Geopolitische Spannungen lassen Cloud-Computing-Nutzer ihre Strategien überdenken. EUROPA strebt digitale Souveränität an und will die Zertifizierung einfach und schnell machen.
Kosten, Skalierbarkeit, Integrationsfähigkeit, Sicherheit, Support sind wichtige Punkte auf Einkaufslisten für Cloud-Computing-Dienste. Über Abhängigkeiten machen sich Entscheider ebenfalls Gedanken. Sich nicht zu sehr von einem einzelnen Anbieter abhängig zu machen – sogenannte Lock-ins zu vermeiden – und Exitstrategien in der Schublade zu haben, gehört zum Pflichtprogramm. Im Lichte der jüngsten geopolitischen Veränderungen und der neuen US-Regierung bekommt das Thema Unabhängigkeit für viele aber eine weitere Bedeutung: Wie der jüngste Cloud Report des deutschen Branchenverbands Bitkom erhob, überdenken 50 Prozent der über 600 Befragten ihre Cloud-Strategie im Hinblick auf die Entwicklungen in den USA. Mehr als drei Viertel halten Deutschland für zu abhängig von den US-Anbietern. Für 97 Prozent spielt die Vertrauenswürdigkeit in das Cloud-Herkunftsland eine gewisse Rolle, für 67 Prozent (neun Prozent mehr als im Jahresvergleich) ist sie mittlerweile sogar „zwingend“.
Offensichtlich sind allerdings auch die Dominanz der US-amerikanischen Cloud-Dienstleister und das in vielen Segmenten noch immer überschaubare Angebot europäischer Alternativen. Die Wahlfreiheit bleibt ein europäisches Henne-Ei-Problem. Wenn sich zu wenige Unternehmen für lokale Anbieter entscheiden, entwickelt sich kein wettbewerbsfähiger Markt.
Die Vertrauensfrage, ob die eigen Daten und die Infrastruktur sicher betreut und vor Zugriff geschützt sind, wird in Europa über den politischen Rahmen zu Datenschutz und Sicherheit definiert. Eine Reihe von Regularien sorgt dafür, und an die müssen sich auch US-amerikanische Unternehmen halten, die in Europa ihre Dienste anbieten. Sorgen bereitet vielen, dass US-Unternehmen das bei entsprechenden Dekreten des US-Präsidenten „vergessen“ und unberechenbar agieren könnten.
Der Ruf nach mehr digitaler Souveränität wird in Europa hörbar lauter. Das Nachrichtenportal Euractiv berichtet von Überlegungen der EU-Kommission, ihre Dienste von einer amerikanischen auf eine französische Cloud zu ziehen. Entwicklungen, die Björn Fanta, Cloud- und Security-Spezialist und Geschäftsführer der Fabasoft Research, nicht überraschen: „Europa muss die Hoheit über seine sicherheitskritischen Infrastrukturen, Kommunikationsnetze und sensiblen Daten behalten, ohne Abhängigkeit von externen Sicherheitslösungen und außereuropäischen Anbietern“ (siehe untenstehendes Interview).
Wer in der EU Cloud-Dienste anbietet, muss überprüfbar nachweisen, dass die Sicherheitsstandards eingehalten werden, die EU-weit, national oder etwa für bestimmte Sektoren, etwa den sensiblen Finanzbereich, gelten. Für Cloud-Anbieter ist das Führen dieser Zertifizierungsprozesse aufwendig, weil die Verfahren laufend erneuert und angepasst werden müssen.
Im Rahmen des EU-Horizon-Programms wird beim Projekt EMERALD (siehe Kasten) gerade mit elf Partnern aus sechs EU-Ländern erprobt, wie Zertifizierung einfacher und schneller geht. Forschungsinstitute, Konzerne und KMU arbeiten zusammen. Aus Österreich sind das Know Center, das SCCH aus Hagenberg und die Fabasoft dabei, die mit der CaixaBank die Zertifizierung für DORA testet. Experte Fanta ist optimistisch: „Erste Ergebnisse zeigen, dass Audits deutlich schneller und effizienter ablaufen.“ In Europa gibt’s nicht nur garantierte Sicherheit, sondern diese bald auch garantiert schnell.
Das EMERALD-Konzept
EMERALD steht für Evidence Management for Continuous Certification as a Service in the Cloud und ist ein EU-gefördertes Projekt im Rahmen des Horizon-Programms. Ziel ist die Vereinfachung von Sicherheitszertifizierungen. Die Umsetzung als „Certification as a Service“ (CaaS) soll einen benutzerfreundlichen, modularen und sicheren Prüfungsablauf gewährleisten, der agil und automatisiert funktioniert.
BJÖRN FANTA ist Geschäftsführer der Fabasoft Research GmbH und koordiniert in dieser Funktion sämtliche Forschungsprojekte und -kooperationen im Cloud- und Security-Bereich. Fabasoft investiert mehr als 30 Prozent des Umsatzes in F&E und ist auf Platz eins des EY Innovation Index 2024 in Österreich.
