06.03.2014 17:18 Uhr in IT/Hightech

CloudCycle auf der CeBIT: Garantiert sicher und datenschutzkonform in die Cloud

Gemeinschaftsprojekt bietet automatisierte Kontrolle von Cloud-Anbietern


(Mynewsdesk) Cloud Computing bietet öffentlichen Einrichtungen und mittelständischen Unternehmen flexible und kosteneffiziente Chancen für vernetzte Zusammenarbeit. Doch Unsicherheiten bezüglich Datenschutz und IT-Sicherheit halten diese potenziellen Anwender oft davon ab, Cloud-Dienste zu nutzen. Selbst ein Datenschutz-Audit beim Cloud-Anbieter durchzuführen und die Einhaltung der Sicherheits- und Datenschutzvorgaben regelmäßig zu kontrollieren, stellt für Behörden und KMU ein massives Problem dar. Auf der CeBIT zeigt das Team des Gemeinschaftsprojekts CloudCycle in Halle 9 am Stand E24 des Bundesministeriums für Wirtschaft und Energie (BMWi) ein Lösungskonzept, mit dem sich Datenschutz-Anforderungen automatisiert und zuverlässig prüfen lassen.

Wenn Behörden und Unternehmen für die Verarbeitung personenbezogener Daten Cloud-Dienste nutzen, liegt meist eine Auftragsdatenverarbeitung nach §11 BDSG vor. Das bedeutet, dass sie für die Sicherheit und den Schutz ihrer Daten verantwortlich bleiben. Cloud-Anwender sind dadurch gesetzlich verpflichtet, vor Auftragserteilung und währenddessen regelmäßig zu kontrollieren, ob der Cloud-Anbieter alle Datenschutzanforderungen erfüllt. Ein Anwender kann eine Kontrolle vor Ort selbst praktisch nicht leisten – Daten und Anwendungen sind in einer komplexen Cloud-Umgebung meist über mehrere geographische Standorte und auf verschiedene Cloud-Betreiber verteilt. Hinzu kommt, dass größere Cloud-Anbieter bei der Vielzahl von Kunden durch ständige Vor-Ort-Kontrollen nicht nur extrem belastet würden, sondern dies auch die Datensicherheit gefährden könnte.

Im Rahmen des Projekts CloudCycle wurde zur Unterstützung von Auditoren ein Lösungskonzept für automatisierte Kontrollen beim Cloud-Anbieter entwickelt. Durch das automatisierte Testat ist es möglich, Sicherheits- und Compliance-Vorgaben im gesamten Lebenszyklus eines Cloud-Dienstes kontinuierlich und kundenspezifisch zu überwachen. Die automatisierten Überprüfungen werden über die in TOSCA (Topology and Orchestration Specification for Cloud Applications) beschriebene Policy, die die Prüfkriterien einer Dienstinstanz enthält, gesteuert und auf Basis von manipulationssicheren Log-Daten durchgeführt.

Eine Policy definiert eine nicht-funktionale Anforderung an einen Cloud-Dienst. Durch sie werden Sicherheitsanforderungen definiert, die erfüllt sein müssen, um einen Cloud-Dienst sicher zu betreiben. Diese Anforderungen werden während der automatisierten Installation und während des Betriebs durch die TOSCA-Laufzeitumgebung sichergestellt. Das Ziel von TOSCA ist es dabei, die Sicherheitsanforderungen herstellerneutral zu definieren und Anwender in die Lage zu versetzen, mit ihren Anwendungen von einem Cloud-Anbieter zu einem anderen problemlos zu wechseln. Im Rahmen des CloudCycle Projekts wurden erste Sicherheits-Policies definiert und ein Policy-Framework prototypisch umgesetzt, welches deren Umsetzung in den verschiedenen Phasen des Lebenszyklus des Cloud-Dienstes ermöglicht.

Das Projekt CloudCycle wird vom BMWi gefördert und gemeinsam von den Projektpartnern regio IT, der Universität Stuttgart, IBM, dem Fraunhofer-Institut für Sichere Informationstechnologie und der kommunalen Informationsverarbeitung Baden-Franken durchgeführt.

Über das Fraunhofer SIT

Die Informationstechnologie hat bereits weite Teile unseres Alltags durchdrungen: Ob Auto, Telefon oder Heizung – ohne IT-Einsatz sind die meisten Geräte und Anlagen heute nicht mehr denkbar. Insbesondere Unternehmen nutzen ­­­IT-Systeme zur effektiven Gestaltung ihrer Arbeitsprozesse. Das Fraunhofer-Institut für Sichere Informationstechnologie beschäftigt sich mit dem Schutz dieser Systeme vor Ausfällen, Angriffen und Manipu­lationen.

Das Fraunhofer-Institut SIT ist Teil des größten Cybersicherheitsforschungszentrums Deutschlands in Darmstadt und zählt auch weltweit auf vielen Gebieten zu den führenden Forschungseinrichtungen zur Cybersicherheit weltweit.

<h1>CloudCycle auf der CeBIT: Garantiert sicher und datenschutzkonform in die Cloud</h1><h2>Gemeinschaftsprojekt bietet automatisierte Kontrolle von Cloud-Anbietern</h2><br/>
 
Weitere Pressemitteilungen von Fraunhofer-Institut für sichere Infomationstechnologie (SIT) Pressemappe zur Pressemappe
 
Illegale Shops auf seriösen Seiten (Pressemitteilung)

Illegale Shops auf seriösen Seiten

Angebote für rezeptfreie Potenzpillen oder gefälschte Medikamente finden sich im Internet nicht nur auf Schmuddel-Domains. Um illegale Medikamentenangebote bei Suchmaschinen besser zu platzieren, verstecken Hacker entsprechende Onlineshops oft in seriösen Webangeboten. IT-Forensik-Experten des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt haben dies ...

 
Analysewerkzeug für Android-Apps (Pressemitteilung)

Analysewerkzeug für Android-Apps

Das Fraunhofer-Institut für Sichere Informationstechnologie SIT zeigt auf der CeBIT mit CodeInspect ein neues Werkzeug zur Analyse von Android-Apps. Mit der Software können Unternehmen Schwachstellen und Malware im kompilierten Programmcode besonders schnell aufspüren. Bibliotheksentwickler haben mit CodeInspect die Möglichkeit, ihre Bibliothek zu analysieren und ...

 
Anmeldestart für Volksverschlüsselung (Pressemitteilung)

Anmeldestart für Volksverschlüsselung

Das Fraunhofer-Institut für Sichere Informationstechnologie SIT startet auf der CeBIT die Registrierung für die Volksverschlüsselung. Am Fraunhofer-Stand in Halle 6 (B36) können CeBIT-Besucher sich die kryptografischen Schlüssel für den Dienst sichern, den das Institut gemeinsam mit der Deutschen Telekom ab Jahresmitte für Privatanwender kostenlos anbieten wird. ...