Standards für Interoperabilität und Datensicherheit

Die aktuelle Roadmap der Cloud-Security-Zertifizierung

| Autor / Redakteur: Michael Matzer / Florian Karlstetter

Aktuelle Initiative für Cloud-Standards für Interoperabilität und Datensicherheit der Wirtschaft.
Aktuelle Initiative für Cloud-Standards für Interoperabilität und Datensicherheit der Wirtschaft. (Bild: © EtiAmmos - stock.adobe.com)

Die Frage, wie europäische Cloud Service Provider (CSPs) künftig auf gemeinsame Standards hinsichtlich Datensicherheit usw. verpflichtet und verglichen werden können, wird sukzessive beantwortet. Zwei Arbeitsgruppen haben entsprechende Codes of Conduct (CoC) verabschiedet und auf der „European Cyber Security and Cloud Computing Conference 2018“ in Wien vorgestellt.

Am 25. Mai 2019 werden die verabschiedeten Code of Conduct in Kraft treten: Dies ist der Grundstock für "GDPR for Businesses".

Die GDPR alias DSGVO, die am 29.5.2018 mit viel Furore in Kraft trat, betrifft lediglich Privatpersonen und folglich nur persönlich identifizierbare Informationen (PII). Der wesentlich größere Markt, der noch nicht abgedeckt ist, besteht aus der Wirtschaft, insbesondere aus den Cloud Service Providern (CSPs), die mit rasanter Geschwindigkeit wachsen. Sie bekommen 2019 „GDPR for Businesses“, wie es Maurice van der Woude, der CEO der niederländischen Firma BP Delivery, prägnant formulierte.

In erster Linie geht es um übergreifende Standards für Datensicherheit (non-PII), Interoperabilität und Datenmigration. Am 6. Dezember 2018 gaben die beiden dafür zuständigen Arbeitsgruppen der Europäischen Kommission ihre aktuellen Ergebnisse bekannt und gewährten einen Ausblick auf das, was den europäischen Markt bis 2020 in dieser Hinsicht erwartet. Es ist eine ganze Menge.

Code of Conduct für CSP Cert

Die European Cloud Service Provider Certification Working Group (abgekürzt CSP Cert), die Anfang 2018 zusammen mit Vertretern der Internetwirtschaft wie etwa VMware gegründet wurde, beschäftigt sich mit neueren Transformationen, die in einem Framework für Cyber-Security gefasst werden. Diese Transformationen betreffen Cloud-Plattformen über PaaS (Platform as a Service), die Schaffung eines gemeinsamen Marktplatzes mit einem globalen API-Katalog, sowie die Schaffung von Strukturen auf Basis von Open Source und offener Standards.

Aus den Vorträgen im Zusammenhang mit CSP Cert wurde deutlich, dass diese Veränderungen insbesondere für den Bankensektor enorme Bedeutung haben werden. „Nur wer seine Services entsprechend adaptieren kann, wird überleben!“ wurde Danièle von Nouy, Vorsitzender des Aufsichtsrats der Europäischen Zentralbank EZB, zitiert. Offenbar bedeuten die Vorgaben des Code of Conduct (CoC) und des Frameworks erhebliche Anforderungen für die Betroffenen.

Die Bestimmungen des CoC betreffen die Portierbarkeit von Non-PII-Daten in der EU sowie den Schutz dieser Daten. Die Wiederverwendbarkeit solcher Daten, die CSP-Plattformen und Firmen austauschen bzw. migrieren wollen, soll im Interesse der Nutzer geregelt werden. An diese Träger erging die Aufforderung, entsprechende Verantwortung zu übernehmen. Denn es gebe einige Vorteile, sowohl für die Nutzer als auch für Betreiber.

Die Vorzüge einer Cloud-Security-Zertifizierung bestehen nach Angaben der Referenten der Arbeitsgruppe in der Erfüllung technischer und regulativer Erfordernisse, in erhöhtem Nutzer-Vertrauen und in Risikominimierung, der Erfüllung rechtlicher und vertraglicher Verpflichtungen by default. Da nun eine gemeinsame Basis für CSPs geschaffen sei, bestünde Chancengleichheit mit und unter Cloud Service Providern. Es werde ein Anstieg der Cloud-Akzeptanz und des Cloud-Einsatzes erwartet sowie der ungehinderte Fluss von Daten.

Damit sie nachweisen können, dass sie den Richtlinien des jeweiligen Code of Conduct folgen, füllen sie den entsprechenden Fragebogen aus, den die zuständige Arbeitsgruppe der Europäischen Kommission erstellt hat, einsammelt und auswertet. Der Security-Fragebogen etwa trägt den schönen Titel „Questionnaire for the Open Consultation of the European Cloud Security Certification framework proposed by the CSP Certification Stakeholder Group“. Maurice van der Woude von BP Delivery ist zuversichtlich, dass die so Befragten nicht schummeln, denn früher oder später kommt jede Lüge heraus und Angaben im Fragebogen seien ja nachprüfbar, indem man sie mit öffentlich einsehbaren Informationen auf der Webseite des Befragten vergleicht. Korrekte Angaben sind allein schon deshalb nötig, weil die europäischen Behörden sie in ihren Beschaffungsplänen vorlegen müssen.

Code of Conduct für SWIPO

Die Arbeitsgruppe „Cloud Switching and Porting Data“ (SWIPO) entwickelt einen SaaS Code of Conduct for Public Consultation. Bei der Umsetzung wurden Anforderungen zusammengeführt, um Cloud Service Providern von SaaS und IaaS das Management von Cloud Switching und Data Porting im Interesse ihrer Kunden zu erleichtern.

