeichnis aufgebaut, das durch den Cloud-Computing Provider mit Inhalt gefüllt werden muss. Dabei ist es egal, wie der genaue Inhalt aussieht. PDFs, Text-Dateien, URLs, Log-Files oder einfache Zuweisungen wie Firewall=true sind möglich. Die Aufgabe von CloudAudit ist es, diese Daten auszuwerten und auszugeben, welche Anforderungen aus dem Kontrollrahmen, also einer Reihe von Mindestanforderungen, erfüllt werden. 37 Das von CloudAudit erstellte Protokoll kann eine große Hilfe bei der Vergabe von Zertifikaten sein. Durch ein sehr allgemein gehaltenes Tool wird hier die Möglichkeit geschaffen, jede Cloud Infrastruktur automatisiert zu überprüfen, unabhängig vom Aufbau des Services. 5.2 ClouDAT Das ClouDAT ist ein Projekt an dem sich unter anderem auch die TU Dortmund beteiligt. Ziel ist es, ein Open-Source-Tool zu entwickeln, welches die Prüfung von Sicherheitsanforderungen und Sicherheitsmaßnahmen in Cloud-Computing-Services unterstützt und dabei eine standardkonforme Dokumentation generiert. 38 Dazu wird das Tool 35 [CDAT14] ClouDAT Forschungsprojekt, LS 14 - AG SECSE, Aufrufdatum [CA14] CloudAudit Website, About, Aufrufdatum: [CA14] CloudAudit Website, FAQ, Aufrufdatum: [CDAT14] Website des ClouDAT Projekts, Aufrufdatum:

19 Auditing Tools 19 auf Basis von bereits vorhandenen Open-Source Werkzeugen realisiert. Als Standartnotation wird UML 39 mit Erweiterungen wie z.b. UMLsec 40 verwendet. Durch eigene Anpassungen bleibt das Tool flexibel für individuelle Sicherheitsbedürfnisse. 41 Cloud Computing Anbieter können durch eine Analyse prüfen, ob ihrer Umsetzung des Services den Sicherheitsanforderungen genügt, und die daraus resultierende Dokumentation dann einem Auditor vorlegen. Dieser kann mit geringem Aufwand den Cloud-Computing Anbieter zertifizieren. 41 Durch ein Open-Source Projekt besteht die Möglichkeit, das Tool für die Forschung und Lehre an Universitäten einzusetzen. Außerdem kann es beliebig auf die Bedürfnisse von Unternehmen zugeschnitten werden. Diese Eigenschaften machen das ClouDAT Tool besonders attraktiv für kleine und mittlere Unternehmen [UML15] Unified Modeling Language Resource Page, Aufrufdatum: [UMLS15] UMLsec Forschungsprojekt, LS 14 - AG SECSE, Aufrufdatum [CDAT14] ClouDAT Projektbeschreibung, Aufrufdatum:

20 Fazit und Ausblick 20 6 Fazit und Ausblick Zertifizierung und Auditing spielen beim Thema Cloud Computing eine große Rolle. Durch eine Zertifizierung bestätigt der Cloud Anbieter dem Kunden gegenüber ein gewisses Maß an Sicherheit seines Services. Wie sicher der Service wirklich ist, lässt sich an dem Zertifikat von EuroCloud und dem TÜV TRUST IT Gütesiegel direkt ablesen. Durch die Einordnung in unterschiedliche Sicherheits-Level ist ein sofortiger Vergleich anhand der Bewertung möglich. Unverzichtbar für einen Cloud Service Provider ist eine Zertifizierung nach der ISO Norm. Dieser Standard hat international höchstes Ansehen, ist damit also ein zuverlässiger Indikator für Sicherheit, und wird oftmals von der Industrie bzw. den Kunden erwartet. Auch die Cloud Security Alliance mit ihren vielen Forschungsgebieten wie CloudAudit, Certificate of Cloud Security Knowledge (CCSK) und dem STAR Projekt, eine der Top Organisationen im Bereich Cloud Sicherheit, ist eine weltweit bekannte Organisation, welche sich sehr für die Zukunft von Cloud Computing einsetzt. In den USA ist das NIST zuständig für die Erstellung und Veröffentlichung von Standards im Bereich Cloud Computing, während in Deutschland diese Rolle das BSI übernimmt. Bei der Zertifizierung von Cloud Providern möchte man den Audit Prozess vereinfachen und so einheitlich gestalten wie möglich. Dazu sind Auditing-Tools ein gutes Werkzeug um diesen Prozess zu automatisieren. Als Open-Source Projekt bildet ClouDAT neben dem CloudAudit von CSA eine Möglichkeit für viele kleinere Provider ihren Cloud Service überprüfen zu lassen. 6.1 Offene Fragestellungen Entscheidend für die Zukunft der Sicherheit im Cloud Computing Bereich ist die Entwicklung neuer Standards bzw. Umsetzung der bisher bestehenden. Eine spannende Frage ist, wie sich die Verteilung der Standards durchsetzen wird. Wird sich EuroCloud mit ihrem STAR Audit in Europa durchsetzen? Oder nutz ein europäisches Unternehmen doch lieber ein internationales Zertifikat eines anderen Anbieters?

