Suchen

Cloud Computing

Gütesiegel: Dynamische Zertifikate für Cloud-Services

| Redakteur: Jürgen Schreier

Beim Cloud Computing stellen IT-Dienstleister stellen Speicherplatz oder Software zur Verfügung. Doch wie kann der Auftraggeber sicher sein, dass seine Daten z.B. vor fremden Zugriffen geschützt sind? Mit einem Modell der TU München können Anbieter verlässlich überprüft und zertifiziert werden.

Firmen zum Thema

Mit neuen dynamischen Zertifikaten wollen die Wissenschaftler des NGCert-Konsortiums Cloud-Anbieter sicherer machen.
Mit neuen dynamischen Zertifikaten wollen die Wissenschaftler des NGCert-Konsortiums Cloud-Anbieter sicherer machen.
( Bild: H. Krcmar, C. Eckert, A. Roßnagel, A. Sunyaev, M. Wiesche )

Gerade für kleine und mittelständische Unternehmen ist es oft schwierig bei den vielen kleineren Cloud-Dienstleistern einen sicheren und zuverlässigen Anbieter zu finden. In Gesprächen mit etwa 100 IT-Spezialisten aus solchen Unternehmen haben Wissenschaftlerinnen und Wissenschaftler der TU München unter Leitung von Prof. Helmut Krcmar (Lehrstuhl für Wirtschaftsinformatik) eine Lösung für dieses Problem erarbeitet. Zusammen mit sechs weiteren Partnern entwickelten sie im Rahmen des Konsortiums „Next Generation Certification“ (NGCert) ein neues dynamisches Zertifizierungssystem für Cloud-Services.

Herkömmliche "Gütesiegel" büßen schnell ihre Aktualität ein

Zwar gibt es bereits Qualitätssiegel (Zertifikate), die die Sicherheit der gespeicherten Daten garantieren sollen. Sie werden unter anderem vom TÜV ausgestellt und prüfen bestimmte Anforderungen an gesetzliche Vorschriften, die ein Anbieter für seine Kunden erfüllen muss. Die Qualitätssiegel werden allerdings häufig für ein bis drei Jahre bewilligt. Geprüft wird jedoch nur ein Mal.

Das Hauptproblem, erklärt Helmut Krcmar, seien genau diese statischen Zertifikate. „Zertifikate verlieren sehr viel schneller ihre Aktualität als nach ein bis drei Jahren und damit auch ihre Sicherheit. Wir brauchen dynamische Systeme, die ständig über den Zeitraum ihrer Gültigkeit geprüft werden können. Wir haben jetzt erstmals ein Modell entwickelt, wie das organisatorisch und technisch möglich ist.“ Bei den befragten Unternehmen zeigte sich, dass die Einführung solcher dynamischer Qualitätssiegel das Vertrauen der Unternehmen in Clouds deutlich steigern kann und sie dann die Technik leichter einsetzen können.

Programme überprüfen permanent Rechner-Standort des Cloud-Anbieters

Die Wissenschaftlerinnen und Wissenschaftler der TU München haben in Zusammenarbeit mit Firmen und Cloud-Services wichtige Kriterien herausgearbeitet, die solche neuen dynamischen Zertifikate erfüllen müssen. Für Dreiviertel der befragten Firmen standen vor allem die Datensicherheit und der Datenschutz an oberster Stelle. Häufig werden vertrauliche Personaldaten in der Cloud gespeichert. Rechtlich behalten die Firmen die Verantwortung für ihre Daten und nicht der Cloud-Dienstleister. Aus diesem Grund ist ist es wichtig, dass die Daten zuverlässig in Deutschland gespeichert werden, wo strenge Datenschutzgesetze gelten.

Die von den NGCert-Projektpartner als Teil der Zertifikate entwickelten Programme überprüfen permanent den Standort der Rechner des Cloud-Anbieters, was als Geolokation bezeichnet wird. Die Software testet alle Wege der Datenpakete, die vom Unternehmen zum Cloud-Anbieter geschickt werden. Sie sind charakteristisch wie Fingerabdrücke. Verändern sie sich, so ist das ein Zeichen dafür, dass die Datenverarbeitung in einer anderen Region stattfindet und möglicherweise Rechner im Ausland genutzt werden.

Legal und unabhängig

Ein weiteres Kriterium ist die so genannte Rechtssicherheit der Cloud-Services. Gesetze zum Datenschutz und zur Datensicherheit können sich ändern. Ein Zertifikat, was nur einmal ausgestellt wird, kann auf solche Änderungen nicht reagieren. „Unsere Idee der dynamischen Zertifikate kann auch diese Problematik lösen. Es gibt viele einzelne Software-Komponenten, die unabhängig voneinander und auch nach Erstausstellung des Zertifikats ständig verändert werden können – so genannte Module.“, erläutert Krcmar.

Zudem soll das prüfende System unabhängig vom eigentlichen Cloud-Anbieter sein und als eigenständiges, objektives System angeboten werden, so der Wunsch der Unternehmen. Dann lässt sich ein Missbrauch von ungültigen oder abgelaufenen Qualitätssiegeln eindämmen. Das Team um Prof. Krcmar entwickelte auch schon erste Ideen für Geschäftsmodelle für solche unabhängigen Zertifizierungsdienste.

Die Wissenschaftlerinnen und Wissenschaftler haben eine Zusammenfassung ihrer Ergebnisse in dem Abschlussband “Management sicherer Cloud-Services” veröffentlicht, der im Dezember 2017 erschienen ist. Künftig wollen die Forscherinnen und Forscher ihre Ergebnisse auch auf den Konsumentenmarkt ausweiten, um das Vertrauen in Cloud-Dienste und ähnliche Bereiche wie „eCommerce“ oder „Location Based Services“ zu stärken.

Mitglieder des NGCert-Konsortiums sind: Technische Universität München (Prof. Krcmar), Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC (Prof. Eckert), Universität Kassel (Prof. Sunyaev), Universität Kassel (Prof. Roßnagel), Universität Passau (Prof. de Meer) und die Industriepartner EuroCloud Deutschland_eco e.V. und Fujitsu Technology Solutions.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45096991)

Quelle: Nexinto; Pixabay; gemeinfrei; ; H. Krcmar, C. Eckert, A. Roßnagel, A. Sunyaev, M. Wiesche; Fraunhofer IWM; Fraunhofer-IOSB; ©strichfiguren.de - stock.adobe.com; gemeinfrei - Pete Linforth/Pixabay; Moleskine; Siemens Healthineers; Palo Alto Networks