[datensicherheit.de, 27.07.2021] „Wie der ,Cloud-Monitor 2021‘ von Bitkom und KPMG zeigt, hat sich – nicht zuletzt durch die ,Corona‘-Krise – die ,Cloud‘ in Deutschland durchgesetzt. Von den 550 befragten Unternehmen ab 20 Mitarbeitenden setzen 82 Prozent bereits auf ,Cloud‘-Infrastrukturen“, berichtet die PSW GROUP in ihrer aktuellen Stellungnahme und gibt zu bedenken: Der Großteil dieser Unternehmen sei in ihrer „Cloud“-Strategie allerdings abhängig von US-amerikanischen sowie chinesischen „Cloud“-Anbietern. Eine Alternative böte die europäische „Gaia-X“, mit welcher die EU europäische Werte wahren und neue Maßstäbe bezüglich des Datenschutzes setzen wollte. Damit „Gaia-X“ nicht das gleiche Schicksal wie beispielsweise der „De-Mail“ blühe, gehöre auch eine gute Kommunikationsstrategie in den Projektplan: Denn Studien zeigten, dass tatsächlich nur wenige Unternehmen von der „De-Mail“ als sichere Alternative gewusst hätten. Auch „Gaia-X“ sei noch vielen Unternehmen unbekannt. Zur Unabhängigkeit von US-Riesen gehöre es also auch, die „Europa-Cloud“ mit ihren Vorteilen entsprechend zu kommunizieren, „damit nicht das nächste große Digital-Projekt floppt“.

Foto: PSW GROUP

Patrycja Schrenk: Bleibt man den ursprünglichen Grundsätzen treu, könnte Europa seine Pionierrolle im Datenschutz weltweit festigen

Europa-Cloud soll sichere Dateninfrastruktur schaffen und zum digitalen Ökosystem werden

Dieses ambitionierte Digitalprojekt deutscher und französischer Unternehmen, im Herbst 2019 gestartet, inzwischen mit über 300 beteiligten Organisationen (darunter Bosch, Siemens, SAP, Telekom, Bundesverband der Deutschen Industrie, Digitalverband Bitkom und IG Metall), sehe sich jedoch Kritik ausgesetzt – „auch seitens der IT-Sicherheitsexperten der PSW GROUP“. Insbesondere die Tatsache, dass mit Microsoft, Amazon und Google US-Giganten an „Gaia-X“ beteiligt seien, sieht Geschäftsführerin Patrycja Schrenk nach eigenen Angaben „kritisch“ und kommentiert: „So könnten die europäischen Werte, die mit ,Gaia-X‘ eigentlich hochgehalten werden sollten, tief fallen. Wenn ,Hyperscaler‘ dieser Art beteiligt sind, können kaum europäische Standards geschaffen und etabliert werden.“
„Gaia-X“, die „Europa-Cloud“, solle eine sichere Dateninfrastruktur schaffen und zu einem „digitalen Ökosystem“ werden. Die Initiatoren wünschten sich Wettbewerbsfähigkeit gegenüber internationalen „Cloud“-Angeboten: Zu Amazon, Google und Microsoft als drei der größten US-„Cloud“-Anbieter oder zu Alibaba als größtem „Cloud“-Anbieter in China. „Gaia-X wurde damit also auch geschaffen, um europäische Werte sicherzustellen – ein europäisches Äquivalent, für welches Transparenz, Offenheit sowie europäische Anschlussfähigkeit zentral sind.“

