PAL SAaaS - Building Trust for Secure Cloud Auditing

Während Cloud-Dienstleistungen immer populärer werden, bremsen Sicherheitsbedenken der Kunden diese Entwicklung aus. Um das Vertrauen von Kunden wieder zu gewinnen, ist es ein vielversprechender Ansatz, externe Sicherheitsaudits durchzuführen.

Während Cloud-Dienstleistungen immer populärer werden, bremsen Sicherheitsbedenken der Kunden diese Entwicklung aus. Um das Vertrauen von Kunden wieder zu gewinnen, ist es ein vielversprechender Ansatz, externe Sicherheitsaudits durchzuführen. Hierbei untersucht und zertifiziert eine dritte, externe Partei, der Auditor, die Sicherheits­eigenschaften eines Cloud-Dienstleisters. Das Design und die Entwicklung solcher Audits

und der entsprechenden, unterstützenden Komponenten sind die Ziele dieses Forschungs­projekts. Hierbei liegt der Fokus auf den Sicherheitsanforderungen „Privacy, Availability and Liability“ (PAL):

  •  Privacy: Ein Auditprozess verlangt das Sammeln und Auswerten von digitalen Informationen über Nutzer und/oder Serviceanbieter. Entsprechend muss sichergestellt  werden, dass hierbei die Privatsphäre von Nutzern nicht verletzt wird und gleichzeitig der Cloud-Dienstleister nicht mehr über interne Prozesse verrät als notwendig ist.
  • Availability: Eine zentrale Anforderung von Cloud-Dienstleistungen ist dauerhafte Erreichbarkeit des Service, bspw. der gespeicherten Daten. 
  • Liability: Falls bei einem Cloud-Dienst Sicherheitslücken auftreten, obwohl dieser vorher durch einen Auditor überprüft wurde, stellt sich unmittelbar die Frage der Haftbarkeit (Liability). Dies betrifft sowohl den Serviceanbieter als auch den Auditor, welcher in der Lage sein muss, glaubhaft nachzuweisen, dass er seinen Auditing-Pflichten umfänglich nachgekommen war. Obwohl die Haftungsfrage gerade im Unternehmenskontext berücksichtigt werden muss, wurde diese Eigenschaft bisher bei Auditingprozessen ignoriert.