Qualitäts- und Sicherheitsstandards spielen für Nutzer von Cloud-Diensten eine große Rolle. Doch Sicherheitszertifikate sind schnell veraltet. Im Forschungsprojekt NGCert werden neue Zertifizierungsmethoden entwickelt, mit denen Datenschutzkonformität und Sicherheit kontinuierlich und automatisiert überprüft werden können.

Nicht nur für Großkonzerne, sondern auch für kleine und mittelständische Unternehmen bietet sich das Auslagern von Anwendungen und Geschäftsprozessen in die Cloud an. Doch viele Unternehmen befürchten, dass ihre Daten in der Cloud nicht ausreichend geschützt sind. Laut Bitkom Cloud-Monitor 2015 stellen Sicherheitsbedenken nach wie vor die größte Hürde, die einer intensiveren Cloud-Nutzung im Wege steht, dar. 35 Prozent der befragten Unternehmen zeigen sich skeptisch gegenüber Cloud-Computing, 25 Prozent haben keine klare Haltung dazu. Viele Firmen stellen sich die Frage: Wie sinnvoll ist die Nutzung von Cloud-Anwendungen? Und welche Anbieter und Dienste sind vertrauenswürdig? »Dabei können gerade kleine Firmen, die weder ein eigenes Rechenzentrum betreiben noch eigene Netzwerkadministratoren beschäftigen, Cloud-Dienste zu ihrem Vorteil nutzen und sich darüber nicht nur die Infrastruktur sondern auch die Expertise einkaufen, über die sie selbst nicht verfügen. Das ist eindeutig ein Plus an Sicherheit«, erklärt Mario Hoffmann, Leiter der Abteilung Service and Application Security am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC.

Bisherige Zertifikate kaum aussagekräftig

Die Bedenken der Unternehmen findet er dennoch verständlich: Die Vorteile der Cloud würden wenig genutzt, weil sich Unternehmen nicht sicher sind, ob Datenschutzkriterien erfüllt werden.

»Es gibt eine ganze Reihe verschiedener Zertifikate, Leitlinien, Empfehlungen und Kataloge für Cloud-Dienste. Aber wie aussagekräftig ist ein Zertifikat, gerade in so einem dynamische Umfeld wie Cloud Security? «, fragt Hoffmann. Der Diplom-Informatiker ist sich sicher, dass die Bedeutung relevanter Zertifikate in den nächsten Jahren noch wichtiger werden wird. Viele der gängigen Zertifikate sind ein bis drei Jahre gültig. Dabei sagen sie nur etwas über den Sicherheitsstatus zu dem Zeitpunkt aus, an dem sie ausgestellt wurden – die ständigen Veränderungen, denen Cloud-Infrastrukturen typischerweise tagtäglich unterworfen sind, bilden gängige Zertifizierungen nicht ab.

Um Sicherheitsrisiken vor allem dauerhaft kontrollieren zu können, entwickeln die Forscher am Fraunhofer AISEC im Projekt NGCert neue Zertifizierungsmodelle für Cloud-Anwendungen. Die Abkürzung steht für »Next Generation Certification«. Gefördert wird das Projekt, das sich derzeit in der Anfangsphase befindet, vom Bundesministerium für Bildung und Forschung (BMBF).

Neue Zertifizierungsmodelle

Sollen künftig Datenschutzbedenken abgebaut werden, genügen traditionelle Verfahren also nicht. Mit NGCert soll deshalb eine dynamische Zertifizierung von Cloud-Diensten entwickelt werden. Das ist nicht nur für Nutzer sondern auch für Betreiber von Cloud-Infrastrukturen, die auf das Vertrauen ihrer Kunden angewiesen sind, wichtig.

»Es gibt bereits verschiedene Monitoring-Tools für Cloud-Dienste. Mit denen kann man aber in der Regel nur einen bestimmten Bereich überwachen und nicht das Gesamtsystem. Wir werden im Rahmen des Projekts Methoden definieren, mit denen kontinuierlich kontrolliert werden kann, ob eine Infrastruktur noch der Leitlinie entspricht«, erläutert Hoffmann. Was in manchen Unternehmen händisch im Rahmen aufwändiger Audits erfolgt, soll NGCert automatisiert übernehmen. Das Fraunhofer AISEC wird die Sicherheitsarchitektur für das Programm entwickeln. »Dafür müssen wir erst einmal die Vorgaben aus den Katalogen interpretieren und technisch abbildbar machen, um damit ermitteln zu können, ob eine Cloud-Struktur diese Vorgaben auch erfüllt«, erklärt Hoffmann. »Wir werden bereits existierende Tools miteinander kombinieren und weitere entwickeln, mit denen die Daten überwacht werden können.« (mdi)

Keine Kommentare vorhanden

Das Kommentarfeld darf nicht leer sein
Bitte einen Namen angeben
Bitte valide E-Mail-Adresse angeben
Sicherheits-Check:
Drei + = 3
Bitte Zahl eintragen!
image description
Experte
Alle anzeigen
BSc Mario Hoffmann
  • Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC
Weitere Artikel
Alle anzeigen
Werkzeug in der Wolke
Wo (f)liegen meine Daten - Assurance von Cloudservices
Cloud-Services mit Schweigepflicht
Veranstaltungen
Alle anzeigen
Stellenangebote
Alle anzeigen