Ausgerechnet Microsoft, Google und Amazon wirken bei Europa-Cloud mit

Doch nun säßen ausgerechnet Microsoft, Google und Amazon mit im Boot „Europa-Cloud“. Zwar sollten diese Unternehmen am Projekt mitwirken, jedoch keine Dienste anbieten. Damit unterstünden die US-Riesen weder dem „Cloud Act“ noch dem „Patriot Act“ – zwei Gesetze, „die US-Unternehmen dazu verpflichten, Nutzerdaten auf behördliche Anfrage herauszugeben“. Eine Datenübermittlung an US-Behörden sei somit ausgeschlossen und man könne vom Know-how dieser Unternehmen profitieren. „Allerdings werden die ,Hyperscaler‘ ihr Wissen sicher nicht gratis einem möglichen Konkurrenten liefern. Denn gerade für diese Unternehmen soll ,Gaia-X‘ eine Konkurrenz sein – nämlich Europäische Datensouveränität versus US-Datenschutz mit Datenübermittlung an Behörden. Es bleibt folglich abzuwarten, inwieweit US-Unternehmen Einfluss auf Gaia-X haben werden“, so Schrenk.
Noch befinde sich „Gaia-X“ in der Projektphase – für Nutzer seien noch keine Dienste verfügbar. Auch einen Starttermin für diese „Europacloud“ gebe es noch nicht. Immerhin: Bis zum Jahresende sollten für „Gaia-X“ 24 nationale Hubs geschaffen werden, die nicht zwangsweise in der EU liegen müssten. „Gaia-X“ nehme also Form an. „Ich würde mir wünschen, dass Einwände und Kritiken ernstgenommen, viele Diskussionen geführt werden und dann erst gehandelt wird. Dann könnte ,Gaia-X‘ tatsächlich die selbstgesetzten Ziele einhalten und die Folgegeneration der Dateninfrastruktur aus Europa für Europa werden, die Datensouveränität für Nutzende und Unternehmen garantieren kann“, sagt Schrenk. Bleibe man den ursprünglichen Grundsätzen treu, könnte Europa seine Pionierrolle im Datenschutz weltweit festigen. „Solange in der Folge keine neuen Abhängigkeiten entstehen, ist auch die Beteiligung der Tech-Konzerne außerhalb der EU wenig problematisch.“

Weitere Informationen zun Thema:

PSW GROUP News, Bianca Wellbrock, 29.06.2021
Europäische Cloud: Floppt mit Gaia-X das nächste europäische Digital-Projekt?

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

datensicherheit.de, 11.02.2021
Digitale Souveränität – oft beschworen, immer mehr bedroht / Tobias Gerlinger kritisiert steigende Ausgaben des Bundes für Software von Microsoft zu Lasten Digitaler Souveränität

[datensicherheit.de, 28.01.2021] Um die technologische Souveränität in Deutschland und Europa gewährleisten zu können, spielt Cloud-Sicherheit eine bedeutende Rolle. Ein Konsortium aus Industrie und Forschung bündelt im Projekt MEDINA Kompetenzen um Sicherheitsbewertungen auf Basis zukünftiger Standards zu automatisieren.

Automatisierung auf Basis vorab definierter Standards

Cloud-Systeme sind dynamisch und verändern sich schnell. Auch die Sicherheitsbetrachtungen dieser Systeme sind damit schnell veraltet. Ein möglicher Ausweg ist, diese Analysen nicht mehr manuell durchzuführen, sondern sie auf Basis von vorab definierten Standards zu automatisieren. Im EU-Projekt MEDINA arbeiten Partner aus Industrie und Forschung nun daran, Methoden und Werkzeuge zu entwickeln, um europaweit einheitliche Zertifizierungskataloge automatisiert zu prüfen und damit die Sicherheit von Cloud-Systemen zu verbessern.

Getrieben durch den EU Cyber Security Act entwickelt die European Union Agency for Cybersecurity (ENISA) derzeit ein Zertifizierungsschema, um Cloud-Systeme in Europa nach einheitlichen Kriterien zu überprüfen. Für die technologische Souveränität in Deutschland und Europa spielt das eine signifikante Rolle: Beispielsweise wird auch im Zusammenhang der europäischen Cloud GAIA-X diskutiert, ob alle Teilnehmenden entsprechende Nachweise über die Einhaltung von Compliance-Vorgaben erbringen müssen. Das Projekt MEDINA untersucht dafür in einem ersten Schritt unterschiedliche Messmethoden, um anschließend Werkzeuge zu entwickeln, die automatisierte Überprüfungen ermöglichen.

