Forschungsprojekt Auditor
Im Dschungel der Wolken
Die Cloud-Computing-Branche ist heute von einer Vielzahl an Anbietern, Angeboten und Zertifizierungen geprägt. Vor allem für KMU stellt dies im wachsenden Digitalisierungsdruck eine enorme Herausforderung dar. Das Projekt Auditor will den Weg für eine EU-weite Cloud-Datenschutzzertifizierung ebnen.
“Die vielfältigen Angebote der immer steigenden Anzahl an Anbietern im Cloud-Umfeld machen es beinahe unmöglich, den Überblick zu behalten und Cloud-Dienste auszuwählen, welche den eigenen Anforderungen entsprechen,” fasst Prof. Dr. Ali Sunyaev, Professor am Institut für Angewandte Informatik und Formale Beschreibungsverfahren des Karlsruher Instituts für Technologie (KIT) die Problemstellung zusammen. “Hinzu kommen neue Anforderungen durch die (EU-DSGVO, die bereits in wenigen Monaten in Kraft treten wird. Im Projekt Auditor wird eine internationale, transparente und zukunftsorientierte Datenschutzzertifizierung nach der zukünftig geltenden europäischen Gesetzeslage entwickelt, um den Nutzern sowohl Transparenz als auch Sicherheit bei der Nutzung von Cloud-Diensten zu vermitteln.”
Als Leiter des interdisziplinären Forschungsprojektes arbeitet er im Verbund von über zehn verschiedenen Forschungseinrichtungen, etablierten Zertifizierungsstellen, Datenschutzexperten und Cloud-Anbietern. Auditor will als Nachfolgeprojekt des Trusted Cloud Datenschutz-Profils (TCDP) eine einheitliche, EU-weit standardisierte Datenschutzzertifizierung für Cloud-Dienste auf Grundlage der EU-DSGVO entwickeln – theoretisch wie praktisch. Gestartet im November 2017, befinden sich die Projektpartner aktuell in der Zusammenstellung des Kriterienkatalogs.
“Gegenwärtig sammelt und klassifiziert das Projektkonsortium bestehende Sicherheitskriterien und Zertifizierungsmerkmale in Hinblick auf die neuen Anforderungen der EU-DSGVO. Danach soll erarbeitet werden, wie diese Standards kontrolliert und erprobt werden können. Anschließend werden auch die Nutzungsmöglichkeiten in der Praxis für die entsprechenden Geschäftsmodelle validiert. Nur so können wir zur Erstellung eines EU-weiten Standards beitragen, der sich in der Praxis etabliert und somit Unternehmen und Privatpersonen bei der Datensicherheit in der Cloud auch wirklich dauerhaft unterstützt”, fasst Dr. Marius Feldmann, Projektverantwortlicher bei Cloud&Heat Technologies, das praktische Vorgehen im Projekt zusammen.
Viele der heute anerkannten Zertifizierungsstellen sind mit ins Boot geholt worden, um von deren Expertise aus der Praxis zu profitieren: Mit dabei sind der TÜV, der DIN Normenausschuss für Informationstechnik und der EuroCloud Deutschland_Eco e.V. “Eine große Herausforderung ist, dass viele Zertifizierungen nicht mehr zeitgemäß sind, die sich zwar mit dem Thema IT-Sicherheit und Datenschutz befassen, aber noch aus einer Zeit stammen, als weder die Cloud-Dienste noch die rasante Entwicklung in der Digitalisierung allgegenwärtig waren. Gemeinsame und verbindliche internationale Standards zu finden, war durch die unterschiedlichen Gesetzgebungen verschiedener Staaten und somit fehlender Harmonisierung nur schwer möglich. Somit war eine internationale Vergleichbarkeit und Anerkennung nicht gegeben. Hier hat die EU-DSGVO insbesondere in den Normen der Art. 42 und 43 grundsätzlich den richtigen Weg eingeschlagen, um EU-weite Standards zu erarbeiten und implementieren zu können. Das Forschungsprojekt Auditor greift notwendigerweise diese Normen auf und entwickelt im Konsortium erforderliche Standards für eine Zertifizierung im Kontext der IT-Sicherheit und des Datenschutzes. Zwar existiert bislang auf nationaler Ebene mit dem § 9 a BDSG bereits seit dem Jahre 2001 eine Vorschrift, die die Thematik datenschutzrechtlicher Zertifizierungen aufgreift, es ist allerdings bei einer freiwilligen, nicht allgemeinen Einführung und Regulierung geblieben. Dieser Umstand bedingt, dass aktuell eine enorme, schwer zu überblickende Fülle von Datenschutz-Zertifikaten angeboten wird”, kommentiert Jörg Schlißke von der TÜV Informationstechnik GmbH (TÜViT) die derzeitige Situation am Markt.
