Die Cloud-Nutzung boomt weltweit und mit ihr die Fülle an Cloud-Providern und Zertifizierungsstellen. Der gegenwärtige Markt gleicht einem Dschungel an Angeboten und Gütesiegeln – Transparenz von Qualitätsstandards ist Mangelware. Das Forschungsprojekt „AUDITOR“ will dagegenhalten: Ein interdisziplinäres Team aus Wissenschaftlern und Unternehmen erarbeitet eine Datenschutzzertifizierung von Cloud-Diensten, die auf Basis der neuen EU-Datenschutz Grundverordnung als Standard in der Praxis europaweit zum Einsatz kommen soll.

Gemeinsame Fotos teilen, digitale Projektarbeit ortsunabhängig verfügbar machen, stündliche Sicherungskopien von Datensätzen dezentral erstellen – Cloud Computing übernimmt heute in Privat- und Berufsalltag immer mehr und immer zentralere Aufgaben. Vor allem kleine bis mittlere Unternehmen verzichten häufig aus Kostengründen auf die Anschaffung und den Betrieb eigener, leistungsstarker Rechenzentren und buchen stattdessen virtuelle Rechenpower bei Cloud-Anbietern. In sogenannten Private Clouds können sie oft den Großteil der alltäglichen Arbeitsres-sourcen – von ihren Daten bis hin zu Spezialsoftware – zur Verfügung stellen. Dank der Auslagerung ins Netz sind diese dann sowohl am Firmenstandort als auch auf Geschäftsreisen überall in der Welt per Login verfügbar.

Doch trotz der zahlreichen Vorteile bestehen weiterhin Bedenken gegenüber der Buchung von Cloud-Diensten als Substitut für die eigene IT-Infrastruktur. Nicht zuletzt durch gehäufte Berichte über Cyber-Attacken auf E-Mail oder Internet-Provider wächst das Misstrauen, auch nur die eige-nen Privatfotos in der Cloud und damit im Internet abzuspeichern. Die Auslagerung von sensiblen Prozessen und Daten für den unternehmerischen Erfolg – gerade im Falle von Berufsgeheimnisträgern – wird aufgrund des Kontrollverlusts über den verarbeitenden Server kritisch gesehen. Welche Angebote sind sicher? Wie zuverlässig sind die unterschiedlichen Anbieter?

Forschungsprojekt gegen mangelnde Transparenz bei Cloud-Angeboten

„Wer Licht ins Dunkel bringen und sich eine angemessene Bewertung und Einordnung der am Markt agierenden Cloud-Provider schaffen möchte, kommt an einer einheitlichen, rechtlich geprüften Zertifizierung von Cloud-Angeboten nicht vorbei. Tatsächlich jedoch erscheint die Vielfalt der Gütesiegel und Zertifizierungsstellen derzeit wie ein Dschungel, der die Intransparenz am Markt und somit die Nutzerbedenken nur befördert“, erläutert Dr. Marius Feldmann von Cloud&Heat Technologies aus Dresden die derzeitige Marktlage. Für die Zukunftsfähigkeit und Vertrauenswürdigkeit von Cloud-Diensten und damit der ganzen Branche sei ihm zufolge deshalb vorrangig wichtig, dass sich aus der Masse an Angeboten und Klassifizierungen ein einheitliches System entwickelt. Ein System, das Nutzern wie Betreibern ein klares, allumfassendes und den jüngsten gesetzlichen Regularien für Datenschutz in Europa und Deutschland entsprechendes Tool zur Einstufung der Angebote an die Hand gibt.

Mehr als zehn deutsche Unternehmen und Forschungseinrichtungen haben sich unter der Leitung von Prof. Roßnagel und Prof. Sunyaev der Universität Kassel aus dieser Problematik heraus das Ziel gesetzt, eine EU-weit standardisierte Datenschutzzertifizierung für Cloud-Dienste zu entwickeln und praktisch zu erproben. In dem zwei Jahre laufenden Förderprojekt AUDITOR (European Cloud Service Data Protection Certification) sollen alle relevanten Aspekte, wie etwa Zuständigkeiten, Transparenzpflichten, Haftung und Kontrollmechanismen, stets vor dem Hintergrund der neuen EU-Datenschutz-Grundverordnung betrachtet werden.

„Das Projekt AUDITOR soll die Vergleichbarkeit von Cloud-Diensten, die vonseiten der Unternehmen aus unterschiedlichen EU-Mitgliedsstaaten angeboten werden, verbessern und damit Transparenz schaffen. Ermöglicht wird dies durch eine nachhaltig anwendbare EU-weite Datenschutzzertifizierung von Cloud-Diensten nach Maßgabe der EU-Datenschutz-Grundverordnung (DSGVO). Wir arbeiten quasi im Interesse aller am Markt beteiligten Akteure an einer Marktweiterentwicklung im Cloud-Bereich,“ berichtet Prof. Dr. Ali Sunyaev (Direktor am wissenschaftlichen Zentrum für Informationstechnikgestaltung (ITeG) der Universität Kassel). Neben seinem Lehrstuhl für Wirtschaftsinformatik und Systementwicklung ist ebenfalls der Lehrstuhl Öffentliches Recht mit Schwerpunkt Recht der Technik und des Umweltschutzes der Universität Kassel am Projekt beteiligt. Weitere Projektpartner kommen aus der Praxis: Deutsche Cloud-Anbieter wie die ecsec oder Cloud&Heat Technologies oder der Verband EuroCloud Deutschland_eco e.V sowie der TÜV Informationstechnik GmbH, TÜV NORD GROUP (TÜViT) und Datenschutz cert GmbH werden das Pilotprojekt mitgestalten.

