Elemente einer IT-Infrastruktur mit verbessertem Manipulationswiderstand

Hübner, Uwe, Müller, Thomas

04 November 2003

Unterlagen eines Vortrags im Rahmen des 3. Arbeitstreffens der GWiN-Kommission des ZKI. Es werden ausgewählte Elemente der IT-Infrastrutur im Campusnetz der TU Chemnitz vorgestellt. Im Vordergrund stehen dabei Technologien und organisatorische Regelungen zum sicheren Betrieb von Endgeräten und Komponenten der IT-Infrastruktur.

IT-Sicherheit

Netzwerkadministration

Systemadministration

ddc:004

Ein Ansatz zur Systematisierung von Systemaufrufen als Grundlage zur Erstellung sicherer Profile für containerisierte Prozesse

Kreyßig, Bruno

26 September 2023

Die zunehmende Relevanz containerisierter Infrastrukturen erhöht die Notwendigkeit einer tiefgründigeren Beschäftigung mit den Sicherheitsmechanismen der zugrundeliegenden Betriebssysteme. Systemaufrufe, als Schnittstelle zwischen Nutzerprozessen und privilegierten Operationen des Kernels, sind ein idealer Ausgangspunkt, um Angriffe und deren Auswirkungen einzuschränken. Bisherige Arbeiten beschäftigten sich mit Methoden zur statischen oder testbasierten, dynamischen Extraktion von Systemaufrufen aus Container Images. Beide Ansätze kommen mit Einschränkungen bezüglich ihrer Vollständigkeit. In dieser Arbeit wirdein neuer Ansatz zur Erstellung von dedizierten Seccomp-Profilen evaluiert. Grundlegend können bestimmte Systemaufrufe auf die potenzielle Verwendung anderer Systemaufrufe hindeuten. Folglich würde die Erarbeitung einer Systematisierungsstruktur den Testaufwand zur Generierung von sicheren Profilen reduzieren, indem über Gruppen dieser Struktur weitere Systemaufrufe zugelassen werden. Es wurde untersucht, inwiefern eine solche Systematisierungsstruktur, basierend auf funktionalen Kriterien, geeignet ist. Eine dementsprechende Zerlegung des Kernels hat gleichzeitig einen operativen Nutzen zur verbesserten Kontextualisierung von Ereignismeldungen und der kritischen Analyse des bestehenden Default Seccomp Profiles für Docker. Die erarbeiteten Methoden zur Erzeugung und Bewertung des hier vorgestellten Ansatzes lassen sich auf andere Systematisierungen von Systemaufrufen anwenden. Somit ließ sich experimentell auch nachweisen, dass die gewählte funktionale Gruppierung von Systemaufrufen nicht für die Extrapolation weiterer Systemaufrufe geeignet ist. Dennoch leiten sich aus dieser Erkenntnis Implikationen zur Konzeption einer adäquaten Systematisierungsstruktur ab.:1 Einleitung und Intension 1.1 Problembeschreibung 1.2 Zielstellung 1.3 Verwandte Arbeiten 2 Stand der Wissenschaft 2.1 Systemaufrufe 2.1.1 Spezifka der x86-64-Architektur 2.1.2 Arten von Systemaufrufen 2.2 Gefährdungen uneingeschränkter Systemaufrufnutzung 2.2.1 Kritische Systemaufrufe 2.2.2 Selten genutzte Systemaufrufe 2.3 Secure Computing Mode 2.4 Zwischenfazit 3 Systematisierungsansatz 3.1 Funktionale Gruppierung 3.2 Labeling kritischer und ungewöhnlicher Systemaufrufe 4 Praktische Evaluierung 4.1 Versuchsaufbau 4.2 Methodik der Beobachtung 4.3 Ergebnis 5 Zusammenfassung Literatur Abbildungsverzeichnis Tabellenverzeichnis Aufistungsverzeichnis A Anhang

Elemente einer IT-Infrastruktur mit verbessertem Manipulationswiderstand

Hübner, Uwe, Müller, Thomas

04 November 2003

Unterlagen eines Vortrags im Rahmen des 3. Arbeitstreffens der GWiN-Kommission des ZKI. Es werden ausgewählte Elemente der IT-Infrastrutur im Campusnetz der TU Chemnitz vorgestellt. Im Vordergrund stehen dabei Technologien und organisatorische Regelungen zum sicheren Betrieb von Endgeräten und Komponenten der IT-Infrastruktur.