Um die Tauglichkeit einer allgemeinen Zertifizierung in möglichst vielen Nutzungskontexten zu garantieren, evaluieren die etablierten Cloud-Anbieter Cloud&Heat Technologies, Ecsec und Hornetsecurity das in den ersten Projektphasen theoretisch erarbeitete Verfahren in der Praxis. Dazu werden Use Cases geschaffen, welche die Anwendbarkeit der erarbeiteten Zertifizierung auch für kleinere und mittlere Unternehmen kritisch überprüfen sollen. Ihre Praxisexpertise mit in das Vorhaben einzubeziehen, ist für die Konsortialpartner von Auditor auch aus einer weiteren Perspektive essentiell. Jährlich gibt es zahlreiche technische Neuerungen, die den digitalen Alltag nicht nur positiv tangieren. „Dynamische Cloud-Services gleichzeitig hochsicher und datenschutzfreundlich zu gestalten, ist oft nicht einfach, aber eine zwingende Voraussetzung für die Akzeptanz der Cloud. Durch einschlägige Zertifizierungsverfahren, die sich auf umfassende und tiefgehende Audits unabhängiger und akkreditierter Prüf- und Zertifizierungsstellen stützen, kann ein sehr hohes Maß an Vertrauenswürdigkeit erreicht werden“, ergänzt Dr. Detlef Hühnlein von Ecsec. „Durch die richtungsweisenden Arbeiten im Auditor-Projekt kann im Rahmen einer solchen Zertifizierung bald auch der wichtige Nachweis der Einhaltung der datenschutzrechtlichen Vorschriften der Datenschutzgrundverordnung erbracht werden.“
In Bezug auf die Entwicklung von Geschäftsmodellen rund um Cloud-Computing sei eine einheitliche, rechtssichere und verbindliche Güteaussage förderlich. „Die zu erwartenden wirtschaftlichen Auswirkungen eines EU-weiten einheitlichen Standards sind sehr positiv: Dank der neuen Transparenz wird nicht nur Vertrauen auf allen Seiten gewonnen, sondern ebenso der Wirtschaftsstandort Europa für IT-Produkte und Services gestärkt. Unternehmen und Verbraucher profitieren von einem digitalen Binnenmarkt und von einheitlichen wegweisenden Richtlinien. Das gilt für die Rechtsprechung zum Datenschutz und den Cloud-Alltag gleichermaßen“, so Andreas Weiss vom EuroCloud Deutschland_Eco e. V. Der Verein ist dem Eco – Verband der Internetwirtschaft e. V. angegliedert und hat es sich schon lange zur Aufgabe gemacht, die Akzeptanz für die Cloud in der Wirtschaft zu stärken und ist dafür im europaweiten Netzwerk EuroCloud aktiv.
Pünktlich zum Inkrafttreten der neuen EU-DSGVO im Mai 2018 rechnet auch das Forschungsprojekt mit ersten Zwischenergebnissen. Die Chancen stehen gut, dass bereits diese in der Dauerdebatte um den Datenschutz richtungsweisend sein werden. Der Abschluss von Auditor ist für Oktober 2019 geplant.
Lesen Sie mehr zum Thema
