Auf dem Weg zum automatisierten Zertifizierungsprozess für Cloud-Dienste und -Anwendungen

Im EU-Projekt EMERALD entwickelt das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC zusammen mit Partnern einen automatisierten Zertifizierungsprozess für Anbieter und Prüfer von Cloud-Diensten und -Anwendungen. Ziel ist es, den Weg zu einem effizienten Certification-as-a-Service (CaaS) zu ebnen, der sowohl die Einhaltung der Sicherheitsanforderungen von Cloud-Diensten und Anwendungen verlässlich überprüft und zugleich flexibel neue regulatorische Anforderungen berücksichtigen kann. Dafür will EMERALD den Technology Readiness Level (TRL) der im Vorgänger-Projekt MEDINA entwickelten Technologien von 5 (Validierung in relevanter Umgebung) auf 7 (Prototyp in operativer Umgebung) anheben.

Unternehmen nutzen zunehmend Cloud-basierte Dienste und Anwendungen. Damit verbunden ist, dass Anbieter und Auditoren angehalten sind, ein immer breiteres Spektrum an Sicherheits-, Datenschutz- und Regulierungsanforderungen einzuhalten bzw. zu prüfen. Beispiele sind das European Cybersecurity Certification Scheme for Cloud Services (EUCS) oder in Deutschland die Security-Vorgaben des Bundesamts für Sicherheit in der Informationstechnik BSI, wie z. B. die Kriterienkataloge für Cloud Computing C5 oder KI-Cloud-Dienste AIC4. Die steigenden Anforderungen machen es aufwendig und kostspielig, neue Cloud-Dienste und -Anwendungen zu nutzen. »In einer dynamischen digitalen Welt benötigen Cloud-Anbieter sichere und effiziente Zertifizierungsprozesse, die Nachweise automatisiert erbringen, interoperabel sind und flexibel auf unterschiedliche Anforderungen angepasst werden können«, sagt Christian Banse, Abteilungsleiter Service and Application Security am Fraunhofer AISEC.

Mehrwert für Cloud-Anbieter und Auditoren

Die Cybersicherheitsexperten aus Garching b. München sind Forschungspartner des EU-Projekts EMERALD. »EMERALD wird Anbieter von Cloud-Diensten und Prüfer im Zertifizierungsprozess unterstützen, die Akzeptanz von Cloud-Diensten fördern und sicherstellen, dass diese für alle Beteiligten zugänglich und sicher sind«, sagt Banse. Für Anbieter von Cloud-Diensten entwickelt EMERALD Prozesse, die Zertifizierungen vorbereiten, verwalten, überwachen und eine schlanke Rezertifizierung ermöglichen. Für Auditoren wird EMERALD einen Prozessrahmen zur Unterstützung von Audits anbieten und ein Konzept für die Benutzerinteraktion entwerfen sowie umsetzen, mit dem es möglich ist, Audits einheitlich durchzuführen und die Komplexität des Audit-Prozesses zu reduzieren. Darüber hinaus wird EMERALD Cybersicherheits- und Normungsbehörden mit neuartigen Strategien und Methoden zur Erstellung von Cybersicherheitsanforderungen und -metriken versorgen, die auf Änderungen reagieren können und, falls erforderlich, interoperabel genug sind, um auf andere Systeme übertragen zu werden. Die beteiligten Projekt-Partner aus der Industrie setzen konkrete Use Cases für den Finanz-, öffentlichen und Cloud-Sektor um.

Weiterentwicklung der Security-Tools Clouditor und Codyze

Das Fraunhofer AISEC bringt in das Projekt EMERALD seine bereits entwickelten Security-Werkzeuge Clouditor und Codyze ein, mit dem Ziel, Erkenntnisse für automatisierte und zugleich anpassungsfähige Prozesse der Zertifizierung von Cloud-Diensten und -Anwendungen zu gewinnen. Der Clouditor ist ein Werkzeug zur automatisierten Sicherheits- und Compliance-Analyse von Cloud-Infrastrukturen. Er scannt die Cloud-Ressourcen, identifiziert potenzielle Sicherheitsrisiken sowie Compliance-Verstöße und gibt Empfehlungen zur Behebung dieser Probleme. »Bei EMERALD entwickeln wir den Clouditor zu einem Werkzeug für die Analyse des Gesamtsystems von Cloud-Diensten und -Anwendungen weiter«, sagt Banse. Codyze ist ein statisches Code-Analysewerkzeug, das zur automatisierten Überprüfung von Sicherheitslücken und Schwachstellen in Software dient. »Das Tool analysiert bei EMERALD verschiedene Sicherheitseigenschaften im Programmcodeware, wie die korrekte Umsetzung von Verschlüsselung oder Authentifizierung«, sagt Banse.

Cloud-Dienste und -Anwendungen sind komplexe Systeme, die aus unterschiedlichen digitalen Komponenten bestehen, wie z. B. Anwendungen oder virtuelle Maschinen. Nachweise für die Zertifizierung, sogenannte Evidenzen, fallen an unterschiedlichen Orten dieser Systeme an, z.B. im Sourcecode, in Logdateien, Konfigurationsdaten oder Prozessbeschreibungen. Bei KI-Anwendungen können Evidenzen aus dem KI-Modell relevant werden. »Diese Informationen sind die Basis für jedes Audit«, sagt Banse. Das Sammeln, Aufbereiten und Analysieren der Evidenzen ist aktuell eine mühevolle Kleinarbeit. Auditoren und Anbieter wünschen sich daher v.a. zwei Dinge: Erstens, dass die Evidenzen automatisiert gesammelt werden. »Um diesem Ziel näherzukommen hat man im Vorgänger-Projekt MEDINA Informationen zu den Evidenzen der einzelnen Komponenten ermittelt. EMERALD will diese Erkenntnisse nun verknüpfen, um Aussagen über das Gesamtsystem von Cloud-Diensten und -Anwendungen zu erhalten«, sagt Banse. Zweitens müssen Anwender oft mehrere unterschiedliche Standards zertifizieren lassen. »Aktuell wird die manuelle Sammlung der Evidenzen dafür sehr ineffizient einfach wiederholt«, sagt Banse. EMERALD will Technologien entwickeln, die bereits existierende noch valide Evidenzen für neue Prüfungen nutzen und neue Evidenzen nur für Änderungen sammeln.

Das von Tecnalia (Spanien) geleitete EMERALD-Konsortium besteht aus elf Partnern aus Forschung und Wirtschaft, deren Schwerpunkte bei Cybersicherheit, Zertifizierung, Cloud-Computing, KI, UX/UI-Design und Auditverfahren liegen: Tecnalia, Fraunhofer AISEC, Fabasoft, Consiglio Nazionale delle Ricerche, Software Competence Center Hagenberg, Know Center, CaixaBank, IONOS, CloudFerro, OpenNebula und Nixu. Das Projekt wird aus Mitteln des Programms Horizon Europe der Europäischen Union finanziert.