info:eu-repo/classification/ddc/004

ddc:004

IT-Sicherheit

Netzwerkadministration

Systemadministration

IT-Grundschutz für die Container-Virtualisierung mit dem neuen BSI-Baustein SYS. 1.6

Haar, Christoph, Buchmann, Erik

07 February 2019

Mit Hilfe der Container-Virtualisierung lassen sich Anwendungen flexibel in die Cloud auslagern, administrieren, zwischen Rechenzentren migrieren, etc. Dafür baut die Containervirtualisierung auf eine komplexe IT-Landschaft auf, in der Hardware, Betriebssystem und Anwendungen von verschiedenen Parteien bereitgestellt und genutzt werden. Der IT-Sicherheit kommt daher eine große Bedeutung zu. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit dem ITGrundschutz eine Methode zur Umsetzung von angemessenen Schutzmaßnahmen im IT-Umfeld zur Verfügung. Es gibt jedoch wenig Erfahrung mit der Absicherung der Container-Virtualisierung gemäß IT-Grundschutz: Das Grundschutz-Kompendium und die Standards zur Risikoanalyse wurden erst im November 2017 in überarbeiteter Form neu eingeführt, und der Baustein SYS. 1.6 zur Container-Virtualisierung wurde erst im Mai 2018 als Community Draft veröffentlicht. In dieser Arbeit untersuchen wir, wie gut sich der aktuelle IT-Grundschutz auf einen Web-Shop anwenden lässt, der mittels Docker virtualisiert wurde. Wir gehen dabei insbesondere auf die Gefährdungsanalyse, Docker-spezifische Gefährdungen sowie entsprechende Maßnahmen zur Abwendung dieser Gefährdungen ein. Darüber hinaus diskutieren wir, wie sich unsere Erkenntnisse über das Docker-Szenario hinaus auf Container-Technologie verallgemeinern lassen.Wir haben festgestellt, dass der Baustein SYS. 1.6 das Grundschutz-Kompendiums eine umfassende Hilfestellung zur Absicherung von Containern bietet. Wir haben jedoch zwei zusätzliche Gefährdungen identifiziert.

info:eu-repo/classification/ddc/004

ddc:004

Ende-zu-Ende-Sicherheit für die Multimodale Mobilität in einer Smart City

Plate, Franziska, Buchmann, Erik

18 April 2019

Im Zuge einer Mobilitätswende hin zu umweltfreundlicheren Transportmitteln werden Konzepte der multimodalen Mobilität immer wichtiger. Multimodale Mobilität bedeutet, dass dem Nutzer in Abhängigkeit von persönlichen und externen Faktoren eine Kombination aus Reisemitteln angeboten, gebucht und abgerechnet wird, die sein Mobilitätsbedürfnis erfüllen. Zu den persönlichen Faktoren zählen dabei Präferenzen wie Preis, Komfort oder Reisezeit, zu den externen die Verfügbarkeit von Verkehrsmitteln, Staus oder Umweltparameter. Dies erfordert eine komplexe Vernetzung von Verkehrsmitteln, Umweltsensoren, Mobilitäts- und Abrechnungsdienstleistern, intelligenten Verfahren zur Stau- und Klimavorhersage, sowie eine Echtzeitüberwachung der Nutzerposition. Der IT-Sicherheit kommt deswegen eine entscheidende Bedeutung zu. In diesem Papier untersuchen wir auf einer generischen Ebene, inwieweit sich die multimodale Mobilität in einem typischen Smart-City-Szenario technisch absichern lässt. Zu diesem Zweck fokussieren wir uns auf Nahverkehrsmittel und die für deren Buchung und Abrechnung erforderlichen Wertschöpfungsketten. In Anlehnung an den IT-Grundschutz modellieren wir die Datenflüsse und Übertragungswege, die für die Umsetzung der multimodalen Mobilität erforderlich sind. Wir untersuchen, inwiefern die derzeit verfügbaren Konzepte der IT-Sicherheit für diesen Anwendungsfall geeignet sind, und führen eine Risikoanalyse durch. Unsere Arbeit zeigt, dass bei einer konsequenten Realisierung eines Sicherheitskonzepts das größte Risiko durch Fehlbedienung oder Fehlkonfiguration des Smartphones des Nutzers entsteht, und wir zeigen detailliert auf, um welche Risiken es sich dabei handelt.

info:eu-repo/classification/ddc/380

ddc:380

Methode zur Taxierung des IT-Sicherheitsniveaus: Im Rahmen Kleinstunternehmen, speziell Handwerker

