Qualitätssiegel für Cloud-Anbieter: EuroCloud Deutschland_eco e. V. ist Partner

Dynamische Zertifikate für sichere Cloud-Nutzung: Um Daten vor fremden Zugriffen zu schützen, haben Forscherinnen und Forscher der Technischen Universität München (TUM) ein Modell entwickelt, mit dem Anbieter verlässlich überprüft und zertifiziert werden können. EuroCloud Deutschland_eco e.V. hat das „Next Generation Certification“ (NGCert)-Konsortium als Industriepartner unterstützt.

Gerade für kleine und mittelständische Unternehmen ist es oft schwierig, bei den vielen kleineren Cloud-Dienstleistern einen sicheren und zuverlässigen Anbieter zu finden. In Gesprächen mit etwa 100 IT-Spezialisten aus solchen Unternehmen haben Wissenschaftlerinnen und Wissenschaftler der TUM unter Leitung von Prof. Helmut Krcmar, Inhaber des Lehrstuhls für Wirtschaftsinformatik, eine Lösung für dieses Problem erarbeitet. Zusammen mit sechs weiteren Partnern entwickelten sie im Rahmen des Konsortiums „Next Generation Certification“ (NGCert) ein neues dynamisches Zertifizierungssystem für Cloud-Services. Als Industriepartner im NGCert-Konsortiums dabei waren der eco – Verband der Internetwirtschaft und EuroCloud Deutschland_eco e. V.

„Im Zeitalter der digitalen Plattformen benötigen wir dynamische Verfahren, mit denen kontinuierlich die wichtigsten Qualitätsaussagen geprüft werden können“, sagt Andreas Weiss, Leiter digitale Geschäftsmodelle beim eco Verband und Direktor EuroCloud Deutschland: Cloud-Zertifikate müssen flexibel sein, diese Anforderung wurde nun exemplarisch im Projekt NGCert umgesetzt. Bei den befragten Unternehmen zeigte sich, dass die Einführung solcher dynamischer Qualitätssiegel das Vertrauen der Unternehmen in Clouds deutlich steigern kann und sie dann die Technik leichter einsetzen können.

Sichere Speicherung in Deutschland

Die Wissenschaftlerinnen und Wissenschaftler arbeiteten in Zusammenarbeit mit Firmen und Cloud-Services wichtige Kriterien heraus, die solche neuen dynamischen Zertifikate erfüllen müssen. Für Dreiviertel der befragten Firmen standen vor allem die Datensicherheit und der Datenschutz an oberster Stelle. Häufig werden vertrauliche Personaldaten in der Cloud gespeichert. Rechtlich behalten die Firmen die Verantwortung für ihre Daten und nicht der Cloud-Dienstleister. Deshalb ist es wichtig, dass die Daten rechtskonform verarbeitet und gespeichert werden, gerade in Hinblick auf die anstehende DSGVO.

Aus diesem Grund entwickelten die NGCert-Projektpartner Programme als Teil der Zertifikate, die den Standort der Rechner des Cloud-Anbieters ständig überprüfen, was als Geolokation bezeichnet wird. Die Software testet alle Wege der Datenpakete, die vom Unternehmen bis zum Cloud-Anbieter geschickt werden. Sie sind charakteristisch wie Fingerabdrücke. Verändern sie sich, ist das ein Zeichen dafür, dass die Datenverarbeitung in einer anderen Region stattfindet und möglicherweise Rechner im Ausland genutzt werden.

Legal und unabhängig

Ein weiteres Kriterium ist die so genannte Rechtssicherheit der Cloud-Services. Gesetze zum Datenschutz und zur Datensicherheit können sich immer wieder ändern, beispielsweise wie lange Zugriffsdaten gespeichert werden müssen. Ein Zertifikat, was einmal ausgestellt wird, kann auf solche Änderungen nicht reagieren. „Unsere Idee der dynamischen Zertifikate kann auch diese Problematik lösen. Es gibt viele einzelne Software-Komponenten, die unabhängig voneinander und auch nach Erstausstellung des Zertifikats ständig verändert werden können – so genannte Module“, sagt Krcmar.

Zudem soll das prüfende System unabhängig vom eigentlichen Cloud-Anbieter sein und als eigenständiges, objektives System angeboten werden, so der Wunsch der Unternehmen. Dann lässt sich ein Missbrauch von ungültigen oder abgelaufenen Qualitätssiegeln eindämmen. Das Team um Prof. Krcmar entwickelte auch schon erste Ideen für Geschäftsmodelle für solche unabhängigen Zertifizierungsdienste.

Die Wissenschaftlerinnen und Wissenschaftler haben eine Zusammenfassung ihrer Ergebnisse in dem Abschlussband “Management sicherer Cloud-Services” (Affiliate-Link) veröffentlicht, der im Dezember 2017 erschienen ist. Künftig wollen die Forscherinnen und Forscher ihre Ergebnisse auch auf den Konsumentenmarkt ausweiten, um das Vertrauen in Cloud-Dienste und ähnliche Bereiche wie „eCommerce“ oder „Location Based Services“ zu stärken.

—–
Mitglieder des NGCert-Konsortiums sind: Technische Universität München (Prof. Krcmar), Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC (Prof. Eckert), Universität Kassel (Prof. Sunyaev), Universität Kassel (Prof. Roßnagel), Universität Passau (Prof. de Meer) und die Industriepartner EuroCloud Deutschland_eco e.V. und Fujitsu Technology Solutions.
Das Projekt wurde vom Bundesministerium für Bildung und Forschung (BMBF) gefördert und am 31. Dezember 2017 erfolgreich abgeschlossen.

Management sicherer Cloud-Services

Entwicklung und Evaluation dynamischer Zertifikate

Herausgeber: Krcmar, H., Eckert, C., Roßnagel, A., Sunyaev, A., Wiesche, M. (Hrsg.)