Architekturen, Instrumente und Mechanismen für sicheres Cloud-Computing und kritische Anwendungen
Cloud-Computing erleichtert den Wissensaustausch, neue Dienstleistungen und den Zugang zu Informationen auf eine noch nie erreichte Weise, hat aber mit Sicherheitsrisiken und Herausforderungen zu kämpfen. Das von der EU finanzierte Projekt SECCRIT (Secure cloud computing for critical infrastructure IT) hat Cloud-Computing-Technologien und die damit verbundenen, kritische Infrastrukturen beeinträchtigende Gefahren untersucht, um die Cloud-Sicherheit zu verstärken und die Resilienz zu erhöhen. Das Projekt vereinte sachverständige Institutionen und Einrichtungen aus Österreich, Finnland, Deutschland, Griechenland, Italien, Spanien und dem Vereinigten Königreich und arbeitete an mehreren grundlegenden Forschungsfragen, um Sicherheit und Resilienz in kritischen Infrastrukturen und Anwendungen voranzubringen. Als Einstieg entwickelte das Team einen Schwachstellenkatalog, der in eine neuartige Risikobewertungsmethodik einging, womit Risikobewertungsinstrumente vorangebracht wurden und ein Beitrag auf dem Gebiet der europäischen Normung geleistet wurde. Man arbeitete an einer Richtlinienspezifikation, Beschlussfassung und Durchsetzung für sichere Datenhandhabung in der Cloud sowie einer Resilienz-Rahmenumgebung einschließlich Anomalieerkennung als Dienstleistung (anomaly-detection-as-a-service). Ein weiteres wichtiges Projektziel war die Entwicklung von Instrumenten für Prüfprotokolle (Audit-Trails) und Ursachenanalyse, die neue quelloffene Softwareprototypen umfasste. Das Team erarbeitete zudem ein Cloud-Sicherungsprofil-Bewertungsverfahren mit Machbarkeitsnachweisskripten. Softwarekomponenten und Instrumente wurden mit Hilfe von Sicherheitsrichtlinien, die Akteure im Zusammenhang mit kritischen Infrastrukturen bei der Anwendung der Cloud unterstützen, sowie durch technisch-juristische Beratung mit Empfehlungen zu relevanten technischen und rechtlichen Fragen verstärkt. Die Erfüllung der zu Beginn des Projekts festgelegten gesetzlichen Anforderungen war ein wichtiger Schwerpunkt, da die entwickelten Systeme gesetzeskonform sein müssen, um sie in der Praxis anzuwenden. Daher wurde in SECCRIT bei der Entwicklung von rechtlich konformen Ergebnissen ein Ansatz mit eingebauten Datenschutz (privacy-by-design) verfolgt. Neben der Entwicklung und Erprobung der vorhergehend genannten Instrumente und Mechanismen erstellte das Projektteam 38 von Experten begutachtete wissenschaftliche Arbeiten. Und es organisierte vier Anwender-Workshops und ein Seminar zum Thema Cloud-Sicherheit. Die Ergebnisse flossen gleichermaßen in Studienarbeiten, Vorträge und Nachfolgeprojekte ein, wobei es Plänen für eine Kommerzialisierung der Softwareinstrumente gibt. Mit Hilfe einer sicheren und robusten Cloud für die Nutzer kritischer Infrastrukturen werden in Wirtschaft und Industrie ununterbrochene Produktivität und Effizienz gewährleistet. Auf indirekte Weise werden die Resultate dazu beitragen, einen besseren Lebensstandard für die Europäerinnen und Europäer zu fördern.
Schlüsselbegriffe
kritische Infrastruktur, Cloud-Computing, SECCRIT, Anomalieerkennung, Resilienz, Belastbarkeit, Cloud-Sicherheit