Heidenreich, Michael

23 May 2022

Kleinstunternehmen stellen einen wesentlichen Teil einer jeden Volkswirtschaft dar. Dabei können Kleinstunternehmen, insbesondere Handwerksbetriebe aufgrund ihrer begrenzten finanziellen und infrastrukturellen Bedingungen zumeist komplexe und kostenintensive industrielle Lösungen für mittlere und größere Unternehmen nicht verwenden. Zudem ist die IT-Sicherheit auch kein Bestandteil der Meisterausbildung bei Handwerkern. Privatlösungen hingegen sind nicht umfangreich genug, um alle geschäftlichen Anforderungen zu genügen. Dennoch müssen sie ihre IT-Komponenten vor internen und externen Angriffen und Ausfällen schützen, um ihre Existenz aufgrund eines IT-Sicherheitsvorfalls nicht zu gefährden. Das primäre Ziel dieser Arbeit ist die Konzeption einer mehrdimensionalen halbautomatischen IT-Sicherheitsmessmethode, welche den Stand der IT-Sicherheit feststellt, taxiert und in der Auswertungsableitung eine Steigerung ermöglicht. Eine Anforderung dieser Arbeit ist der Entwicklungsrahmen, welcher von deutschen industriellen Anforderungen und IT-Sicherheitsrahmenbedingungen flankiert wird. Schwerpunktmäßig liegt der Fokus auf der Beschreibung und Ausgestaltung des Vorgehensmodells. Diese Methode wird anwendungsorientiert in ein IT-Tool, samt zielgruppenorientierter textlicher Gestaltung prototypisch umgesetzt. Dabei werden die Ergebnisse der Datenerhebungen im Rahmen von definierten IT-Sicherheitsniveaus eingestuft. Dem Anwender wird als Ergebnis die festgestellte interne gegenüber der externen Perspektive, sowie die Resultate einer automatischen Messung der IT-Sicherheit dargestellt. Zudem resultieren als Ableitung konkrete Maßnahmen, um eine höhere IT-Sicherheitsstufe zu erhalten. Im Rahmen der abschließenden Evaluation konnte über eine Studie gezeigt werden, dass das entwickelte Artefakt, beispielsweise eine Steigerung der IT-Sicherheit, das initiale Ziel dieser Arbeit, erreicht wurde. Darüber hinaus stellten sich, neben den Gesamtmessdaten wie etwa die Software- und die IT-Ausstattung der Studienteilnehmer, auch Aspekte der IT-Sicherheit heraus, welche besonders oft eine hohe bzw. niedrige Bewertung innerhalb der Studie erhielten. Das entwickelte Artefakt wurde innerhalb von Handwerkern als Kleinstunternehmer evaluiert und kann auf weitere Bereiche angewendet werden.:Bibliographische Beschreibung II Vorwort III Inhaltsverzeichnis IV Abbildungsverzeichnis VI Tabellenverzeichnis IX Abkürzungsverzeichnis XI 1 Einleitung und thematische Grundlagen 1 1.1 Arbeitsdefinitionen 1 1.2 Erläuterung der Ausgangssituation 4 1.3 Definieren von Forschungsmethoden 11 1.4 Aufbau und Forschungsfragen 12 1.5 Stand der Forschung 14 1.5.1 Definition des Untersuchungsumfangs 14 1.5.2 Konzeption des Themas 15 1.5.3 Literatursuche 21 1.5.4 Literaturanalyse und -synthese 24 1.5.5 Forschungsagenda 28 2 Entwicklung der Methode 29 2.1 Grundlagen des Methoden Engineering 29 2.2 Definition des Referenzunternehmen, Organisatorisch 30 2.3 Konzeption der Methode 31 3 Modell Realisierung 40 3.1 Das IT-Tool 40 3.2 Definition des Referenzunternehmen, Technisch 45 3.3 Fragebogen und Checkliste 46 3.3.1 Datenbasis und Fragenraumstrukturierung 46 3.3.2 Methodik der Konzeption 48 3.4 Das Software-Tool 50 3.4.1 Softwareauswahl 51 3.4.2 Test der Aktualitätsprüfungssoftware 53 3.4.3 Weitere Ansätze 56 3.5 Ausgabe des IT-Tools 57 3.5.1 Skalierung 57 3.5.2 Gegenüberstellung 58 3.5.3 Ableitung von Maßnahmen 59 3.5.4 Beispiel Bereich in der Auswertung 59 4 Evaluation 60 4.1 Studienaufbau 60 4.2 Datenaufbereitung und Datenbereinigung 63 5 Ergebnisse 70 5.1 Datenanalyse 70 5.1.1 Fragebogen 71 5.1.2 Checkliste 76 5.1.3 PC-Messung 82 5.1.4 Erweiterte Messung 84 5.1.5 Gesamtkennzahl 84 5.2 Probandenbetrachtung 85 5.2.1 Gesamtkennzahl 86 5.2.2 Mitarbeiterkaskadenklassen. 88 5.2.3 Gewerkskohorten 88 5.3 Weitere Datenbetrachtung 89 5.3.1 Software- und Treiber Aktualität 89 5.3.2 Vorzeichentest 90 5.3.3 Multidimensionale Skalierung mit k-Means 91 6 Diskussion 96 6.1 Die Messdaten 96 6.2 Forschungshypothesen und Forschungsfrage 3 99 6.3 Explorativen Datenauswertung 103 6.4 Durchschnittsprofil 104 6.5 Prüfung des Referenzunternehmen zu den Messdaten 107 7 Zusammenfassung 109 Literaturverzeichnis XII 8 Anhang XXV Selbständigkeitserklärung LII

