Drei Jahre, zehn europäische Partner und eine Reihe maßgeblicher Innovationen, gepaart mit einem äußerst positiven Resümee der Europäischen Kommission sowie unabhängiger Experten. Das sind die Eckpunkte des Projekts „European Security Certification Framework“ (EU-SEC) im Rahmen von Horizon 2020, einem EU-Förderprogramm für Forschung und Innovation, an dem auch Fabasoft maßgeblich mitgewirkt hat. Ziel des EU-SEC war es, ein europäisches Rahmenwerk für Cloud-Security zu schaffen und das Vertrauen in Clouddienste zu erhöhen. Dabei sollten bestehende Testats- und Auditierungssysteme verbessert, standardisiert und der Cloud-Zertifizierungsprozess effektiver und effizienter gestaltet werden.
Fabasoft wirkt erfolgreich an europäischem Cloud-Zertifizierungsrahmen mit
Im Rahmen des EU-SEC erarbeitete ein Konsortium aus zehn namhaften europäischen Forschungs- und Wirtschaftsunternehmen sowie Institutionen der öffentlichen Verwaltung [1] unter Koordination von Fraunhofer FOKUS ein europäisches Rahmenwerk für die Zertifizierung von Clouddiensten.
Datenschutz, Informationssicherheit und die Einhaltung gesetzlicher Regelungen haben für Fabasoft als einem der führenden Softwareproduktunternehmen und Cloud-Dienstleister höchste Priorität. Fabasoft war es daher ein besonderes Anliegen, am EU-SEC-Projekt mitzuarbeiten und die europäischen Sicherheitsstandards signifikant zu verbessern.
Ausgangslage für EU-SEC war die Tatsache, dass Cloud-Computing besonderes Vertrauen erfordert. In den vergangenen Jahren haben sich daher eine Reihe von Zertifizierungs- und Auditierungssystemen etabliert, die aufgrund ihrer Komplexität sowohl Cloud-Anbieter und -Nutzer, als auch Auditoren vor große Herausforderungen in fachlicher wie finanzieller Hinsicht stellen. Zudem steigen die Anforderungen an Datenschutz und IT-Sicherheit vor allem durch Veränderungen der IT-Infrastruktur, neue Sicherheitsrisiken und gesetzliche Regelungen ständig. Dabei stoßen die derzeitigen Prüfstandards an ihre Grenzen. Besonders Cloud Service Provider (CSPs) sind durch ihre Tätigkeit in verschiedenen Ländern und die abweichenden Kundenanforderungen gezwungen, alle gängigen Sicherheitstestate aufzuweisen und sich folglich unterschiedlichen Zertifizierungsverfahren zu unterziehen.
Die EU-SEC Hauptinnovationen
Im Rahmen des EU-SEC führten die Projektpartner konkrete Fallstudien unter realitätsnahen Audit-Bedingungen durch. Fabasoft wickelte sämtliche Tests und Projektarbeiten in der Fabasoft Business Process Cloud ab. Aus den Erkenntnissen dieser Pilotanwendungen ergaben sich zwei Hauptinnovationen: Mit dem „Multiparty Recognition Framework (MPRF)“ wurden Möglichkeiten geschaffen, die Anforderungen aus den verschiedenen Zertifizierungsstandards zusammenzuführen und miteinander zu verknüpfen. Daraus leitete das Konsortium die „Continuous Audit Based Certification (CABC)“ ab, eine Basis für das teilautomatisierte Echtzeit-Auditieren von Clouddiensten. Als weiteres Ergebnis wurde ein „Privacy Code of Conduct (PCoC)“ formuliert, der Anforderungen zur Einhaltung der EU-Datenschutzgrundverordnung (EU-DSGVO) für Cloud-Services festlegt.
Multiparty Recognition Framework (MPRF)
Die Vergleichbarkeit bestehender Zertifizierungen und Testate ist durch unterschiedliche Schwerpunkte wie auch Prüftiefen und Auditierungsverfahren erschwert. Im Rahmen des EU-SEC wurden bestehende Zertifizierungssysteme analysiert und dabei festgestellt, dass sich viele Prüfkriterien und -ziele überschneiden. Dem Konsortium gelang es mit dem MPRF, einen gemeinsamen Nenner herauszuarbeiten und damit die gegenseitige Anerkennung bereits existierender Zertifizierungs- und Testatsansätze zu unterstützen sowie einen effizienten Zertifizierungsprozess zu ermöglichen.
Continuous Audit Based Certification (CABC)
Die zweite Hauptinnovation wurde als Proof-of-Concept aus einer Fallstudie im Wirtschaftsbereich abgeleitet, die von den Projektpartnern Fraunhofer, CaixaBank, Nixu Cybersecurity und Fabasoft durchgeführt wurde. CABC soll künftig einen Echtzeit-Zertifizierungsprozess für Cloud-Services ermöglichen, der sicherstellt, dass die erforderlichen Standards nicht nur zum Auditierungszeitpunkt, sondern über die gesamte Gültigkeitsdauer des Zertifikats eingehalten werden. Für laufende Überprüfungen zu moderaten Kosten müssen diese teilautomatisiert ablaufen. Durch den stets verfügbaren Nachweis vollständiger Daten- und Informationssicherheit werden Vertrauenswürdigkeit, Sicherheit und Transparenz signifikant verbessert.
Fazit und Ausblick
Der Erfolg des EU-SEC Projektes resultiert aus den validierten Ergebnissen, die aus konkreten Fallstudien gewonnen wurden. Die Agentur der Europäischen Union für Cybersicherheit, ENISA (European Network and Information Security Agency), erhielt von der EU Kommission bereits den Auftrag, gesamteuropäische Netz- und Informationssicherheitsstandards auf Basis der gegenseitigen Anerkennung von Sicherheitszertifizierungen (MPRF) und der laufenden Prüfungshandlungen zur Echtzeit-Zertifizierung (CABC) auszuarbeiten.
Durch die erstmalige Mitarbeit an einem Horizon 2020-Projekt der EU hat sich Fabasoft als verlässliche Partnerin bewähren können und ihre Vorreiterrolle im Bereich Cloud-Security bewiesen. „Durch die aktive Mitarbeit im Projekt EU-SEC konnte Fabasoft einen wichtigen Beitrag zur europäischen Digital Single Market Strategie und den EU Cybersecurity Act leisten. Zudem hat die Fabasoft mit ihren Partnern wichtige Erkenntnisse im Bereich Continuous Audit erlangen können und wird hier in weitere Forschung investieren“, so Andreas Dangl, Business Unit Executive Cloud Services bei Fabasoft.
[1] Fraunhofer FOKUS, Fraunhofer AISEC, CaixaBank, Cloud Security Alliance (CSA), Fabasoft, Ministry of Finance Slovakia, Ministry of Public Administration Slovenia, Nixu Cybersecurity, PwC Deutschland und SixSq.