© Fabasoft„Audits laufen deutlich schneller ab"
Cloud- und Security-Spezialist BJÖRN FANTA testet neue Zertifizierungsprozesse für Cloud-Computing und berichtet von vielversprechenden Ergebnissen.
Die Kürzel DORA und NIS sind mittlerweile bekannt, den Cloud Act kennen viele auch schon. Aber EMERALD kennen vermutlich wenige. Was bringt EMERALD?
EMERALD ist ein im Rahmen von Horizon Europe gefördertes EU-Projekt, das die Art und Weise, wie Cloud-Anbieter in Europa Sicherheitszertifizierungen erlangen, grundlegend verändern soll. Ziel ist die Etablierung von „Certification as a Service“ (CaaS). Das heißt: Ein benutzerfreundliches, modulares und sicheres Framework unterstützt Cloud-Anbieter bei der kontinuierlichen Auditierung ihrer Dienste. Dass dabei alle Beteiligten – Cloud-Dienstleister, User sowie Prüfungsinstanzen – eingebunden sind, macht eine agile, automatisierte Rezertifizierung möglich. Das ist ein wichtiger Schritt für die digitale Souveränität Europas.
Wer einmal zertifiziert ist, spart sich in der nächsten Runde das komplette Programm und muss nur Anpassungen nachweisen. Ist das vereinfacht treffend beschrieben?
Nicht ganz, aber im Kern trifft es das Prinzip. Zentrum des ganzen Prozederes ist der sogenannte Orchestrator, über den der Zertifizierungsprozess technisch läuft. Hier speisen Cloud-Anbieter automatisiert Nachweisanalysen, sogenannte Audit-Evidenzen, ein. Über eine Benutzeroberfläche – das EMERALD UI – werden die Anwender: innen Schritt für Schritt durch den Auditprozess geführt: von der Datenerhebung über die Systemabgrenzung bis hin zur finalen Zertifizierungsentscheidung. Parallel gibt es spezialisierte Module bzw. Bausteine, welche die digitalen Workflows der „Echtzeit-Zertifizierung“ unterstützen.
Bausteine? Echtzeit-Zertifizierung? Das klingt doch wieder kompliziert.
Einer dieser Bausteine ist etwa das Verzeichnis von Sicherheitsanforderungen, welches vordefinierte Kontrollen und Metriken enthält, die im späteren Auditprozess individualisiert werden können. Ein anderer Baustein ist ein Werkzeug, das automatisch Nachweise aus Dokumenten extrahiert und allen am Audit beteiligten Personen Vorschläge zum Auditstatus gibt. EMERALD lenkt ihren Blick also auf das Wesentliche. Die Echtheit-Zertifizierung wiederum sichert die Auditnachweise fälschungssicher und langfristig auf Basis von Blockchain-Technologie. Sicherheit für die Ewigkeit.
Das klingt nach einem wasserdichten überzeugenden Sicherheitskonzept. Was bringt es den Teilnehmenden von EMERALD tatsächlich an Effizienz? Ist das schon abschätzbar?
EMERALD kann den zeit- und arbeitsintensiven manuellen Aufwand bei Zertifizierungen erheblich reduzieren. Ein Projektmeilenstein ist, das Framework anhand von realen Anwendungsfällen zu validieren. Fabasoft und die CaixaBank testen beispielsweise den Zertifizierungsprozess im Kontext der DORA-Regulierung. Erste Ergebnisse zeigen, dass Audits deutlich schneller und effizienter ablaufen. EMERALD bringt nicht nur eine Vereinheitlichung der Sicherheitsstandards, sondern schafft auch eine unabhängige europäische Infrastruktur für Auditierung und Zertifizierung, die höchste Sicherheitsanforderungen erfüllt. Cloud-Anbieter, die sich an diesem EU-Projekt beteiligen, profitieren zudem vom praxisnahen Austausch mit führenden Forschungseinrichtungen und Industriepartnern, was Innovationen und Wettbewerbsfähigkeit fördert sowie die Marktchancen erhöht – und damit wesentlich zur digitalen Souveränität Europas beiträgt.
EMERALD ist ein weiterer Baustein, auf dem Europa seine digitale Souveränität aufbauen kann. Warum ist das heute so relevant?
Europa muss die Hoheit über seine sicherheitskritischen Infrastrukturen, Kommunikationsnetze und sensiblen Daten behalten, ohne Abhängigkeit von externen Sicherheitslösungen und außereuropäischen Anbietern. Wenn wir innovative, eigene Methoden für Cybersecurity entwickeln und etablieren – etwa automatisierte Audits oder Blockchain-basierte Integritätsnachweise –, verringert das Abhängigkeiten, stärkt die Widerstandsfähigkeit gegen Angriffe und sichert gleichzeitig die Kontrolle über die digitalen Wertschöpfungsketten in Europa.