Wachsende Komplexität und hohe Dynamik

Die hohe Agilität aktueller Cloud-Systeme stellt Entwickler, Betreiber aber auch Nutzer häufig vor Herausforderungen: sie sind schnelllebig, komplex und zu umfassend, um sie manuell zu überprüfen. Auch die hohe Dynamik der Cloud-Systeme, wie beispielsweise die automatische Skalierung von virtuellen Maschinen oder Serverless Functions, macht eine Automatisierung der Sicherheitsbetrachtung notwendig, um das Sicherheitslevel immer auf dem aktuellen Stand zu halten.

Technische vs. organisatorische Vorgaben

Neben der wachsenden Komplexität und der hohen Dynamik von Cloud-Systemen stellen sowohl die technischen als auch organisatorischen Vorgaben der Zertifizierungskataloge eine zentrale Herausforderung dar. Die technischen Vorgaben – wie beispielsweise der Einsatz von Verschlüsselungsalgorithmen oder Zugangskontrollmechanismen wie Authentifizierung und Autorisierung – werden in den Kriterienkatalogen oft allgemein gehalten, um auf möglichst viele Systeme anwendbar zu sein. Erst, wenn die Anforderungen auch in tatsächlich abprüfbare Regeln übersetzt wurden, kann deren Überprüfung automatisiert stattfinden. Diesen sogenannten »Semantic Gap« zu schließen ist eine der Herausforderungen, die das MEDINA-Projekt adressiert.

Um auch organisatorische Maßnahmen wie beispielsweise Onboarding-Prozesse oder andere unternehmensintern dokumentierte Abläufe automatisiert überprüfen zu können, werden Methoden und Werkzeuge entwickelt, um Dokumente auf Basis von Natural Language Processing (NLP) zu untersuchen. Erst, wenn die Programme lernen, die Inhalte der Dokumente richtig zu interpretieren, kann überprüft werden, ob die organisatorischen Maßnahmen entsprechend umgesetzt wurden.

Projektstart im Herbst 2020

Ziel des MEDINA-Projekts ist es, zukünftige Standards für die Cloud-Sicherheit automatisiert zu überprüfen. Die Werkzeuge und Methoden, die von den Partnern des Konsortiums entwickelt werden, werden noch im Projekt erprobt und zur Anwendung gebracht. Das gibt Cloud-Providern und Anbietern von Cloud-basierten Diensten Werkzeuge an die Hand, um die Sicherheit ihrer Dienste automatisiert überprüfen zu können. Auch Auditoren sollen von den Werkzeugen profitieren können.

Konsortialleiter des europäischen Projekts ist das Forschungs- und Entwicklungszentrum TECNALIA aus Spanien. Neben dem Fraunhofer AISEC zählen außerdem die Robert Bosch GmbH, das österreichische Softwareunternehmen Fabasoft, der finnische Service-Anbieter und Auditor NIXU, das Softwareunternehmen XLAB aus Slowenien und die nationale Forschungsrat Consiglio Nazionale delle Ricerche aus Italien zu den Partnern des Projekts.

Expertise in automatisierter Sicherheit

Das Fraunhofer AISEC verfügt nach eigenen Angaben über umfassende Expertise im Bereich »Automatisierte Sicherheit« und hat bereits Werkzeuge entwickelt, die im Projekt MEDINA eingesetzt werden. Der Clouditor beispielsweise, ein Open-Source-Assurance-Werkzeug, überprüft die sichere Konfiguration von Diensten und Anwendungen in der Cloud und misst damit die korrekte Einhaltung der definierten Kriterien auf der Infrastrukturebene. Für eine Analyse auf Applikationsebene kommt Codyze zum Einsatz: Das Tool überprüft die Sicherheit bereits während des Entwicklungsprozesses und überprüft dafür beispielsweise die Verwendung geeigneter Verschlüsselungsalgorithmen. Die NLP-Tools, die für die Messung der Kriterien auf Text-Ebene eingesetzt werden, befinden sich derzeit in der Entwicklung. Die zugrunde liegenden Methoden wurden bereits auf Fachkonferenzen vorgestellt.

