Startseite » News »

Medina: Europäischer Standard für Cloud-Sicherheit

Methoden und Werkzeuge für automatisierte Sicherheitsüberprüfung
Europäischer Standard für Cloud-Sicherheit

Europäischer Standard für Cloud-Sicherheit
Dadurch, dass sich Cloud-Systeme dynamisch weiterentwickeln, sind auch die Sicherheitsbetrachtungen dieser Systeme schnell veraltet. Bild: alice_photo/stock.adobe.com

Um die technologische Souveränität in Deutschland und Europa gewährleisten zu können, spielt Cloud-Sicherheit eine bedeutende Rolle. Ein Konsortium aus Industrie und Forschung bündelt im Projekt Medina Kompetenzen im Bereich Cloud-Sicherheit, um Sicherheitsbewertungen auf Basis zukünftiger Standards zu automatisieren.

Cloud-Systeme sind dynamisch und verändern sich schnell. Auch die Sicherheitsbetrachtungen dieser Systeme sind damit schnell veraltet. Ein möglicher Ausweg ist, diese Analysen nicht mehr manuell durchzuführen, sondern sie auf Basis von vorab definierten Standards zu automatisieren. Im EU-Projekt Medina arbeiten Partner aus Industrie und Forschung nun daran, Methoden und Werkzeuge zu entwickeln, um europaweit einheitliche Zertifizierungskataloge automatisiert zu prüfen und damit die Sicherheit von Cloud-Systemen zu verbessern.

Getrieben durch den EU Cyber Security Act entwickelt die European Union Agency for Cybersecurity (ENISA) derzeit ein Zertifizierungsschema, um Cloud-Systeme in Europa nach einheitlichen Kriterien zu überprüfen. Für die technologische Souveränität in Deutschland und Europa spielt das eine signifikante Rolle: Beispielsweise wird auch im Zusammenhang der europäischen Cloud Gaia-X diskutiert, ob alle Teilnehmenden entsprechende Nachweise über die Einhaltung von Compliance-Vorgaben erbringen müssen. Das Projekt Medina untersucht dafür in einem ersten Schritt unterschiedliche Messmethoden, um anschließend Werkzeuge zu entwickeln, die automatisierte Überprüfungen ermöglichen.

Wachsende Komplexität und hohe Dynamik

Die hohe Agilität aktueller Cloud-Systeme stellt Entwickler, Betreiber aber auch Nutzer häufig vor Herausforderungen: sie sind schnelllebig, komplex und zu umfassend, um sie manuell zu überprüfen. Auch die hohe Dynamik der Cloud-Systeme, wie beispielsweise die automatische Skalierung von virtuellen Maschinen oder Serverless Functions, macht eine Automatisierung der Sicherheitsbetrachtung notwendig, um das Sicherheitslevel immer auf dem aktuellen Stand zu halten.

Technische versus organisatorische Vorgaben

Neben der wachsenden Komplexität und der hohen Dynamik von Cloud-Systemen stellen sowohl die technischen als auch organisatorischen Vorgaben der Zertifizierungskataloge eine zentrale Herausforderung dar. Die technischen Vorgaben – wie bspw. der Einsatz von Verschlüsselungsalgorithmen oder Zugangskontrollmechanismen wie Authentifizierung und Autorisierung – werden in den Kriterienkatalogen oft allgemein gehalten, um auf möglichst viele Systeme anwendbar zu sein. Erst, wenn die Anforderungen auch in tatsächlich abprüfbare Regeln übersetzt wurden, kann deren Überprüfung automatisiert stattfinden. Diesen sogenannten „Semantic Gap“ zu schließen ist eine der Herausforderungen, die das Medina-Projekt adressiert.

Um auch organisatorische Maßnahmen wie beispielsweise Onboarding-Prozesse oder andere unternehmensintern dokumentierte Abläufe automatisiert überprüfen zu können, werden Methoden und Werkzeuge entwickelt, um Dokumente auf Basis von Natural Language Processing (NLP) zu untersuchen. Erst, wenn die Programme lernen, die Inhalte der Dokumente richtig zu interpretieren, kann überprüft werden, ob die organisatorischen Maßnahmen entsprechend umgesetzt wurden.

Standards automatisiert überprüfen

Ziel des Projekts ist es, zukünftige Standards für die Cloud-Sicherheit automatisiert zu überprüfen. Die Werkzeuge und Methoden, die von den Partnern des Konsortiums entwickelt werden, werden noch im Projekt erprobt und zur Anwendung gebracht. Das gibt Cloud-Providern und Anbietern von Cloud-basierten Diensten Werkzeuge an die Hand, um die Sicherheit ihrer Dienste automatisiert überprüfen zu können. Auch Auditoren sollen von den Werkzeugen profitieren können.

Konsortialleiter des europäischen Projekts ist das Forschungs- und Entwicklungszentrum Tecnalia aus Spanien. Neben dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) zählen außerdem die Robert Bosch GmbH, das österreichische Softwareunternehmen Fabasoft, der finnische Service-Anbieter und Auditor Nixu, das Softwareunternehmen XLAB aus Slowenien und die nationale Forschungsrat Consiglio Nazionale delle Ricerche aus Italien zu den Partnern des Projekts.

Expertise in automatisierter Sicherheit

Das Fraunhofer AISEC verfügt über umfassende Expertise im Bereich „Automatisierte Sicherheit“ und hat bereits Werkzeuge entwickelt, die im Projekt Medina eingesetzt werden. Der Clouditor beispielsweise, ein Open-Source-Assurance-Werkzeug, überprüft die sichere Konfiguration von Diensten und Anwendungen in der Cloud und misst damit die korrekte Einhaltung der definierten Kriterien auf der Infrastrukturebene. Für eine Analyse auf Applikationsebene kommt Codyze zum Einsatz: Das Tool überprüft die Sicherheit bereits während des Entwicklungsprozesses und überprüft dafür beispielsweise die Verwendung geeigneter Verschlüsselungsalgorithmen. Die NLP-Tools, die für die Messung der Kriterien auf Text-Ebene eingesetzt werden, befinden sich derzeit in der Entwicklung. (ys)

Kontakt:
Fraunhofer-Institut Aisec
Lichtenbergstraße 11
85748 Garching b. München
Tel.: +49 89 3229986-122
www.aisec.fraunhofer.de

Unsere Whitepaper-Empfehlung
Industrieanzeiger
Titelbild Industrieanzeiger 4
Ausgabe
4.2024
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Tipps der Redaktion

Unsere Technik-Empfehlungen für Sie

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Unsere Partner

Starke Zeitschrift – starke Partner


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de