Im Rahmen eines Proof of Concept (PoC) der europäischen Agentur für Cybersicherheit, ENISA, arbeitete ein Team von MEDINA-Projektpartnern (Bosch, Fabasoft und Nixu) in einem experimentellen Umfeld an der Fragestellung: „Wie kann die Vorgabe eines kontinuierlichen (automatisierten) Monitoring bezüglich der Anforderungen des EUCS im Bereich ,high‘ erfüllt werden?“
Was ist EUCS „high“?
Der kommende europäische Cybersecurity-Katalog EUCS (European Union Cybersecurity Certification Scheme on Cloud Services) gliedert sich in drei Compliance-Level:
- Basic: „Minimieren von gängigen Grundrisiken von Zwischenfällen und Cyberangriffen.”
- Substantial: „Minimieren von bekannten Sicherheitsrisiken und Cyberangriffen, durchgeführt von Akteuren mit begrenzten Fähigkeiten und Ressourcen.“
- High: „Minimieren des Risikos hochmoderner Cyberangriffe, die von Akteuren mit beträchtlichen Fähigkeiten und Ressourcen durchgeführt werden.“
Die Stufe „high“ schreibt das kontinuierliche (automatisierte) Überwachen ausgewählter Sicherheitsanforderungen verpflichtend vor:
EUCS-Definition of Automatic Monitoring
Requirements related to continuous monitoring typically mention “automated monitoring” or “automatically monitor” in their text. The intended meaning of “monitor automatically” is:
1. Gather data to analyse so me aspects of the activity being monitored at discrete intervals at a sufficient frequency;
2. Compare the gathered data to a reference or otherwise determine conformity to specified requirements in the EUCS scheme
Quelle: EUCS Draft Scheme Dec. 2020
Das Experiment
Der vom MEDINA-Team durchgeführte Proof of Concept zielte darauf ab, die Anforderungen des EUCS Compliance-Level „high“ im Hinblick auf seine Praxistauglichkeit zu testen. Dazu wurden einige ausgewählte Sicherheitsanforderungen aus diesem Katalog betrachtet, um anschließend über einen definierten Zeitraum zu prüfen, wie automatisiertes Überprüfen diesen Vorgaben gerecht wird (auch bekannt als "operational effectiveness").
Im Projekt MEDINA haben Bosch, Fabasoft und Nixu – gemeinsam mit europäischen Partnern – bereits wertvolle Erkenntnisse rund um diese Herangehensweise erarbeitet.
Bosch und Fabasoft sind in der Lage, mit Bezug auf die erstellten Metriken Telemetrie-Punkte zu setzen und Messdaten zu erfassen. Hierzu kommen interne Monitoring-Applikationen (Beispielsweise Fabasoft app.telemetry) zum Einsatz, um mit programmierten Abfragen und Filtern konkrete, auf die Vorgabe maßgeschneiderte Informationen zu erhalten, welche als Nachweis im Auditprozess dienen. Fabasoft analysiert dabei bis zu fünf ausgewählte Kriterien des EUCS „high“ mit den derzeit im MEDINA-Projekt entwickelten Metriken. Ein kleines Expertenteam implementiert jeweils Musterskripte und kann verwertbare Daten anonymisiert erheben. Die somit gewonnen Erkenntnisse lassen Rückschlüsse auf die Anwendbarkeit der Metriken und auch des praktischen Bezuges der EUCS-Anforderungen zu.
Was bedeutet das für die Zertifizierung von Cloud-Diensten?
Das automatisierte Überprüfen von Cloud-Diensten ist ein Meilenstein, der eine kontinuierliche Zertifizierung ermöglicht. In Zukunft wird es möglich sein, den Status eines EUCS-Zertifikats nahezu in Echtzeit zu überwachen und zu aktualisieren, um die Ergebnisse der automatischen Bewertung widerzuspiegeln.
Dieser Zugang verändert jedoch die Aufrechterhaltung von Zertifizierungen erheblich. In diesem Kontext gilt es, den Menschen als Experten und als Entscheidungsinstanz beizubehalten, denn trotz aller Automatisierung sind folgende Fragen kritisch zu betrachten:
- Welche Kriterien gelten für die Aussetzung von Zertifikaten?
- Wer kategorisiert schwerwiegende und geringfügige Nichtkonformitäten?
- Wird Compliance automatisch nach negativer Bewertung einer Metrik ausgesetzt?
Die Antworten darauf stellen einen weiteren MEDINA-Meilenstein auf dem Weg zur Continuous Compliance dar.
Wenn Sie mehr über MEDINA, Gaia-X oder Continuous Compliance wissen möchten oder spannende Projekt-Ideen haben, schreiben Sie mir gerne eine E-Mail.
