Experten - geschrieben von cp am Donnerstag, Januar 28, 2021 23:51 - noch keine Kommentare
MEDINA: Europäischer Standard für Cloud-Sicherheit
In dem EU-Projekt sollen Methoden und Werkzeuge für automatisierte Sicherheitsüberprüfung entwickelt werden
[datensicherheit.de, 28.01.2021] Um die technologische Souveränität in Deutschland und Europa gewährleisten zu können, spielt Cloud-Sicherheit eine bedeutende Rolle. Ein Konsortium aus Industrie und Forschung bündelt im Projekt MEDINA Kompetenzen um Sicherheitsbewertungen auf Basis zukünftiger Standards zu automatisieren.
Automatisierung auf Basis vorab definierter Standards
Cloud-Systeme sind dynamisch und verändern sich schnell. Auch die Sicherheitsbetrachtungen dieser Systeme sind damit schnell veraltet. Ein möglicher Ausweg ist, diese Analysen nicht mehr manuell durchzuführen, sondern sie auf Basis von vorab definierten Standards zu automatisieren. Im EU-Projekt MEDINA arbeiten Partner aus Industrie und Forschung nun daran, Methoden und Werkzeuge zu entwickeln, um europaweit einheitliche Zertifizierungskataloge automatisiert zu prüfen und damit die Sicherheit von Cloud-Systemen zu verbessern.
Getrieben durch den EU Cyber Security Act entwickelt die European Union Agency for Cybersecurity (ENISA) derzeit ein Zertifizierungsschema, um Cloud-Systeme in Europa nach einheitlichen Kriterien zu überprüfen. Für die technologische Souveränität in Deutschland und Europa spielt das eine signifikante Rolle: Beispielsweise wird auch im Zusammenhang der europäischen Cloud GAIA-X diskutiert, ob alle Teilnehmenden entsprechende Nachweise über die Einhaltung von Compliance-Vorgaben erbringen müssen. Das Projekt MEDINA untersucht dafür in einem ersten Schritt unterschiedliche Messmethoden, um anschließend Werkzeuge zu entwickeln, die automatisierte Überprüfungen ermöglichen.
Wachsende Komplexität und hohe Dynamik
Die hohe Agilität aktueller Cloud-Systeme stellt Entwickler, Betreiber aber auch Nutzer häufig vor Herausforderungen: sie sind schnelllebig, komplex und zu umfassend, um sie manuell zu überprüfen. Auch die hohe Dynamik der Cloud-Systeme, wie beispielsweise die automatische Skalierung von virtuellen Maschinen oder Serverless Functions, macht eine Automatisierung der Sicherheitsbetrachtung notwendig, um das Sicherheitslevel immer auf dem aktuellen Stand zu halten.
Technische vs. organisatorische Vorgaben
Neben der wachsenden Komplexität und der hohen Dynamik von Cloud-Systemen stellen sowohl die technischen als auch organisatorischen Vorgaben der Zertifizierungskataloge eine zentrale Herausforderung dar. Die technischen Vorgaben – wie beispielsweise der Einsatz von Verschlüsselungsalgorithmen oder Zugangskontrollmechanismen wie Authentifizierung und Autorisierung – werden in den Kriterienkatalogen oft allgemein gehalten, um auf möglichst viele Systeme anwendbar zu sein. Erst, wenn die Anforderungen auch in tatsächlich abprüfbare Regeln übersetzt wurden, kann deren Überprüfung automatisiert stattfinden. Diesen sogenannten »Semantic Gap« zu schließen ist eine der Herausforderungen, die das MEDINA-Projekt adressiert.
Um auch organisatorische Maßnahmen wie beispielsweise Onboarding-Prozesse oder andere unternehmensintern dokumentierte Abläufe automatisiert überprüfen zu können, werden Methoden und Werkzeuge entwickelt, um Dokumente auf Basis von Natural Language Processing (NLP) zu untersuchen. Erst, wenn die Programme lernen, die Inhalte der Dokumente richtig zu interpretieren, kann überprüft werden, ob die organisatorischen Maßnahmen entsprechend umgesetzt wurden.
Projektstart im Herbst 2020
Ziel des MEDINA-Projekts ist es, zukünftige Standards für die Cloud-Sicherheit automatisiert zu überprüfen. Die Werkzeuge und Methoden, die von den Partnern des Konsortiums entwickelt werden, werden noch im Projekt erprobt und zur Anwendung gebracht. Das gibt Cloud-Providern und Anbietern von Cloud-basierten Diensten Werkzeuge an die Hand, um die Sicherheit ihrer Dienste automatisiert überprüfen zu können. Auch Auditoren sollen von den Werkzeugen profitieren können.
Konsortialleiter des europäischen Projekts ist das Forschungs- und Entwicklungszentrum TECNALIA aus Spanien. Neben dem Fraunhofer AISEC zählen außerdem die Robert Bosch GmbH, das österreichische Softwareunternehmen Fabasoft, der finnische Service-Anbieter und Auditor NIXU, das Softwareunternehmen XLAB aus Slowenien und die nationale Forschungsrat Consiglio Nazionale delle Ricerche aus Italien zu den Partnern des Projekts.
Expertise in automatisierter Sicherheit
Das Fraunhofer AISEC verfügt nach eigenen Angaben über umfassende Expertise im Bereich »Automatisierte Sicherheit« und hat bereits Werkzeuge entwickelt, die im Projekt MEDINA eingesetzt werden. Der Clouditor beispielsweise, ein Open-Source-Assurance-Werkzeug, überprüft die sichere Konfiguration von Diensten und Anwendungen in der Cloud und misst damit die korrekte Einhaltung der definierten Kriterien auf der Infrastrukturebene. Für eine Analyse auf Applikationsebene kommt Codyze zum Einsatz: Das Tool überprüft die Sicherheit bereits während des Entwicklungsprozesses und überprüft dafür beispielsweise die Verwendung geeigneter Verschlüsselungsalgorithmen. Die NLP-Tools, die für die Messung der Kriterien auf Text-Ebene eingesetzt werden, befinden sich derzeit in der Entwicklung. Die zugrunde liegenden Methoden wurden bereits auf Fachkonferenzen vorgestellt.
Weitere Informationen zum Thema:
datensicherheit.de, 13.01.2021
Zunahme der Bedeutung der Cloud – und der Unsicherheit
MEDINA
Projektwebsite
Aktuelles, Experten - Sep 13, 2024 0:52 - noch keine Kommentare
eco kommentiert geplante Ausweitung der Kompetenzen für Sicherheitsbehörden
weitere Beiträge in Experten
- Lokal angepasste Warnkonzepte: Leitfaden für Praktiker der Warnung vorgestellt
- Smarte Geräte: IT-Sicherheit in Deutschland neben Benutzerfreundlichkeit entscheidendes Kaufkriterien
- Zoom: Videokonferenzdienst erhielt IT-Sicherheitskennzeichen des BSI
- 18.09.2024: Web-Seminar zu IT-Sicherheitsstrategien für cloud-basierte und hybride Geschäftsprozesse
- BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens
Aktuelles, Branche - Sep 14, 2024 0:17 - noch keine Kommentare
SANS Institute gibt eBook zur Cloud-Sicherheit heraus
weitere Beiträge in Branche
- Hacker-Gruppe Earth Preta nutzt neue Cyber-Angriffsmethoden
- Smarte Kleidung als IT-Sicherheitsrisiko: Wenn Techwear zur Hackwear wird
- NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden
- Geplante Aufgaben in Windows: Neue Cyber-Bedrohung zielt auf deren Missbrauch
- NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren