Cloud-Services: Modell für dynamische Zertifikate entwickelt

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: TUM
Veröffentlicht von SecuPedia-Redaktion am 15. Januar 2018.

München, 15.01.2018 – Für Unternehmen, die Daten dezentral in der Cloud speichern, stellt sich regelmäßig unter anderem die Frage: Wie sicher sind die eigenen Daten vor fremden Zugriffen und unberechtigtem Löschen geschützt? Forscherinnen und Forscher der Technischen Universität München (TUM) haben sich mit dem Thema beschäftigt und ein Modell entwickelt, mit dem Cloud-Anbieter nach eigenen Angaben verlässlich überprüft und zertifiziert werden können.

In Gesprächen mit etwa 100 IT-Spezialisten aus kleinen und mittelständischen Unternehmen haben die TUM-Wissenschaftler unter Leitung von Prof. Helmut Krcmar, Inhaber des Lehrstuhls für Wirtschaftsinformatik, hierfür eine Lösung erarbeitet. Zusammen mit sechs weiteren Partnern entwickelten sie im Rahmen des Konsortiums „Next Generation Certification“ (NGCert) ein neues dynamisches Zertifizierungssystem für Cloud-Services.
 

Cloud-Zertifikate ständig prüfen

Zwar gebe es, wie eingeräumt wird, bereits Qualitätssiegel, sogenannte Zertifikate, welche die Sicherheit der gespeicherten Daten garantieren sollen. Sie werden jedoch, so heißt es, häufig für ein bis drei Jahre bewilligt – mit nur einmaliger Prüfung.

Das Hauptproblem seien solche statischen Zertifikate, erklärte Helmut Krcmar: „Zertifikate verlieren sehr viel schneller ihre Aktualität als nach ein bis drei Jahren und damit auch ihre Sicherheit. Wir brauchen dynamische Systeme, die ständig über den Zeitraum ihrer Gültigkeit geprüft werden können. Wir haben jetzt erstmals ein Modell entwickelt, wie das organisatorisch und technisch möglich ist.“ Bei den befragten Unternehmen habe sich gezeigt, dass die Einführung solcher dynamischer Qualitätssiegel das Vertrauen der Unternehmen in Clouds deutlich steigern könne und sie dann die Technik leichter einsetzen können.
 

Kriterien für dynamische Zertifikate

In Zusammenarbeit mit Firmen und Cloud-Services wurden von den Wissenschaftlern Kriterien herausgearbeitet, die solche neuen dynamischen Zertifikate erfüllen müssen. Für Dreiviertel der befragten Firmen standen vor allem die Datensicherheit und der Datenschutz an oberster Stelle. Häufig würden vertrauliche Personaldaten in der Cloud gespeichert werden. Rechtlich behalten die Firmen die Verantwortung für ihre Daten und nicht der Cloud-Dienstleister. Deshalb sei es wichtig, dass die Daten zuverlässig in Deutschland gespeichert werden, wo strenge Datenschutzgesetze gelten.

Programme zur Geolokation: Als Teil der Zertifikate entwickelten die NGCert-Projektpartner daher Programme, die den Standort der Rechner des Cloud-Anbieters ständig überprüfen (Geolokation). Die Software testet demnach alle Wege der Datenpakete, die vom Unternehmen bis zum Cloud-Anbieter geschickt werden. Sie seien charakteristisch wie Fingerabdrücke. Verändern sie sich, sei das ein Zeichen dafür, dass die Datenverarbeitung in einer anderen Region stattfinde und möglicherweise Rechner im Ausland genutzt werden würden.

Rechtssicherheit der Cloud-Services ist den Angaben zufolge ein weiteres Kriterium: Gesetze zum Datenschutz und zur Datensicherheit können sich immer wieder ändern, etwa wie lange Zugriffsdaten gespeichert werden müssen. Ein Zertifikat, was einmal ausgestellt wird, kann auf solche Änderungen nicht reagieren. „Unsere Idee der dynamischen Zertifikate kann auch diese Problematik lösen. Es gibt viele einzelne Software-Komponenten, die unabhängig voneinander und auch nach Erstausstellung des Zertifikats ständig verändert werden können – so genannte Module“, sagt Krcmar.

Unabhängige Zertifizierungsdienste: Zudem soll das prüfende System unabhängig vom eigentlichen Cloud-Anbieter sein und als eigenständiges, objektives System angeboten werden, so der Wunsch der Unternehmen. Dann lasse sich ein Missbrauch von ungültigen oder abgelaufenen Qualitätssiegeln eindämmen. Das Team um Prof. Krcmar entwickelte bereits erste Ideen für Geschäftsmodelle für solche unabhängigen Zertifizierungsdienste.

Eine Zusammenfassung der Ergebnisse wurde in dem Abschlussband „Management sicherer Cloud-Services - Entwicklung und Evaluation dynamischer Zertifikate“ veröffentlicht, erschienen im Dezember 2017.

 

Kategorien E-Mail Service konfigurieren

  • Datenschutz / Datensicherheit
  • Hochschulen, Forschung, Ausbildung

Benutzergruppe

  • Alle Benutzer