21 Literaturverzeichnis 21 7 Literaturverzeichnis [CCSR11] [BSI14] [CSA14] COMPOSE NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY ; U.S. DEPARTMENT OF COMMERCE: NIST Cloud Computing Standards Roadmap. Special Publication , Version 2, 2011 BSI, Grundlagen Cloud Computing, URL: Grundlagen/Grundlagen_node.html, Aufrufdatum Vorstellung des BSI, Das BSI, Michael Hange, Präsident des BSI URL: Aufrufdatum: BSI, Cloud Computing Themenseite, URL: CloudComputing_node.html, Aufrufdatum: BSI, Cloud Zertifizierung, URL: CloudZertifizierung/CloudZertifizierung_node.html, Aufrufdatum: 10.12,2014 BSI, Cloud Eckpunktepapier, URL: Eckpunktepapier/Eckpunktepapier_node.html, Aufrufdatum: BSI, ISO Zertifizierung auf Basis von IT-Grundschutz, URL: Zertifizierung27001/GS_Zertifizierung_node.html, Aufrufdatum Cloud Security Alliance, About URL: Aufrufdatum Cloud Security Alliance, Star Overview, URL: Aufrufdatum: Cloud Security Alliance, Star Registry, URL: registry, Aufrufdatum: Cloud Security Alliance, GRS-Stack, URL: Aufrufdatum: Cloud Security Alliance, Cloud Control Matrix, URL: Aufrufdatum: Cloud Security Alliance, CCSK FAQ, URL: Aufrufdatum:

22 Literaturverzeichnis 22 [CSA14] [SS15] [NIST14] [EUR14] [ISO14] Cloud Security Alliance, CCSK Education Training, URL: Aufrufdatum: Search Security, Definition Cloud Security Alliance (CSA), Magarete Rouse, Februar 2011, URL: Aufrufdatum: Website des National Institute of Standards and Technology, Unterseite: NIST Mission, Vision, Core Competencies, and Core Values, URL: Aufrufdatum: Website der Eurocloud Organisation, About EuroCloud, URL: Aufrufdatum: 10.12,2014 ISO Store, Standrads Catalogue, ISO/IEC 27001:2013, Abstract URL: catalogue_detail_ics.htm?csnumber=54534, Aufrufdatum: [CIS15] CIS - Certification & Information Security Services GmbH, Newsletter März 2013, Nachweis für sichere Cloud: ISO und ISO werden von kunden akzeptiert und verlangt, URL: Services-mit-ISO und-ISO aspx, Aufrufdatum: [CIO15] CIO, Top 10 Cloud Computing Certifications, SHARON FLORENTINE, , URL: Cloud-Computing-Certifications.html#slide2, Aufrufdatum: [ITB14] IT-Business, Cloud-Gütesiegel von Eurocloud soll Rechtssicherheit erhöhen, Katrin Hofmann, , URL: Aufrufdatum: [ECO15] eco, Verband der deutschen Internetwirtschaft, Pressemeldung , Das Gütesiegel für die Cloud: Erste Anbieter zertifiziert, URL: Aufrufdatum: [ITÜV14] [TÜVS15] Seite des IT-TÜV, Trusted Cloud, URL: Aufrufdatum: TÜV SÜD Management Service GmbH, ISO/IEC Transparenz und Sicherheit mit System, Ausgabe: 07/2010, URL: pi_9_isoiec27001_d0710.pdf, Aufrufdatum

23 Literaturverzeichnis 23 [GOFW14] Google For Work Blog, Beitrag: Google Apps receives ISO certification, , URL: Aufrufdatum: [CW14] Computerwoche.de, Was taugen Cloud-Zertifikate?, HANS PAULINI, , URL: Aufrufdatum: [CA14] [CDAT14] CloudAudit Website, About, URL: Aufrufdatum: CloudAudit Website, FAQ, URL: Aufrufdatum: Website des ClouDAT Projekts, URL: Aufrufdatum: ClouDAT Projektbeschreibung, URL: Aufrufdatum: ClouDAT Forschungsprojekt, Technische Universität Dortmund, Fakultät für Informatik, LS 14 - AG SECSE, URL: Aufrufdatum [UMLS15] UMLsec Forschungsprojekt, Technische Universität Dortmund, Fakultät für Informatik, LS 14 - AG SECSE, URL: Aufrufdatum [WS15] [AZ15] [GA15] [AWS15] [UML15] Wireshark Website, URL: Aufrufdatum Microsoft Azure Website, URL: Aufrufdatum: Google Apps Website, URL: Aufrufdatum: Amazon Web Services Website, URL: Aufrufdatum: Website UML, Unified Modeling Language Resource Page, URL: Aufrufdatum: