Um das Sicherheitsniveau eines Cloud-Systems zu überprüfen, ist es notwendig, Informationen über Cloud-Ressourcen, verwendete Software und Policies zu sammeln und auszuwerten. Beim Framework „Medina“ kommt dafür das vom Fraunhofer Aisec entwickelte Open-Source-Tool Clouditor zum Einsatz, das diese aufwendige Aufgabe automatisiert erledigt. Damit ermöglicht das Assurance-Werkzeug, die Sicherheit eines Cloud-Dienstes umfassend und kontinuierlich zu überprüfen.
Medina ist ein automatisiertes Framework, das es Cloud-Service-Anbietern in Zukunft erleichtern soll, eine EUCS-Zertifizierung zu erlangen. EUCS steht für „European Union Cybersecurity Certification Scheme on Cloud Services“ und verfolgt das Ziel, das Vertrauen und die Kontrollmöglichkeiten der Nutzenden von Cloud-Services zu erhöhen. Das Framework legt dafür einerseits Sicherheitsstandards in Cloud-Umgebungen fest und umfasst andererseits Werkzeuge, Techniken und Prozesse, welche die Sicherheit in Clouds messbar machen. Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (Aisec) hat bei dem europäischen Forschungsprojekt seine Expertise aus der Cybersicherheitsforschung eingebracht.
Evidenzen automatisiert in Zertifizierungsstatus überführt
Zusammen mit den Projekt-Partnern überführte das Fraunhofer Aisec bei Medina die ausgewerteten Evidenzen automatisiert in einen Zertifizierungsstatus. Dafür erweiterte das Forschungsteam die Auswertung des Clouditors auf alle zur Zertifizierung notwendigen Datenquellen, wie z. B. interne Compliance-Vorgaben (Policies) und Software-Anwendungen. Zudem überprüfte das vom Fraunhofer Aisec entwickelte Werkzeug Codyze, ob die eingesetzte Software bestehende Compliance-Vorgaben und Regularien erfüllt. Die Expertinnen und Experten übersetzten die in Textform vorgegebenen Regularien der Zertifizierungen in technische Regeln, anhand derer IT-Werkzeuge wie Clouditor und Codyze die Evidenzen auswerten konnten.
Um den Zertifizierungsstatus automatisiert ableiten zu können, wurden neben den technischen Auswertungsregeln auch automatisierte Risikobewertungen und statistische Compliance-Kennzahlen genutzt. Die Automatisierung spart Unternehmen Ressourcen, da mögliche Probleme bereits frühzeitig erkannt werden, eine umfangreiche Analyse ermöglicht wird und die gesammelten Evidenzen ggf. auch für andere Zertifizierungen wiederverwendet werden können.
Konsortium unter Leitung des Wissenschaftszentrums Tecnalia
„Medina ist ein wichtiger Meilenstein für die Sicherheit in der Cloud. Die Technologien stärken das Vertrauen in Cloud-Dienste und erhöhen die Sicherheit in der digitalen Welt“, sagt Christian Banse, Abteilungsleiter Service & Application Security am Fraunhofer Aisec.
„Die Ergebnisse des Forschungsprojekts haben zur europäischen Cloud-Sicherheitszertifizierung beigetragen, die Vertrauenswürdigkeit von Cloud-Services durch die Einhaltung von Sicherheitszertifizierungsschemata verbessert, relevante Interessengruppen zusammengebracht und Europa auf die Sicherheitsherausforderungen der Cloud von morgen vorbereitet. Das Fraunhofer Aisec hat insbesondere bei der Entwicklung der notwendigen Tools einen wichtigen Beitrag geleistet“, fasst Banse die Relevanz der Arbeiten und den Anteil seines Forschungsinstituts zusammen.
Das Medina-Konsortium vereint unter der Leitung des europäischen Wissenschaftszentrums Tecnalia die Expertise der Partner Bosch, CNR, Fabasoft, Fraunhofer Aisec, HPE, Nixu und XLAB. (ah)
