MEDINA ist ein automatisiertes Framework, das es Cloud-Service-Anbietern in Zukunft erleichtern soll, eine EUCS-Zertifizierung zu erlangen. EUCS steht für »European Union Cybersecurity Certification Scheme on Cloud Services« und verfolgt das Ziel, das Vertrauen und die Kontrollmöglichkeiten der Nutzenden von Cloud-Services zu erhöhen. Das Framework legt dafür einerseits Sicherheitsstandards in Cloud-Umgebungen fest und umfasst andererseits Werkzeuge, Techniken und Prozesse, welche die Sicherheit in Clouds messbar machen. Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC hat bei dem europäischen Forschungsprojekt seine Expertise aus der Cybersicherheitsforschung eingebracht.

Um das Sicherheitsniveau eines Cloud-Systems zu überprüfen, ist es notwendig Evidenzen – Informationen über Cloud-Ressourcen, verwendete Software, Policies, etc. – zu sammeln und auszuwerten. Bei MEDINA kommt dafür das vom Fraunhofer AISEC entwickelte Open-Source-Tool Clouditor zum Einsatz, das diese aufwändige Aufgabe automatisiert erledigt. Damit ermöglicht das Assurance-Werkzeug, dass die Sicherheit eines Cloud-Dienstes umfassend und kontinuierlich überprüft wird.

Evidenzen automatisiert in Zertifizierungsstatus überführt

Zusammen mit den Projekt-Partnern überführte das Fraunhofer AISEC bei
MEDINA die ausgewerteten Evidenzen automatisiert in einen Zertifizierungsstatus. Dafür erweiterte das Forschungsteam die Auswertung des Clouditors auf alle zur Zertifizierung notwendigen Datenquellen, wie z. B. interne Compliance-Vorgaben (Policies) und Software-Anwendungen. Zudem überprüfte das vom Fraunhofer AISEC entwickelte Werkzeug Codyze, ob die eingesetzte Software bestehende Compliance-Vorgaben und Regularien erfüllt. Die Expertinnen und Experten übersetzten die in Textform vorgegebenen Regularien der Zertifizierungen in technische Regeln, anhand derer IT-Werkzeuge wie Clouditor und Codyze die Evidenzen auswerten konnten. Um den Zertifizierungsstatus automatisiert ableiten zu können wurden neben den technischen Auswertungsregeln auch automatisierte Risikobewertungen und statistische Compliance-Kennzahlen genutzt. Die Automatisierung spart Unternehmen Ressourcen, da mögliche Probleme bereits frühzeitig erkannt werden, eine umfangreiche Analyse ermöglicht wird und die gesammelten Evidenzen ggf. auch für andere Zertifizierungen wiederverwendet werden können.

»MEDINA ist ein wichtiger Meilenstein für die Sicherheit in der Cloud. Die Technologien stärken das Vertrauen in Cloud-Dienste und erhöhen die Sicherheit in der digitalen Welt«, sagt Christian Banse, Abteilungsleiter Service & Application Security am Fraunhofer AISEC. »Die Ergebnisse des Forschungsprojekts haben zur europäischen Cloud-Sicherheitszertifizierung beigetragen, die Vertrauenswürdigkeit von Cloud-Services durch die Einhaltung von Sicherheitszertifizierungsschemata verbessert, relevante Interessengruppen zusammengebracht und Europa auf die Sicherheitsherausforderungen der Cloud von morgen vorbereitet. Das Fraunhofer AISEC hat insbesondere bei der Entwicklung der notwendigen Tools einen wichtigen Beitrag geleistet«, fasst Banse die Relevanz der Arbeiten und den Anteil seines Forschungsinstituts zusammen.

Das MEDINA-Konsortium vereint unter der Leitung des europäischen Wissenschaftszentrums TECNALIA die Expertise der Partner Bosch, CNR, Fabasoft, Fraunhofer AISEC, HPE, Nixu und XLAB.