info:eu-repo/classification/ddc/330

ddc:330

Sicheres Cloud Computing in der Praxis

Reinhold, Paul

11 April 2017

In dieser Dissertation werden verschiedene Anforderungen an sicheres Cloud Computing untersucht. Insbesondere geht es dabei um die Analyse bestehender Forschungs- und Lösungsansätze zum Schutz von Daten und Prozessen in Cloud-Umgebungen und um die Bewertung ihrer Praxistauglichkeit. Die Basis für die Vergleichbarkeit stellen spezifizierte Kriterien dar, nach denen die untersuchten Technologien bewertet werden. Hauptziel dieser Arbeit ist zu zeigen, auf welche Weise technische Forschungsansätze verglichen werden können, um auf dieser Grundlage eine Bewertung ihrer Eignung in der Praxis zu ermöglichen. Hierzu werden zunächst relevante Teilbereiche der Cloud Computing Sicherheit aufgezeigt, deren Lösungsstrategien im Kontext der Arbeit diskutiert und State-of-the-Art Methoden evaluiert. Die Aussage zur Praxistauglichkeit ergibt sich dabei aus dem Verhältnis des potenziellen Nutzens zu den damit verbundene erwartenden Kosten. Der potenzielle Nutzen ist dabei als Zusammenführung der gebotenen Leistungsfähigkeit, Sicherheit und Funktionalität der untersuchten Technologie definiert. Zur objektiven Bewertung setzten sich diese drei Größen aus spezifizierten Kriterien zusammen, deren Informationen direkt aus den untersuchten Forschungsarbeiten stammen. Die zu erwartenden Kosten ergeben sich aus Kostenschlüsseln für Technologie, Betrieb und Entwicklung. In dieser Arbeit sollen die zugleich spezifizierten Evaluierungskriterien sowie die Konstellation der obig eingeführten Begriffe ausführlich erläutert und bewertet werden. Für die bessere Abschätzung der Eignung in der Praxis wird in der Arbeit eine angepasste SWOT-Analyse für die identifizierten relevanten Teilbereiche durchgeführt. Neben der Definition der Praktikabilitätsaussage, stellt dies die zweite Innovation dieser Arbeit dar. Das konkrete Ziel dieser Analyse ist es, die Vergleichbarkeit zwischen den Teilbereichen zu erhöhen und so die Strategieplanung zur Entwicklung sicherer Cloud Computing Lösungen zu verbessern.

Cloud Computing

IT Sicherheit

Technologieevalierung

Bewertungsverfahren

Cloud Computing

IT-Security

Technology Evaluation

Evaluationprocess

ddc:000

Cloud Computing

Bewertung

Security als komplexe Anforderung an agile Softwareentwicklung: Erarbeitung eines Anwendungsmusters zur Betrachtung der IT-Security in agilen Entwickungszyklen anhand eines metadatengestützen Testing-Verfahrens

