2006 wurde Cloud Computing erstmals theoretisch behandelt. Seitdem ist der Einsatz von Cloud-Technologien bei IT-Dienstleistungen zu einer bedeutsamen Größe geworden. Doch während sich standardisierte Prozesse und Infrastrukturen herausgebildet haben, wie eine Cloud zu betreiben ist, sieht das bei der Sicherheit noch etwas anders aus. „Beim Cloud-Computing existiert noch kein etabliertes Mindestmaß an Sicherheit, sondern ein Potpourri an Standards und Zertifikaten, die beim Kunden für Verwirrung sorgen“, bemängelte Dr. Patrick Grete vom BSI bei der CeBIT. Das BSI wolle dem effektiv entgegenwirken, indem es in einem Katalog klare und prüfbare Anforderungen vorgebe.

114 Anforderungen sollen Klarheit schaffen

Das BSI bediente sich bei der Erstellung seines Anforderungskatalogs überwiegend aus bereits vorhandenen Standards und konkretisierte dort, wo dies sinnvoll bzw. notwendig erschien. Erfüllen Cloud-Dienstleister die 114 Anforderungen, dann erlangen sie ein international anerkanntes Testat. Der Katalog hält neben den Basisanforderungen gegebenenfalls weiterführende Anforderungen bereit. So können unterschiedliche Sicherheitsbedürfnisse berücksichtigt und bescheinigt werden. Etwa wenn physikalische Zutrittskontrollen in Rechenzentren einer sogenannten Zwei-Faktor-Authentifizierung unterliegen.

Wirtschaftsprüfer untersuchen Wirksamkeit der Maßnahmen

Die Prüfung durchführen und das Ergebnis bestätigen sollen Wirtschaftsprüfer. Das BSI entschied sich laut Dr. Grete zu dieser Vorgabe, da viele Unternehmen ohnehin gesetzlich dazu verpflichtet seien, ihre Jahresabschlussprüfung von Wirtschaftsprüfern durchführen zu lassen. Da dies auch die Prüfung der IT-Systeme umfasse, könnten Synergieeffekte genutzt werden. Der Wirtschaftsprüfer habe vor allem darauf zu achten, dass sicherheitsrelevante Prozesse bei Cloud Anbietern nicht nur vorhanden und etabliert seien, sondern vor allem wirksam. „Dazu werden bei der Prüfung aller Anforderungen konkrete Fälle aus der Praxis des Anbieters betrachtet“, konkretisierte Dr. Grete. Der klar formulierte Anforderungskatalog setze dem Prüfer bei seiner Bewertung des Cloud-Dienstleisters im Übrigen enge Grenzen. Letztlich müssten seine Prüfergebnisse einer gerichtlichen Überprüfung standhalten können.

Umfeldparameter sorgen für Transparenz

Das Ziel des BSI ist es, ein vertrauenswürdiges Sicherheitsniveau zu erlangen. Um eine kundenfreundliche Transparenz herzustellen, sind im Anforderungskatalog sogenannte Umfeldparameter enthalten. Sie tragen eine Fülle an Details zusammen. Etwa, wo die Daten tatsächlich vorgehalten werden, wie der Dienst konkret erbracht wird, wo der Gerichtsstand ist, welche Zertifizierungen bereits erlangt wurden und wie die Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen sind. Die Offenlegung solcher Informationen soll Cloud-Dienste transparenter machen. Unterauftragnehmer sind entweder komplett durch den Wirtschaftsprüfer mitzuprüfen oder der Cloud-Anbieter vereinbart mit dem Unterauftragnehmer, dass sich dieser regelmäßig in einem separaten Verfahren durch einen Wirtschaftsprüfer testieren lässt.

Fragenkatalog soll weiterentwickelt werden

Dr. Grete stellte bei der CeBIT abschließend klar, dass der Fragenkatalog ein lebendes Dokument darstelle, das regelmäßig fortgeschrieben und kontrolliert werde. Dabei ermunterte er ausdrücklich die Mitglieder der Cloud-Community daran mitzuwirken.

Die D-A-CH-Security ist so etwas wie die Leistungsschau der IT-Sicherheit im deutschsprachigen Raum. Einmal im Jahr stellen hier Industrie, Verwaltung und Wissenschaft neue Technologien und Konzepte vor, mit denen sich die immer vielfältigeren Risiken für Datensicherheit und Datenschutz in den Griff bekommen lassen. Ein Feld, das rasant an Bedeutung gewinnt. Spätestens seitdem Verteidigungsministerin Ursula von der Leyen die Errichtung eines Cyber-Kommandos angekündigt hat.

