Entwicklung und implementierung einer ontologie für das IT- sicherheitsmanagement im cloud computing

Cloud Computing hat sich in den letzten Jahren zu einem Hype-Thema in Unternehmen entwickelt. Besondere Aufmerksamkeit wird in diesem Zusammenhang der IT-Sicherheit im Cloud Computing geschenkt. Vor allem deutsche Unternehmen stehen diesem Thema äußerst kritisch gegenüber und führen häufig umfangreiche Evaluationsstudien über potenziell zu implementierende CloudComputing-Dienste durch. Kritisch werden hier vor allem die vom Anbieter implementierten Sicherheitsmaßnahmen und Kontrollen analysiert, da sie häufig nicht im Einflussbereich der Anwender liegen. Im Rahmen dieses Beitrages wird eine Ontologie für das IT-Sicherheitsmanagement im Cloud Computing sowie eine Weboberfläche für die Formulierung von Abfragen an die Ontologie vorgestellt. Ziel der entwickelten IT-Artefakte ist die Sammlung und Präsentation von Wissen über von ausgewählten Cloud-Computing-Anbietern implementierten Sicherheitsmaßnahmen, der Vergleich dieser Maßnahmen sowie das Aufzeigen von möglichen Risiken. Damit wird das übergeordnete Ziel verfolgt, Entscheidungsträgern ein Werkzeug zur Verfügung zu stellen, das es ihnen erleichtert, datenschutzrelevante Informationen in ihre Entscheidungen mit einzubeziehen. 1 Einleitung und Motivation Durch das Aufkommen des Cloud Computing in den letzten Jahren haben sowohl Unternehmen als auch Privatanwender viele Vorteile aus dem neuen IT-Outsourcing-Modell ziehen können: Schnell skalierbare Infrastrukturen, hohe Verfügbarkeit und ein Preismodell, bei dem nur gezahlt werden muss, was tatsächlich verbraucht wurde sind nur einige der zahlreichen Vorteile ([Mil09a], [Mil09b]). Doch auch neue Risiken entstehen durch diese Form des IT-Outsourcings. Durch das Fehlverhalten einzelner Kunden können auch andere beeinträchtigt werden, die neue Infrastruktur schafft neue Angriffsvektoren ([Ris09]) und sensible Daten sollten nicht ohne weiteres an die Anbieter weitergegeben werden ([MT09]). Auch Anbieter von Cloud-Computing-Diensten beschäftigen sich mit diesen Problemen. In diesem Beitrag wird eine Ontologie vorgestellt, die sicherheitsrelevantes Wissen zu Cloud-Computing-Diensten und -Anbietern enthält und gleichzeitig aufzeigt, wie Anbieter weitere Risiken vermeiden können. Um einer möglichst breiten Anwendergruppe aus Wissenschaft und Praxis den Zugang zu der Ontologie zu ermöglichen, wurde eine