Matkowitz, Max

26 April 2022

Agile Softwareentwicklung steht mit seinen Prinzipien für offene Kollaboration, leichtgewichtige Rahmenwerke und schnelle Anpassung an Änderungen. Mit diesen Charakteristika konnte sich Problemen und Unzufriedenheit in der traditionellen Software-Entwicklung gewidmet werden. Auf der Seite der IT-Sicherheit haben sich allerdings vielfältige Herausforderungen offenbart. Mit Static Application Security Testing (SAST) und Dynamic Application Security Testing (DAST) wurden erste Lösungsansätze dafür geliefert. Eine zufriedenstellende Möglichkeit zur Integration von Security-Testing in agile Softwareentwicklung, insbesondere im Cloud-Kontext, stellen diese allerdings nicht dar. Die vorliegende Arbeit soll unter folgender Fragestellung bearbeitet werden: Wie kann ein praktisches Konzept zur Betrachtung der Sicherheit von Anwendungs-Code, Container und Cluster innerhalb von agilen Entwicklungszyklen realisiert werden, wenn ein metadatenbasiertes Testverfahren verwendet werden soll? Das Ziel teilt sich damit in die Konzeption und Realisierung von zwei Aspekten: das metadatenbasierte Security-Testing von Code/Container/Cluster und den Entwicklungsablauf zur Anwendung des Testing-Verfahrens. Ein Fallbeispiel der Webentwicklung wurde zur qualitativen Evaluation eines Prototypen herangezogen, welcher mittels Python und GitLab umgesetzt wurde. Nach Erläuterung der Rahmenbedingungen, konnten konkrete Szenarien eines Entwicklungsprozesses durchlaufen werden. Die qualitative Untersuchung zeigte eine erfolgreiche Erkennung von Schwachstellen unterschiedlicher Kategorien (z.B. Broken Access Control). Insgesamt konnte eine gute Einbettung in den beispielhaften Entwicklungsablauf beobachtet werden. Der Aufwand für die Pflege der Metadaten ist nicht zu vernachlässigen, jedoch sollte dieser aufgrund der Orientierung am etablierten OpenAPI Schema nicht zu stark gewichtet werden. Dies gilt insbesondere dann, wenn durch den Einfluss von Metadaten Mehrwerte (Durchführbarkeit, Schnelligkeit, Komfortabilität) generiert werden können.:1 Einleitung 1.1 Problembeschreibung 1.2 Zielstellung 1.3 Stand der Technik und Entwicklungsmethoden 1.4 Methodik 2 Theoretische und Technische Grundlagen 2.1 Grundlagen der agilen Software-Entwicklung 2.2 GitLab 2.3 Grundlagen zum metadatengestützten Security-Testing 3 Konzeption 3.1 Low-Level Modell (Testablauf) 3.2 Synthese der beispielhaften Testfälle 3.3 Beschreibungsdatei 3.4 High-Level Modell (Entwicklungsablauf) 4 Implementation 4.1 Testablauf 4.2 CI/CD Pipeline 4.3 Fallbeispiel der agilen Softwareentwicklung 5 Auswertung und Ausblick

Specification and verification of security policies for smart cards

Schwan, Matthias

23 May 2008

Chipkarten sind ein fester Bestandteil unseres täglichen Lebens, das immer stärker von der Zuverlässigkeit derartiger Sicherheitssysteme abhängt, zum Beispiel Bezahlkarten, elektronische Gesundheitskarten oder Ausweisdokumente. Eine Sicherheitspolitik beschreibt die wichtigsten Sicherheitsziele und Sicherheitsfunktionen eines Systems und bildet die Grundlage für dessen zuverlässige Entwicklung. In der Arbeit konzentrieren wir uns auf multi-applikative Chipkartenbetriebssysteme und betrachten neue zusätzliche Sicherheitsziele, die dem Schutz der Kartenanwendungen dienen. Da die Qualität des Betriebssystems von der umgesetzten Sicherheitspolitik abhängt, ist deren Korrektheit von entscheidender Bedeutung. Mit einer Formalisierung können Zweideutigkeiten in der Interpretation ausgeschlossen und formale Beweistechniken angewendet werden. Bisherige formale Verifikationen von Sicherheitspolitiken beinhalten im allgemeinen den Nachweis von Safety-Eigenschaften. Wir verlangen zusätzlich die Betrachtung von Security-Eigenschaften, wobei aus heutiger Sicht beide Arten von Eigenschaften stets getrennt in unterschiedlichen Formalismen verifiziert werden. Die Arbeit stellt eine gemeinsame Spezifikations- und Verifikationsmethodik mit Hilfe von Observer-Modellen vor, die sowohl den Nachweis von Safety-Eigenschaften in einem TLA-Modell als auch den Nachweis von Security-Eigenschaften kryptografischer Protokolle in einem induktiven Modell erlaubt. Da wir alle Spezifikationen und Verifikationen im Werkzeug VSE-II durchführen, bietet das formale Modell der Sicherheitspolitik nicht nur einen abstrakten Blick auf das System, sondern dient gleichzeitig als abstrakte Systemspezifikation, die es in weiteren Entwicklungsschritten in VSE-II zu verfeinern gilt. Die vorgestellte Methodik der Integration beider Systemmodelle in VSE-II führt somit zu einer erhöhten und nachweisbaren Qualität von Sicherheitspolitiken und von Sicherheitssystemen. / Security systems that use smart cards are nowadays an important part of our daily life, which becomes increasingly dependent on the reliability of such systems, for example cash cards, electronic health cards or identification documents. Since a security policy states both the main security objectives and the security functions of a certain security system, it is the basis for the reliable system development. This work focuses on multi-applicative smart card operating systems and addresses new security objectives regarding the applications running on the card. As the quality of the operating system is determined by the underlying security policy, its correctness is of crucial importance. A formalization of it first provides an unambiguous interpretation and second allows for the analysis with mathematical precision. The formal verification of a security policy generally requires the verification of so-called safety properties; but in the proposed security policy we are additionally confronting security properties. At present, safety and security properties of formal system models are verified separately using different formalisms. In this work we first formalize a security policy in a TLA system specification to analyze safety properties and then separately verify security properties using an inductive model of cryptographic protocols. We provide a framework for combining both models with the help of an observer methodology. Since all specifications and proofs are performed with the tool VSE-II, the verified formal model of the security policy is not just an abstract view on the security system but becomes its high level specification, which shall be refined in further development steps also to be performed with the tool. Hence, the integration of the two approaches within the tool VSE-II leads to a new quality level of security policies and ultimately of the development of security systems.