Weitere Informationen zum Thema:

datensicherheit.de, 13.01.2021
Zunahme der Bedeutung der Cloud – und der Unsicherheit

MEDINA
Projektwebsite

[datensicherheit.de, 07.04.2020] In der Corona-Krise organisieren viele Angestellte ihre Arbeits- und Abstimmungsprozesse mithilfe digitaler Tools und Technologien. Dabei setzen die Unternehmen stark auf Dienste von Anbietern außerhalb Europas. Ein Großteil der IT-Experten in Deutschland bewertet diese Abhängigkeit als zu hoch – etwa bei Endgeräten (32,3 Prozent), Bürosoftware (31,7 Prozent), Netzwerk-Software (30,9 Prozent) und verschiedenen Cloud-Services (zwischen 20,4 und 26,6 Prozent). Das zeigt eine Umfrage unter 500 IT-Experten des Markt- und Meinungsforschungsinstitutes Civey* im Auftrag des eco – Verbands der Internetwirtschaft e. V.

Bild: eco e. V.

Béla Waldhauser, Sprecher der Allianz zur Stärkung digitaler Infrastrukturen in Deutschland

„Sichere und verlässliche digitale Infrastrukturen in Europa, wie beispielsweise Rechenzentren und Cloud-Dienste, sind die Grundvoraussetzung für digitale Souveränität“, sagt Béla Waldhauser, Sprecher der Allianz zur Stärkung digitaler Infrastrukturen in Deutschland. Aktuell würden jedoch lediglich 4 Prozent aller weltweit verfügbaren Daten in der EU gehostet, so Waldhauser weiter. Besonders in Deutschland liege das daran, dass die Rahmenbedingungen für Infrastruktur-Betreiber im internationalen Vergleich schlecht und wenig wettbewerbsfreundlich seien, beispielsweise zu hohe Stromkosten für Rechenzentren und zu komplizierte und langwierige Genehmigungsverfahren.

Unabhängige Cloud-Services und offene Standards fördern

Unternehmen und Institutionen in Deutschland hätten jedoch ein großes Bedürfnis, die eigene Digitalisierung selbstbestimmt zu gestalten, sagt Andreas Weiss, Geschäftsbereichsleiter digitale Geschäftsmodelle im eco – Verband der Internetwirtschaft e. V. „Dafür brauchen IT-Entscheider die Freiheit, IT-Ressourcen nach europäischen Standards zu beziehen und nutzen zu können“, sagt Weiss. Er fordert, offene Standards für Schnittstellen ebenso stärker zu fördern wie offene Quellcodes und das Prinzip der Datensouveränität zu unterstützen.

Diese Forderung teilt jeder zweite IT-Experte in Deutschland. Offene Standards für besseren Datenaustausch wünschen sich 52 Prozent der 500 von Civey befragten IT-Experten.* Denn diese fehlen oder sollten stärker ausgebaut werden, damit das eigene Unternehmen digital souveräner handeln kann, sagen 45,8 Prozent der Befragten. Mehr RZ-Leistungen aus Deutschland wünschen sich 24,5 Prozent, mehr europäische IT-Anbieter am Markt 23,1 Prozent.

GAIA-X soll digitale Souveränität steigern

Große Erwartungen hat die Branche an das Cloud-Projekt GAIA-X, das Datensouveränität, Datenverfügbarkeit und Innovation anstrebt. „Mit GAIA-X startet Europa ein ambitioniertes Projekt für sichere, verteilte und souveräne europäische Dateninfrastrukturen“, sagt Weiss. Mit Bezug auf die EU Datenstrategie werden abgestimmte eco Systeme für Infrastruktur- und Datendienste etabliert und den Anwendern eine große Auswahl an GAIA-X konformen Diensten nach einheitlichen Standards bereitgestellt.

* Das Meinungsforschungsunternehmen Civey hat im Auftrag

Weitere Informationen zum Thema:

datensicherheit.de, 12.02.2020
Münchner Sicherheitskonferenz: Cyber-Sicherheit wichtiger denn je

datensicherheit.de, 29.01.2018
Dieter Kugelmann: Plädoyer für Souveränität in der digitalen Welt

datensicherheit.de, 12.05.2015
BITKOM: Digitale Souveränität entscheidet über Zukunft Deutschlands