Nachlese European Cyber Security and Cloud Computing Conference

„Europäische Cloud-Betreiber müssen jetzt gemeinsam einen Industriestandard erarbeiten – dann gibt es auch keinen unfairen Wettbewerb“

Die beiden EU-Arbeitsgruppen CSPCert und SWIPO luden auf Initiative der Fabasoft Anfang Dezember nach Wien zur international hochkarätig besetzten Konferenz „Cybersecurity und Cloud Computing: So erreicht Europa den ultimativen Wettbewerbsvorteil am digitalen Weltmarkt“. Nach einem einleitenden Talk zwischen dem österreichischen Schriftsteller Robert Menasse und ORF-Moderator Tarek Leitner, bei dem Menasse plädierte, den Begriff „Republik“ und damit die Gleichheit aller Bürger in Europa ernst zu nehmen, standen auf der ausgebuchten DSM (Digital Single Market) Cloud Stakeholder Konferenz die Bedeutung von Cloud Computing für den europäischen Binnenmarkt und der Arbeitsfortschritt der „Cloud Working Groups“ im Mittelpunkt.

Stellvertretend für Digitalministerin Margarete Schramböck eröffnete Politikberater Martin Atassi die Konferenz mit den Worten, dass es Aufgabe der Politik sei, mit der Geschwindigkeit der digitalen Entwicklung mitzuhalten und entsprechende Regeln festzulegen. Er betonte die Entschlossenheit Österreichs, im Bereich künstliche Intelligenz und Robotik mit Kernanwendungen oder auch Nischenprodukten in der Spitzenliga mitspielen zu wollen. Auf Basis des vom Österreichischen Rat für Robotik und künstliche Intelligenz erarbeiteten „White Paper“ sei ein Antrag an den Ministerrat gestellt worden, bis zum 3. Quartal 2019 die AIM AT (Artificial Intelligence Mission Austria) 2030 auszuarbeiten. Bei allen digitalen Entwicklungen müssen sich Funktionalität und Privatsphäre immer die Waage halten – deshalb sei Cybersecurity so enorm wichtig.

Entscheidung zwischen Zusammenarbeit oder starrem Regelwerk

Der Direktor von Future Networks bei der DG CONNECT in der Europäischen Kommission, Pearse O'Donohue, sprach über die aktuellen Weichenstellungen zur Stärkung des Digitalen Binnenmarkts Europa und die Entwicklung hochwertiger Cloud- und Datendienste. In Bezug auf die jüngsten Regulierungsinitiativen, die den freien Fluss nicht personenbezogener Daten in Europa sowie den European Cyber Act betreffen, betonte Pearse O'Donohue die Rolle der aktuellen Selbstregulierungsinitiativen zur Schaffung einer besseren, sichereren und offenen Cloud-Umgebung. „Natürlich stehen Cloud-Unternehmen miteinander im Wettbewerb, aber sie haben aktuell die Wahl, entweder zusammenzuarbeiten, um Voraussetzungen zu schaffen, die sowohl für sie als auch die User passend sind. Die Alternative besteht in einer starren Regulierung ohne Mitspracherecht,“ erklärte O’Donohue. Und: „Da alle Unternehmen über dasselbe technische Know-how verfügen, haben sie auch die gleichen Probleme betreffend Datensicherheit oder der Anforderung, dass Kunden bei einem Anbieterwechsel problemlos ihre Daten überspielen können. Daher sollen europäische Cloud-Betreiber jetzt ihre Ressourcen bündeln, um eine branchenweit funktionierende Lösung zu erarbeiten und zu einem Industriestandard zu machen. Dann gibt es auch keinen unfairen Wettbewerb.“

Javier Cáceres, Programm-Manager Cloud Sector, DG DIGIT, kommentierte „Cloud II: Phase II“, eine öffentliche Auftragsvergabe durch die Europäische Kommission, um den europäischen Institutionen ein vertragliches Instrument für den Zugang zu Cloud-Diensten und -Beratung zur Verfügung zu stellen. Um der Dynamik des Cloud Business gerecht zu werden, werde im neuen Verfahren ein Dynamic Purchasing System (DPS) eingebaut, das die Registrierung von Anbietern und ständige Bewertung neuer Dienste ermöglicht. Außerdem sprach Cáceres über GovSEC, ein Risiko-Bewertungs-Prozess auf Basis eines adaptiven Rahmens, mit dem System-Inhaber folgende große Fragen untersuchen können: Mit welchen Gefahren und Bedrohungen hat man es zu tun, wo und wie soll man den Prozess einsetzen und managen, gegen wen verteidigt man sich? Danach kann man die bestmöglichen erforderlichen Security-Tools für spezifisch gegebene Anlassfälle auswählen. Ab sofort (Dezember 2018) nutzen alle DIGIT Rechenzentrumsdienste dieses Risk Assessment.