IT-Sicherheit

Chipkarten

Sicherheitspolitik

Formale Verifikation

IT Security

Smart Cards

Security Policy

Formal Verification

004 Informatik

28 Informatik, Datenverarbeitung

ddc:004

Sicheres Cloud Computing in der Praxis: Identifikation relevanter Kriterien zur Evaluierung der Praxistauglichkeit von Technologieansätzen im Cloud Computing Umfeld mit dem Fokus auf Datenschutz und Datensicherheit

Reinhold, Paul

02 February 2017

In dieser Dissertation werden verschiedene Anforderungen an sicheres Cloud Computing untersucht. Insbesondere geht es dabei um die Analyse bestehender Forschungs- und Lösungsansätze zum Schutz von Daten und Prozessen in Cloud-Umgebungen und um die Bewertung ihrer Praxistauglichkeit. Die Basis für die Vergleichbarkeit stellen spezifizierte Kriterien dar, nach denen die untersuchten Technologien bewertet werden. Hauptziel dieser Arbeit ist zu zeigen, auf welche Weise technische Forschungsansätze verglichen werden können, um auf dieser Grundlage eine Bewertung ihrer Eignung in der Praxis zu ermöglichen. Hierzu werden zunächst relevante Teilbereiche der Cloud Computing Sicherheit aufgezeigt, deren Lösungsstrategien im Kontext der Arbeit diskutiert und State-of-the-Art Methoden evaluiert. Die Aussage zur Praxistauglichkeit ergibt sich dabei aus dem Verhältnis des potenziellen Nutzens zu den damit verbundene erwartenden Kosten. Der potenzielle Nutzen ist dabei als Zusammenführung der gebotenen Leistungsfähigkeit, Sicherheit und Funktionalität der untersuchten Technologie definiert. Zur objektiven Bewertung setzten sich diese drei Größen aus spezifizierten Kriterien zusammen, deren Informationen direkt aus den untersuchten Forschungsarbeiten stammen. Die zu erwartenden Kosten ergeben sich aus Kostenschlüsseln für Technologie, Betrieb und Entwicklung. In dieser Arbeit sollen die zugleich spezifizierten Evaluierungskriterien sowie die Konstellation der obig eingeführten Begriffe ausführlich erläutert und bewertet werden. Für die bessere Abschätzung der Eignung in der Praxis wird in der Arbeit eine angepasste SWOT-Analyse für die identifizierten relevanten Teilbereiche durchgeführt. Neben der Definition der Praktikabilitätsaussage, stellt dies die zweite Innovation dieser Arbeit dar. Das konkrete Ziel dieser Analyse ist es, die Vergleichbarkeit zwischen den Teilbereichen zu erhöhen und so die Strategieplanung zur Entwicklung sicherer Cloud Computing Lösungen zu verbessern.

info:eu-repo/classification/ddc/000

ddc:000

Cloud Computing; Bewertung