In diesem Jahr war die Hochschule Bonn-Rhein-Sieg in Sankt Augustin vom 8. bis 9. September Gastgeber der Veranstaltung. Erstmals dabei: die Allianz für Cyber-Sicherheit, eine Initiative des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die BSI-Experten erklärten in ihren Vorträgen unter anderem, wie sich Schwachstellen in Web-Applikationen erkennen lassen und welche Sicherheitsstandards mobile Messenger-Dienste erfüllen sollten.

Vom Fraunhofer Institut bis hin zu Porsche

Insgesamt 38 Präsentationen und Workshops zeigten den Status quo der Forschung rund um Cloud- und Big-Data-Security, Identifikations- und Biometrie-Verschlüsselung sowie mobile und Netzwerksicherheit. Ein besonderes Augenmerk lag in diesem Jahr auf dem Internet der Dinge (Internet of Things, IoT): Millionen vernetzter Geräte schaffen nicht nur in der industriellen Fertigung völlig neue Möglichkeiten, sondern halten in jeden Lebensbereich Einzug – etwa im „Connected Car“, vorgestellt von Porsche. Neben allen Vorteilen der zunehmenden Vernetzung im Alltag, öffnen sich damit potenziell auch unüberschaubare Einfallstore für Datenmanipulation und -diebstahl, die es zu schließen gilt.

Seit 2003 organisiert die Forschungsgruppe Systemsicherheit (syssec) der Alpen-Adria-Universität Klagenfurt (Österreich) die Konferenz, jährlich an wechselnden Austragungsorten. Die nächste Veranstaltung ist bereits in Planung: Am 26. und 27. September 2016 diskutieren die Teilnehmer in Klagenfurt selbst.

Mehr Informationen unter www.syssec.at/dachsecurity2015

Die Auftaktrede des Bundesinnenministers gab die Richtung des 14. IT-Sicherheitskongresses vor. Und der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Michael Hange, ging sie konsequent weiter. Für ihn müssten insbesondere kleine und mittelständische Unternehmen ihre IT-Sicherheit endlich in den Griff bekommen.

Den Grundschutz reformieren

Die Angriffe auf IT-Infrastrukturen werden nicht nur häufiger, sondern auch komplexer. Gleichzeitig steigt die Abhängigkeit der Unternehmen, der Politik und der Bürger von funktionierender Informationstechnik. Das wussten auch die rund 600 Teilnehmer des Kongresses, der alle zwei Jahre vom BSI veranstaltet wird. Drei Tage lang diskutierten sie über den Stand der nationalen und internationalen Entwicklung zur IT-Sicherheit unter dem Motto „Risiken kennen, Herausforderungen annehmen, Lösungen gestalten“. Ihr Ziel: Das Thema „Sicherheit“ aus unterschiedlichen Blickwinkeln beleuchten und Lösungsansätze vorzustellen und weiterzuentwickeln.

Einer dieser Ansätze liegt in der Reformierung des IT-Grundschutzes, meint Hartmut Isselhorst vom BSI. Dieser müsse umfassend vereinfacht werden. Statt Bausteinen mit mehreren Hundert Seiten Text soll in Zukunft zu jedem Katalogpunkt, sei es Infrastruktur, Netze oder Anwendungen eine zehnseitige Zusammenfassung reichen. So wäre die Geschäftsführung betroffener Unternehmen über alle notwendigen Maßnahmen angemessen informiert. Die technischen Details können die mit der Umsetzung beauftragten Experten aus den weitergehenden Dokumentationen beziehen.

Den Nachwuchs fördern

Viel Hoffnung liegt auf dem Nachwuchs. So vergibt das BSI seit fünf Jahren immer zum Abschluss des Kongresses den Best Student Award. Der ging in diesem Jahr an Andreas Fießler von genua mbH. Sein Beitrag zum Thema „HardFIRE – ein Firewall-Konzept auf FPGA-Basis“ überzeugte die Jury aus IT-Sicherheitsexperten. Darin lieferte Fießler einen innovativen und praxisorientierten Lösungsansatz für das immer drängendere Problem aktueller Firewalls, dem wachsenden Datenvolumen durch die stetig steigende Bandbreite zu begegnen.

Menschen wie Andreas Fießler machen Mut für den Umgang mit künftigen Herausforderungen in der IT-Sicherheit. Bleibt zu hoffen, dass es den IT-Sicherheitsexperten darüber hinaus gelingt, die Bevölkerung für digitale Risiken und einen sicheren Umgang mit diesen zu sensibilisieren.