PKI & Sicherheitsstandards in der Cloud (Sommersemester 2012)
Dozent:
Prof. Dr. Christoph Meinel
(Internet-Technologien und -Systeme)
Allgemeine Information
- Semesterwochenstunden: 2
- ECTS: 3
- Benotet:
Ja
- Einschreibefrist: 1.4.2012 - 25.4.2012
- Lehrform: Seminar
- Belegungsart: Wahlpflichtmodul
Studiengänge, Modulgruppen & Module
- Internet & Security Technology
Beschreibung
Eine breit akzeptierte Definition des Begriffs Cloud Computing gibt es bis heute nicht. Allerdings können die grundlegenden Eigenschaften wie folgt zusammengefasst werden: Cloud Computing nutzt Virtualisierung und das Internet zur dynamischen Bereitstellung von IT-Ressourcen. Dabei kann es sich um IT-Infrastruktur, Plattformen oder Anwendungen aller Art handeln. Cloud Computing bezeichnet also sowohl Anwendungen, welche als Dienste über das Internet angeboten werden, als auch auf die Hard- und Software, die in Rechenzentren zu deren Bereitstellung benötigt werden. Die Abrechnung erfolgt dabei stets nach Verbrauch.
Die Gründe für Cloud Computing liegen auf der Hand: Es entfallen die Kosten für Anschaffung, Betrieb und Wartung eigener Hardware. Die Benutzer können auf praktisch unbegrenzt verfügbare Ressourcen zugreifen ohne sich um die Installation und Pflege von Hard- und Softwareware kümmern zu müssen.
Die existierenden Cloud-Ansätze unterscheiden sich hinsichtlich ihrer Zielsetzung, Architektur sowie der Funktionalität, die sie dem Benutzer bieten. Die grundsätzlichen Cloud-Kategorien abstrahieren unterschiedlich stark von der darunterliegenden Hardware. Was allerdings alle Ansätze gemein haben, ist, dass IT-Ressourcen ihren Nutzern als abstrakte Web-Dienste bereitstellt werden. Speicher, Rechenzeit oder komplexere Dienste können über festgelegte Schnittstellen angefordert werden.
Das Seminar beschäftigt sich mit dem Möglichkeiten, die Cloud-Dienste zur Erhöhung der IT-Sicherheit leisten können. Institutionen aus Wirtschaft und Verwaltung sind heute zunehmend vom Schutz ihrer IT-Systeme und den darauf zu verarbeitenden Daten (hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit) abhängig. Zusätzlich fordern eine Reihe gesetzlicher Regelungen die Einhaltung von Datenschutz und Datensicherheit: Werden personenbezogene Daten verarbeitet, so verpflichtet das Bundesdatenschutzgesetz die datenverarbeitende Stelle, geeignete technische und organisatorische Maßnahmen zum Schutz der erhobenen Daten zu treffen. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich verpflichtet u.a. Aktiengesellschaften zur Schaffung eines unternehmensinternen Risikofrüherkennungssystems. Von herausragender Bedeutung für die Errichtung des Frühwarnsystems ist § 91 Abs. 2 AktG. Der Vorstand habe „geeignete Maßnahmen“ zu treffen, um den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkennen zu können. Derartige Gefährdungen können auch durch fehlende IT-Sicherheit entstehen.
Zur Umsetzung geeigneter IT-Schutzmaßnahmen gibt es eine Reihe von Normen und Standards, z.B. die IT-Grundschutzkataloge des BSI, Normen wie ISO 27xxx. Die Erfahrung zeigt, dass es gerade für kleine Institutionen aus Wirtschaft und Verwaltung häufig nicht möglich ist, IT-Sicherheitsprozesse im erforderlichen Umfang umzusetzen. Die Etablierung eines IT-Sicherheitsprozess erfordert ein hohes Wissen, bindet Ressourcen und wird daher häufig aus wirtschaftlichen Gründen nicht kontinuierlich verfolgt.
Voraussetzungen
- Kenntnisse der Vorlesung "Internet- & WWW-Technologien" gewünscht
Lern- und Lehrformen
- kurze Einführung und Übersicht zu den Themen durch die Dozenten
- Eigenständige Ausarbeitung zum gewählten Thema
- Vortrag zum gewählten Thema
Leistungserfassung
- 45-minütiger Vortrag und Ausarbeitung (10 Seiten) zu einem cloudspezifischen Thema
Termine
bitte beachten:
Termin 12.04. entfällt;
erster Termin abweichend am Mittwoch, 18.04., um 13.30 Uhr in Raum A-1.2
Zurück