MEDINA und EU Cybersecurity – ein neuer europäischer Weg für Sicherheit?

Im Blogbeitrag Cybersecurity: Echtzeitdaten zur Zertifizierung von Cloud-Diensten ging es um Robert, CTO einer großen Bank, und seinen Wunsch nach einer kontinuierlichen und automatisierten Prüfung von Cloud-Diensten. In diesem Artikel beleuchte ich, wie Compliance Manager mithilfe der MEDINA-Plattform und deren „Compliance-as-Code“-Ansatz diesem Ziel zukünftig einen großen Schritt näher kommen.

Was bedeutet Compliance-as-Code?

„Compliance als Code“ bezieht sich auf Softwaretools und Praktiken, die das Einhalten der drei Grundaspekte von Compliance – verhindern, erkennen, beheben – ohne weiteres manuelles Zutun sicherstellen.

  1. Verhindern von Compliance-Abweichungen durch automatisiertes Testen und Überwachen von Änderungen in IT-Umgebungen.
  2. Automatisiertes Erkennen von Compliance-Problemen in der IT-Infrastruktur sowie Benachrichtigen der zuständigen Personen.
  3. Beheben von Umständen, die zu Abweichungen gegenüber den Compliance-Richtlinien führen.

Kurz gesagt, Compliance-as-Code ist die Kodifizierung von Compliance-Kontrollen mit dem Ziel, deren Einhaltung, Anwendung und Problembehebung zu automatisieren.

Damit diese Grundsätze greifen, erarbeitet das MEDINA-Konsortium mit Institutionen wie der ENISA (EU-Agentur für Netz- und Informationssicherheit) praxistaugliche Vertrauensmechanismen und verknüpft diese.

Was ist ein Compliance Manager?

Compliance Manager nehmen eine zentrale Rolle im Zertifizierungsprozess ein und sind die Schnittstelle zu Auditoren. Sie organisieren die Implementierung von Cybersecurity-Zertifizierungen und sorgen für das Erlangen des gewünschten Zertifizierungsgrades. Dazu legen sie interne Kontrollen auf Basis der anstehenden Cybersecurity-Zertifizierung fest. Experten aus den Fachabteilungen erarbeiten die dafür korrekten Maßnahmen und setzen sie um. Es liegt in der Zuständigkeit der Compliance Manager, diese Schritte zu überwachen und zu überprüfen sowie für regelmäßige Re-Zertifizierungen erneut alle notwendigen Nachweise einzuholen und zu katalogisieren.

Sie müssen regelmäßig mit dem Management des Unternehmens Rücksprache halten, Berichte erstellen und die Arbeit der Experten (Internal Control Owner) in definierten internen Kontrollen zu bestehenden Zertifizierungen prüfen. Die Aufgaben von Compliance Managern haben sich in den vergangenen Jahren stetig erweitert und sind an Komplexität und Anzahl gewachsen.

Alex, MEDINA und das Europäische Cybersecurity Scheme

Alex arbeitet in einem kleinen Team bei einem europäischen Clouddienst-Anbieter und verantwortet dort als Compliance Manager die Einhaltung einer Reihe von Anforderungskatalogen. Besonders hervorzuheben ist der vom deutschen Bundesamt für Sicherheit in der Informationstechnik herausgegebene Cloud-Computing Compliance Criteria Catalogue, kurz C5. Die darin definierten Umfeldparameter gewährleisten Transparenz hinsichtlich Systembeschreibung, Gerichtsbarkeit und Lokationen der Datenspeicherung, Datenverarbeitung und Datensicherung, Offenbarungs- und Ermittlungsbefugnisse sowie Zertifizierungen. In Zukunft wird für Alex auch das European Cybersecurity Certification Scheme for Cloud Services (EUCS) eine wichtige Rolle spielen. Dieses beschäftigt sich, wie der Name schon sagt, mit der Zertifizierung der Cybersicherheit von Clouddiensten.

Alex steht unter Zeitdruck, da sie neben der Tätigkeit als Compliance Manager, bei welcher sie strikt vorgegebene Abläufe in (traditionellen) Auditverfahren einhalten muss, noch andere Aufgaben im Unternehmen erfüllt. So möchte ein größerer Bankkunde die Echtzeit-Zertifizierung der vom Unternehmen angebotenen Clouddienste sehen. Zum Glück hat Alex bei ihren Recherchen hinsichtlich des neuen EUCS einen weiteren Ansatz gefunden, der im MEDINA-Projekt erarbeitet wird: Ein Framework, welches automatisiert die kontinuierliche Zertifizierung ermöglicht und ihr eine Reihe effizienter Tools zur Verfügung stellt.

Was ist der MEDINA-Ansatz?

Fabasoft und sieben weitere europäische Partner im Horizon 2020 Projekt MEDINA verfolgen das Ziel, Firmen die Chance zu bieten, eine automatisierte, kontinuierliche Zertifizierung weitestgehend in Echtzeit zu erreichen. Die derzeitigen Forschungsaktivitäten konzentrieren sich dabei auf die Cybersecurity Kataloge BSI C5 und die Entwicklung des EUCS.

Wie hilft MEDINA Compliance Managern?

In Zukunft steuern Compliance Manager und Auditoren das MEDINA-Framework über eine Programmierschnittstelle (API) an. Dadurch gelingen großteils die Automatisierung von Zertifizierungsprozessen und die Erfüllung von Anforderungen.

Um das zu erreichen, erarbeiten die Projektteilnehmer für ausgewählte Kontrollen des EUCS Beispiel-Maßnahmen, erstellen Metriken und Messziele und definieren sogenannte „Assessment Rules“. Diese können dann von einem Clouddienst-Anbieter wie Fabasoft aufgegriffen, implementiert und über eine API mit der MEDINA-Plattform kommuniziert werden. Durch eine dezentrale Verwaltung der Katalogisierung von Nachweisen und vertraulichen Inhalten verbleiben diese komplett in der Hoheit des Clouddienst-Anbieters. Lediglich akkreditierte Auditoren erhalten mit gesicherten Zugängen Einsicht in die Nachweis-Kataloge und benötigte Daten.

Abbildung: MEDINA Integration (Entwurf-Stadium)

Dieses Framework soll Compliance Managern wie Alex helfen, die wachsende Komplexität von Auditprozessen zu beherrschen und Kundenwünschen wie dem von Robert künftig durch kontinuierliche Echtzeit-Zertifizierungen ohne zusätzlichen Zeitaufwand gerecht zu werden.

Sie sind Compliance Manager?

Wir möchten bei MEDINA Problemstellungen aus der Praxis lösen. Tragen Sie einen Teil zum MEDINA-Projekt bei, und lassen Sie uns Ihre alltäglichen „Pain-Points“ wissen. Wir sammeln diese und berücksichtigen sie in unserer Arbeit.

Schicken Sie mir Ihre Anregungen gerne per E-Mail an: Bjoern.Fanta@fabasoft.com