Verzeichnis der Abschlussarbeiten

Cloud Computing ist ein großes Zukunftsthema, das aber verschiedene Vor- und Nachteile vereint. Problematisch ist, dass das Vertrauen in die Datensicherheit und den Datenschutz fehlt, dass Complianceanforderungen schwierig erfüllbar sind und eine Abhängigkeit – vom Betreiber und der permanenten Netzanbindung - entsteht.  Das Cloud-spezifische Sicherheitsmanagement ist dem IT-Sicherheitsmanagement untergeordnet und darf hier zu keinen Zielkonflikten führen. Cloud Computing kann mit dem klassischen IT-Outsourcing verglichen werden. Die Konzepte des Outsourcings können als Ausgangsbasis herangezogen werden, um daraus Cloud Computing spezifische Konzepte abzuleiten.  In der Arbeit werden verschiedene Richtlinien betrachtet (BSI, ENISA, FedRAMP und das österreichische Informationssicherheitshandbuch). Die Publikation des BSI beinhaltet Informationen zu den Themen Sicherheitsmanagement, Sicherheitsarchitektur, Kontroll- und Monitoring-Möglichkeiten, Security Incident Management, Notfall Management, Portabilität und Interoperabilität, Sicherheitsprüfung und -nachweis, Anforderungen an das Personal sowie Vertragsgestaltung, Datenschutz und Compliance. Weiters geht aus dem Dokument hervor, dass langfristig eine internationale Standardisierung für Informationssicherheit notwendig ist, auf deren Basis Cloud Services überprüft und zertifiziert werden sollen.  Die Publikation der ENISA beinhaltet Empfehlungen für die Sicherheit von Cloud Kunden in Form von Checklisten mit Sicherheitsfragen zur Unterstützung des Entscheidungsprozesses; weiters ein beispielhaftes Risiko-Assessment, das auch die Perspektive eines KMUs betrachtet.  FedRAMP ist ein standardisiertes Auditverfahren für die US-Verwaltung, die zukünftig nur noch Cloud-Services einsetzen will, die dem Auditierungsprozess unterzogen wurden und definierte Sicherheitsstandards erfüllen.  Die Publikation des österreichischen Sicherheitshandbuches geht speziell auf Rechtslage in Österreich ein.   Ein Cloud Sicherheitskonzept beinhaltet sicherheitsrelevante Aspekte der Integration der Cloud-Anwendungen in die IT-Architektur. Es benötigt einen standardisierten Risikomanagement-Prozess und besteht aus vier Phasen (Cloud Sourcing Strategie; Evaluierung und Auswahl; Vertragsentwicklung, Cloud Sourcing Management) Abschließend wird ein Cloud Sicherheitsmodell für Klein- und Mittelbetriebe entwickelt und anhand von drei Richtlinien evaluiert.  

Cloud Computing has changed from a buzz word to an omnipresent topic which combines advantages and disadvantages. The lack of trust in data security and data protection is problematic as well as the difficulty of meeting compliance requirements. Another challenge is the dependency from providers and network connection, the so called lock-in effect. To avoid conflicts of interests the cloud-security management should be derived from the IT-security management. Cloud Computing is related with the classic IT-outsourcing, thus the concepts of outsourcing can be used as starting points to derive cloud computing approaches.  In this thesis different guidelines from following institutions are reflected: BSI, ENISA, FedRAMP and the Austrian information security handbook (österreichische Informationssicherheitshandbuch). The BSI publication contains information on following topics: Security management, security architecture, controlling and monitoring, incident management, emergency management, portability and interoperability, review and audit, personal requirements, contracts, data protection and compliance. Further the findings of the BSI document are, that on long term an international standardization for cloud information security should be achieved. The ENISA guideline contains recommendations for cloud-customers and some checklists that can be used as support in the decision making process. Further an example for a risk-assessment for SMEs is provided. A standardized audit procedure, established from and for the USadministration is called FedRAMP and should guarantee security standard for cloud services. The Austrian information security handbook reflects the Austrian jurisdiction. A cloud security concept contains relevant aspects for the integration of cloudapplications in an IT-architecture. Therefore a standardized risk-managementprocess is necessary. This process consists of four stages (cloud sourcing strategy, evaluation and choice, contract development and cloud sourcing management).  Finally a cloud sourcing security model with focus on SMEs will be developed and based on three guidelines evaluated.