Ein von Pierre Chastanet, Leiter der EC-Unit Cloud & Software, geleitetes Panel beschäftigte sich mit Datenschutz-Vorschriften. Die CISPE-Norm (Cloud Infrastructure Service Provider in Europe) gelte für Prozesse und sei der erste native Code der EU-Datenschutzgrundverordnung, betonte CISPE-Vorsitzender Alban Schmutz. Er decke Security, Datenschutz, Copyright-Einhebungen und öffentliche Beschaffung ab. Cloud Infrastruktur-Provider haben nach CISPE keinen Zugang zu Kundendaten, die Speicherung und Verarbeitung erfolgt ausschließlich auf europäischem Boden. Daniele Catteddu, CTO der Cloud Security Alliance, verdeutlichte, dass der Code der Cloud Security Alliance Transparenz und Information in den Mittelpunkt stelle, um Vertrauen ins Cloud Öko-System aufzubauen. Helmut Fallmann, Vorstandsmitglied der Fabasoft AG, berichtete über den EU Data Protection Code of Conduct for Cloud Service Provider, dessen Einhaltung durch den Monitoring Body SCOPE Europe überwacht wird sowie über die organisatorische Entwicklung der Überleitung der früheren WP29 in das European Data Protection Board (DPA = Data Protection Authority, Brüssel) bis zum Frühjahr 2019.

Plattformen stehen für den australischen Tech Futuristen und Keynote Speaker Ross Dawson generell für Konnektivität, Teilhabe, Daten als Herzstück und Integration – kurz und gut: für eine Wirtschaft im Fluss. Der derzeitige evolutionäre Trend bei Plattformen gehe eindeutig in Richtung offene, akzeptierte Standards. In Zukunft wird es seiner Meinung nach um Strategie-Feintuning, Community Building, richtige Positionierung, Reichweite und Umfang gehen.

„Nur wer adaptiert, wird überleben“

Abschließend gaben die beiden einladenden Working Groups CSPCert und SWIPO Einblick bezüglich des Status Quo ihrer Erfolge. Die Arbeitsgruppe „Cloud Security Certification“ (CSPCert) beschäftigt sich mit neueren Transformationen, welche Cloud-Plattformen über PaaS, die Schaffung eines gemeinsamen Marktplatzes mit einem globalen API-Katalog, sowie die Schaffung von Strukturen auf Basis Open Source und offener Standards betreffen. Diese Veränderungen haben insbesondere für den Bankensektor enorme Bedeutung. "Nur wer seine Services entsprechend adaptieren kann, wird überleben!“ wurde Danièle von Nouy, Vorsitzende des ECB Supervisory Boards, zitiert. Die Vorzüge einer Cloud Security Zertifizierung bestehen in der Erfüllung technischer und regulativer Erfordernisse, Vertrauen und Risikominimierung, rechtliche und vertragliche Verpflichtungen by default, Level Playing Field mit Cloud Service Providern, Anstieg der Cloud-Akzeptanz und des Cloud-Einsatzes und Free Flow of Data. 

Questionnaire for the Open Consultation of the European Cloud Security Certification framework proposed by the CSP Certification Stakeholder Group

 

Die Arbeitsgruppe „Cloud Switching and Porting Data“ (SWIPO) entwickelt einen SaaS Code of Conduct for Public Consultation unter dem Schirm der Europäischen Kommission, wobei die Führungsrolle bei der Industrie liegt, um einen Vendor Lock-in zu vermeiden. Bei der Umsetzung wurden Anforderungen zusammengeführt, um Providern das Management von Cloud Switching und Data Porting im Interesse ihrer Kunden zu erleichtern. Der SWIPO Code of Conduct soll mit seinem systemischen, globalen und agilen Ansatz für eine breite Akzeptanz von Cloud-Diensten sorgen und für die Umsetzung von Cloud Switching und Datenportabilität als Blueprint dienen.

Pierre Chastanet resümierte, dass der Erfolg des Digitalen Binnenmarkt Europas von den folgenden vier Protagonisten abhängt: Datenschutzgrundverordnung, Free Flow of Data (non-personal data), NIS und elektronische Identität. Mit Hilfe des Cyber Security Acts und den Ergebnissen der Cloud Working Groups CSPCert und SWIPO sei die Zielgerade schon beinahe in Sichtweite.

 

Fotogalerie
 

Previous Next