Umfassende Vorteile für alle Stakeholder durch EU-weit gültige Zertifizierung

Die nach Maßgabe der EU-Datenschutzgrundverordnung (DSGVO) konzipierte Zertifizierung bietet für alle beteiligten Gruppen Vorteile. Zum einen garantiert sie den privaten Cloud-Nutzern einen besseren Schutz von personenbezogenen Daten entsprechend der gesetzlichen Regularien. Unternehmen wiederum ist anzuraten, ihre Daten und Prozesse durch die rechtliche Fundierung nur bei solchen Cloud-Anbietern zu hosten, die hinreichend Garantien dafür bieten, dass technische und organisatorische Maßnahmen den Datenschutz sicherstellen. Gleichzeitig bietet das Zertifikat der Gruppe der Nutzer eine bessere Vergleichbarkeit der einzelnen Cloud-Angebote. Zum anderen profitieren die Provider selbst, indem sie mit einer aussagekräftigen Zertifizierung eben diese Sicherheit nachweislich bieten können. Und auch für die Gruppe der Zertifizierer und Auditoren sowie Aufsichtsbehörden vereinfacht ein einheitlicher Standard Prozesse zur Bewertung und Prüfung. „Eine Datenschutzzertifizierung wird insbesondere KMU helfen, Transparenz zu erlangen und bei der Datenverarbeitung Rechtssicherheit im europäischen Binnenmarkt darzustellen,“ sagt Andreas Weiss, Direktor EuroCloud Deutschland_eco e.V.

Die Rolle von Cloud&Heat im Förderprojekt

Der 2011 gegründete Cloud-Provider Cloud&Heat Technologies GmbH betreibt bereits seit 2012 eine Infrastructure-as-a-Service-Lösung (IaaS-Lösung) basierend auf dem Open-Source-Produkt OpenStack. Von Beginn an hat das Unternehmen die Themenfelder Datensicherheit und Datenschutz im besonderen Maße fokussiert – insbesondere, um Cloud-Interessenten eine sichere, nach Maßgaben des deutschen Datenschutzgesetzes betriebene Alternative zu bekannten amerikanischen Cloud-Anbietern zu bieten. Das in Dresden ansässige Unternehmen lässt in AUDITOR vor allem seine über Jahre hinweg gesammelten Erfahrungen und sein Know-How im Betrieb sicherer Cloud-Lösungen einfließen. Anhand der existierenden IaaS-Lösung von Cloud&Heat Technologies soll das ausgearbeitete Zertifikat auf seine Praxistauglichkeit eingehend geprüft werden, bevor es über die Laufzeit des Projektes hinweg zur Marktreife geführt werden kann.

Über Auditor

Ziel des Forschungsprojekts „AUDITOR“ ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten. Im Kontext der Cloud-Branche spielen vor allem die am 25. Mai 2016 in Kraft getretene EU-Datenschutzgrundverordnung (DSGVO) eine signifikante Rolle. Die neue Verordnung verlangt umfassende Änderungen bei der Verarbeitung personen-bezogener Daten. Darüber hinaus sind jedoch für die einzelnen Cloud-Anbieter noch weitere EU-weit gültige sowie nationale Regelungen zu beachten, wie beispielsweise die Richtlinie zum Sicherheitsniveau von Netz- und Informationssystemen (EU) 2016/1148 (NIS-RL, in Deutschland beschlossen am 27.04.2017) oder der Anforde-rungskatalog Cloud Computing (C5) vom Bundesamt für Informationssicherheit. International vereinbarte technische Normen (beispielsweise ISO/IEC 27018) sind ebenfalls relevant. Das Verbundprojekt läuft vom 01.11.2017 bis 31.10.2019 und wird aus Mitteln des Bundesministeriums für Wirtschaft und Energie (BMWi) unterstützt.

Über Cloud&Heat Technologies

Cloud&Heat ist Anbieter OpenStack-basierter Public- und Private-Cloud-Lösungen. Mit seinen sicheren, einfach handhabbaren, nachhaltigen und beliebig skalierbaren Lösungen bietet das Unternehmen IT-infrastrukturen, die den wichtigsten Anforderungen der Cloud-Zukunft gerecht werden. Seit 2012 betreibt das Unternehmen eine eigene verteilte Cloud-Infrastruktur, auf der klassisches Cloud Computing (IaaS) angeboten wird. Mit der Kon-zeption, der Inbetriebnahme und Wartung maßgeschneiderter Cloud-Lösungen für Unternehmen komplettiert Cloud&Heat sein Portfolio um das Datacenter in a Box und reagiert damit auf die rasant steigende Nachfrage nach unternehmensinternen Cloud-Infrastrukturen. Sein über Jahre hinweg gesammeltes umfassendes Know-How im Umgang mit „OpenStack“ gibt das sächsische Unternehmen in Form von klassischem Consulting, maßge-schneiderten Lehrgängen oder der Umsetzung individueller OpenStack-Projekte weiter. Der Clou: Die Server-abwärme wird direkt von den Wärmehotspots, wie CPU oder RAM, aufgenommen, abgeführt und kann zum Beheizen von Immobilien und zur Warmwasseraufbereitung genutzt werden. Das energie- und kosteneffiziente Konzept ist mehrfach preisgekrönt, u. a. durch den Deutschen Rechenzentrumspreis 2015 & 2016.

 

BMBF Logo