Project Next Generation Certification (NGCert)

An increasing number of organizations outsource their data and applications to the cloud, empowering them to achieve financial and technical benefits. However, some organizations are still hesitant to adopt cloud services because of security, privacy, and availability concerns as well as doubts about the trustworthiness of cloud providers. Cloud service certifications are good means to establish trust, increase transparency of the cloud market, and allow providers to improve their processes and systems. Several certifications, such as “EuroCloud Star Audit” issued by EuroCloud, have recently evolved and attempt to assure a high level of security, availability, and legal compliance, for a validity period of one to three years. However, cloud services are part of an ever-changing environment, resulting from fast technology life cycles and inherent cloud computing characteristics. Hence, such long validity periods may put in doubt the reliability of issued certificates. Conditions and requirements of such certifications may no longer be met throughout these periods, for instance, due to configuration changes or major security incidents.

To increase trustworthiness of issued certifications and to assure continuously reliable and secure cloud services, the German Federal Ministry of Education and Research funded five projects in the research area “Secure Cloud Computing” of the federal government’s “High-Tech Strategy”. The project “Next Generation Certification” (NGCert) focuses on research and development of dynamic certifications for cloud services, which enable auditors to continuously and (semi) automatically audit and monitor crucial parameters of cloud services. In this context, the Assistant Professorship of Information Systems and Information Systems Quality develops metrics, methods, and design guidelines for continuous monitoring and (semi) automatic certification of cloud services. In the course of NGCert, the University of Cologne is partnering with Fraunhofer AISEC, Technische Universität München, University of Kassel, EuroCloud Germany, Fujitsu, and AKDB, among other field and transfer partners, and experts.

 

Website: www.ngcert.de

 

Contact partner University of Cologne

Ali Sunyaev
 sunyaev(at)wiso.uni-koeln.de


Sebastian Lins
 lins(at)wiso.uni-koeln.de

Projekt Next Generation Certification (NGCert) (German version)

Die Nutzung von Cloud-Services ermöglicht es Unternehmen eine Vielzahl von finanziellen und technischen Vorteilen zu realisieren. Demgegenüber sehen sich Cloud-Service-Provider auch mit vielen Bedenken von potentiellen Nutzern hinsichtlich des Vertrauens in die angebotenen Services und deren Sicherheit konfrontiert. Es zeigt sich, dass Zertifizierungen zur Adressierung dieses Problems beitragen können, indem sie Vertrauen schaffen, die Transparenz im Cloud-Service-Markt erhöhen und es Providern ermöglichen, eingesetzte Systeme und Prozesse zu verbessern. Eine Vielzahl von Cloud-Service-Zertifizierungen, bspw. die „EuroCloud Star Audit“ von EuroCloud, wurde in den vergangenen Jahren entwickelt. Diese Zertifikate suggerieren ein hohes Maß an Sicherheit, Verfügbarkeit und Compliance, bei einer Gültigkeit von ein bis drei Jahren. Aufgrund der inhärenten Dynamik und der ständigen (technischen) Weiterentwicklung von Cloud-Services, werden jedoch hohe Anforderungen an Zertifizierungen gestellt. Daher ist eine langjährige Gültigkeit im Cloud-Computing Umfeld kritisch zu betrachten. Die Einhaltung bestimmter Anforderungen und Kriterien kann über diesen Zeitraum gefährdet sein, bspw. durch das Auftreten von schwerwiegenden Sicherheitsvorfällen oder Änderungen an der Konfiguration des Cloud-Services. 

Um die Glaubwürdigkeit ausgestellter Zertifikate zu erhöhen, und um kontinuierlich sicherzustellen, dass Cloud-Services sicher und zuverlässig angeboten werden, hat das Bundesministerium für Bildung und Forschung fünf Projekte in dem Forschungsbereich „Sicheres Cloud Computing“ im Rahmen der Hightech-Strategie der Bundesregierung gefördert und initiiert. Das Projekt „Next Generation Certification“ (NGCert) beschäftigt sich mit der Forschung und Entwicklung dynamischer Zertifizierungen für Cloud-Services, die es ermöglichen kritische Anforderungen an Cloud-Services kontinuierlich und (teil-)automatisiert zu überprüfen. Die Juniorprofessur für Wirtschaftsinformatik und Information Systems Quality entwickelt im Rahmen des Projektes NGCert Metriken, Messmethoden und Gestaltungsrichtlinien zur kontinuierlichen und (teil )automatisierten Zertifizierung von Cloud-Services. Neben der Universität zu Köln wirken das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), die Technische Universität München, die Universität Kassel, EuroCloud Deutschland, Fujitsu und die AKDB, sowie weitere Feld- und Transferpartner an dem Projekt mit.

 

Webseite: www.ngcert.de

 

Ansprechpartner der Universität zu Köln

Ali Sunyaev
 sunyaev(at)wiso.uni-koeln.de


Sebastian Lins
 lins(at)wiso.uni-koeln.de