ClouDAT entwickelt ein Open-Source-Werkzeug zur
Dokumentation und Prüfung von Sicherheitsanforderungen und Sicherheitsmaßnahmen in Cloud-Computing-Services und zur
Generierung von standardkonformen Dokumenten.
Ziel ist es, kleine u. mittelständische Unternehmen (KMU) bei der Zertifizierung ihrer Cloud-Lösungen zu
unterstützen.
Ziel des Projektes ist die Entwicklung eines herstellerneutralen Verfahrens zur Planung, Dokumentation und Prüfung der Sicherheitsanforderungen und Sicherheitsmaßnahmen in Cloud-Computing-Systemen zu unterstützen. Dieses Werkzeug wird auf Basis von bestehenden Werkzeugen, wie z.B. UML-Editoren, realisiert, die ebenfalls Open-Source sind.
Mit ClouDAT können Cloud-Computing-Systeme, bestehend aus SaaS (Software-as-a-Service), PaaS (Platform-as-a-Service) und IaaS (Infrastructure-as-a-Service), sowie den relevanten Geschäftsprozessen, für eine Begutachtung durch Dritte dokumentiert werden. Bei der Entwicklung von Cloud-Computing-Systemen können so verschiedene Risiken aufgedeckt werden. Risiken sind z.B., dass geheimzuhaltende Daten öffentlich werden, dass Mitarbeiter des Cloud-Computing-Anbieters unbefugt auf Daten zugreifen, die Dienste von außen verändert werden, oder dass der Dienst nicht kontinuierlich bereitsteht. Der Ansatz wird sowohl für offene Cloud-Computing-Infrastrukturen ("public clouds"), als auch für unternehmensinterne Cloud-Computing-Systeme ("private clouds") einsetzbar sein.
Bei der Dokumentation der ermittelten Anforderungen an Cloud-Computing-Systeme müssen das deutsche Recht im Bereich IT-Sicherheit und insbesondere die Einhaltung z. B. des Bundesdatenschutzgesetzes durch den Cloud-Computing-Anbieter beachtet werden. Ein potentieller Cloud-Computing-Nutzer soll anhand der Dokumentation der erbrachten Anforderungen durch den Cloud-Computing-Anbieter entscheiden können, ob der erbrachte Dienst seinen Anforderungen genügt. In ClouDAT wird ein Anforderungskatalog erstellt, der für IaaS, PaaS und SaaS eine Zertifizierung nach z. B. ISO 27001 ermöglicht. Neben Anforderungen aus Gesetzestexten oder Standards sollen auch individuelle Sicherheitsbedürfnisse der KMUs Berücksichtigung finden. Zur Dokumentation der Anforderungen werden von ClouDAT Muster bereitgestellt. Konkrete Anforderungen können in diese Muster durch Einsetzen konkreter Elemente eingepasst werden. Die einzusetzenden Elemente und deren Beziehungen untereinander können mit ClouDAT spezifiziert werden. Zur Beschreibung der Beziehungen werden wir die Standard-Notation UML verwenden und geeignet erweitern. Zur Erweiterung werden Problem Frames (Muster und Sprache für die Beschreibung von Anforderungen) genutzt. Die Security-Erweiterung UMLsec wird ebenfalls genutzt. Durch die Verwendung eines automatisierten Werkzeuges zur Sicherheitsanalyse wird eine Zertifizierung hinreichend kostengünstig, sodass sie auch für KMUs attraktiv wird.
![]() |
![]() |
![]() |
![]() |