Der SWIPO Code of Conduct soll mit seinem systemischen, globalen und agilen Ansatz für eine breite Akzeptanz von Cloud-Diensten sorgen und für die Umsetzung von Cloud Switching und Datenportabilität als Blueprint dienen. Dabei liegt in der Arbeitsgruppe die Führungsrolle bei der Industrie, um einen Vendor Lock-in von vornherein zu vermeiden. Vor diesem Hintergrund dürfte es nicht verwundern, wenn Unternehmen wie BP Delivery (s.o.), Credit Suisse sowie OVH, AWS und VMware unter den rund 30 Experten vertreten sind.

Patrick Maes, ein Manager der Credit Suisse Bank, sagte, dass sich der Code of Conduct auf die Public und Private Cloud beziehe, das Workload Scheduling betreffe und sogenannte Monte-Carlo-Transformationen, also statistische Algorithmen im Risikomanagement, abdecke. „Das ermöglicht Anwendungen, die Handelspartner nutzen können und die Regulatoren überflüssig machen.“ Da ein Supercomputer in einer Zentralbank durchaus mal 50.000 Rechenkerne mit entsprechendem Lastenausgleich umfassen könne, sind die Themen "Datenmigration" und "Skalierbarkeit" im Finanzsektor durchaus relevant.

Zudem gilt es zu berücksichtigen, dass jedes Bankenrechenzentrum zwecks Ausfallsicherheit ein zweites Rechenzentrum aufweisen muss, das sich in einem Mindestabstand von mehreren Kilometern befindet. Auch hierbei ist das Thema "gesicherter Datentransfer" von Bedeutung.

So sieht die IaaS CoC Roadmap bis 29.5.2020 aus:

  • 15.9.2017: Entwurf der Europäischen Kommission
  • 28.11.2018: Veröffentlichung des CoC
  • 18.12.2018: Verabschiedung des CoC
  • 29.5.2019: Anwendung des CoC
  • Drittes Quartal 2019: Der IaaS Code wird implementiert und erste IaaS Services werden veröffentlicht. Der Code ist seit September 2018 technisch bereit zur Veröffentlichung, doch seitdem erfolgen Prüfung und Validierung durch IBM und AWS.
  • 29.11.2019: Der CoC existiert in Form von Apps für verschiedene Einsatzfälle und Branchen. Es geht also nicht nur bloß um Paragrafen in Gesetzen und Cloud Service Agreements, sondern auch um Software, die er- und bereitgestellt wird.
  • 29.5.2020: "GDPR for Businesses" (van der Woude, s.o.)

Zwei Wirtschaftsvertreter aus der Arbeitsgruppe berichteten von der spannenden Entwicklung und Implementierung von nicht weniger als fünf Use Cases, darunter über die Migration von Software-Containern.

Use Case Nr. 1 beschreibt, wie man zwischen Kubernetes-Containern wechselt, etwa in einer App namens „Trip Builder“, die Reiseplanung und Reorganisation regelt. Der Zweck: "Die Cloud-Dienste folgen deiner Reise." Dafür ist das Management der Infrastruktur-Artefakte ebenso nötig wie ein Container Migration Service. Unter anderem muss die Frage geklärt werden, wie die Datenkompatibilität gewährleistet wird, wenn man Container und Laufwerke importiert.

Die beiden Referenten verdeutlichten die Bedeutung von Transparenz, die das Vergleichen von CSPs erlauben soll. Um Transparenz zu erhalten, müssten künftig Cloud Service Agreements (CSA) IaaS-Anforderungen wie etwa den SWIPO-Code umfassen, denn nur sie verhindern einen Vendor-Lock-in. Sie seien der Schlüssel zu einer erfolgreichen Verhandlung mit dem CSP über die Bedingungen des CSA. Falls der CSP diese Daten NICHT vorlegen kann, dann könnte der Kunde ein Problem haben. Andererseits ist auch der Kunde in der Verantwortung: Wenn die Kunden den CoC nicht in ihre Ausschreibungen einbauen, ist der ganze CoC sinnlos.

Der Sinn europäischer Cloud-Standards

Der Direktor von Future Networks bei der DG CONNECT in der Europäischen Kommission, Pearse O'Donohue, resümierte, wie der ganze CoC-Prozess intern funktionieren soll: „Natürlich stehen Cloud-Unternehmen miteinander im Wettbewerb, aber sie haben aktuell die Wahl, entweder zusammenzuarbeiten, um Voraussetzungen zu schaffen, die sowohl für sie als auch die User passend sind. Die Alternative besteht in einer starren Regulierung ohne Mitspracherecht,“ erklärte er.

Und weiter: „Da alle Unternehmen über dasselbe technische Know-how verfügen, haben sie auch die gleichen Probleme betreffend Datensicherheit oder der Anforderung, dass Kunden bei einem Anbieterwechsel problemlos ihre Daten überspielen können. Daher sollten europäische Cloud-Betreiber jetzt ihre Ressourcen bündeln, um eine branchenweit funktionierende Lösung zu erarbeiten und zu einem Industriestandard zu machen. Dann gibt es auch keinen unfairen Wettbewerb.“

In den USA gibt eher die Cloud Security Alliance (CSA) den Ton an, wenn es um Entwicklung von Security-Standards geht. Sie hat aber letztes Jahr eine Niederlassung in Berlin eröffnet. Daher war es interessant, von Daniele Cattedu, dem CTO der CSA, zu erfahren, dass auch seine Organisation „Transparenz und Information in den Mittelpunkt stellt, um Vertrauen ins Cloud Öko-System aufzubauen.“ Ob dies bedeutet, dass auch die CSA die neuen CoC unterstützt, ist noch offen, denn diese sind ja Teil der europäischen Gesetzgebung. AWS jedenfalls hat seine Compliance mit den CSA-Vorgaben veröffentlicht.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45769638 / Networking)