News

Den aktuellen Stand der bisherigen Projektergebisse finden Sie in unserer neuen Management Summary:


März – Mai 2017


Am 27. Und 28. April wurde in Kassel ein Workshop abgehalten, bei dem alle NGCert-Projektpartner beteiligt waren.  Viele Themen standen auf dem Programm.

(1) Welchen Mehrwert bietet die dynamische Zertifizierung? Aus den verschiedenen Perspektiven der beteiligten Akteure zukünfigten des NGCert-Ökosystems (Cloud Service Kunden und Provider, Zertifizierungsstelle und Auditoren) sind die Mehrwerte einer dynamischen Zertifizierung zusammengetragen worden. Die Projektpartner waren sich einig: langfristig werden sich gerade vor dem Hintergrund der neuen Datenschutz-Grundverordnung (EU) 2016/679 (DS-GVO) die Zertifizierungsverfahren für Cloud Provider verändern. Dynamische Prüfdienste, wie sie von NGCert angedacht sind, könnten die aufwendigen Zertifizierungsverfahren von heute ablösen, für mehr Effizienz bei den Providern sorgen und für eine bessere Transparenz bei den Cloud Service Kunden sorgen. Um nur einige der Mehrwerte dynamischer Zertifizierungsverfahren aufzuführen.

(2) Die letzte Phase des Projekts hat begonnen. Die erzielten Forschungsergebnisse werden nun noch einmal praktisch im Rahmen eines Feldpartnertests verifiziert. Der Feldpartnertest baut auf dem bereits abgeschlossenen Proof-of-Concept auf, bei dem gezeigt werden konnte, dass die entwickelten Messverfahren und Metriken in typischen Systemumgebungen eines Cloud Providers einsatzfähig sind und die gewünschten Nachweise zur Datenschutzkonformität und Statusanzeigen aktueller Servicequalitäten automatisiert und dynamisch liefern. Im Feldpartnertest sollen insbesondere Fragestellungen zur Machbarkeit und Integration dynamischer Prüfverfahren in die bestehende Systemumgebung eines Cloud Providers beleuchtet und beantwortet werden.  Im Rahmen des Workshops wurde der Programmablauf vorbereitet und die Auswahl geeigneter Feldpartner besprochen.

(3) Es wurde entschieden, die Forschungsergebnisse zugänglich zu machen und in Buchform als Print- und Online-Version zu publizieren. Das Erscheinungsdatum ist bereits für Oktober 2017 geplant. Die Veröffentlichung richtet sich an Leser ohne besondere Vorkenntnisse.


Februar 2017


NGCert auf der 13. Internationalen Tagung Wirtschaftsinformatik
Vom 12. bis 15. Februar fand die 13. Internationale Tagung Wirtschaftsinformatik (WI2017) in St. Gallen in der Schweiz statt. Die WI2017 bietet einen Austausch über aktuelle IT-Trends und Networking mit Vertretern aus Forschung & Praxis. Das Konsortium von NGCert konnte auf der WI2017 zwei interessante wissenschaftliche Artikel über die (dynamische) Zertifizierung von Cloud-Services vorstellen. In der anschließenden Diskussion wurde das Konzept der dyn. Zertifizierung von der Technischen Universität München und der Universität Kassel sowie weiteren Wissenschaftlern und Vertretern aus der Praxis, darunter auch Wirtschaftsprüfer, heiß diskutiert. Die veröffentlichten Forschungsartikel können in der Download-Rubrik heruntergeladen werden.


Januar 2017


Am 10.1.2017 trafen sich in den Räumlichkeiten des eco e.V. Teilnehmer mehrerer Cloud-Provider und Auditoren, um den aktuellen Stand des NGCert Projektes zu diskutieren. Unter anderem wurde von den Projektpartner der aktuelle Stand des Prototyps, sowie zukünftige Planungen vorgestellt. Die Ergebnisse des Workshops werden in aufbereiteter Form in Kürze auf der ngcert.de-Homepage zur Verfügung gestellt werden.

Des Weiteren wurde vom Projektpartner Uni Kassel ein Leitfaden zur rechtssicheren Umsetzung von NGCert erstellt. Es handelt sich hierbei um ein aktiv-weiterentwickeltes Dokument, welches fortlaufend entsprechend des Forschungsfortschritts aktualisiert wird. Die derzeit aktuelle Version (Januar 2017) findet sich hier zum Download.


Dezember 2016


Entwicklung Leitfaden

Mit dem Ziel die Praktikabilität für den Anwender zu erhöhen, wird aktuell ein Leitfaden entwickelt, der den unterschiedlichen, am dynamischen Zertifizierungsverfahren Beteiligten Umsetzungshinweise liefern wird. Dabei werden die Voraussetzungen auf Seiten der Zertifizierungsstelle, des zu zertifizierenden Cloud-Anbieters und des Cloud-Nutzers in Bezug auf die Auftragsdatenverarbeitung sowie der Datenschutzbeauftragten berücksichtigt. Die Ausarbeitung basiert auf der geltenden nationalen sowie der künftigen Rechtslage. Ab dem 25. Mai 2018 wird die Datenschutz-Grundverordnung (EU) 2016/679 die Datenschutz-Richtlinie 95/46/EG aufheben und unmittelbar in allen Mitgliedsstaaten gelten. Gleichzeitig wird ein Großteil der nationalen Datenschutzregelungen, insbesondere auf dem Gebiet der Auftragsdatenverarbeitung, nicht mehr anwendbar sein. Der Leitfaden wird die damit einhergehenden Veränderungen berücksichtigen, soweit diese derzeit absehbar sind. Die in einer umfassenden Untersuchung ermittelten Risiken für die Beteiligten gilt es möglichst auszuschließen. Dazu wird in der gebotenen Kürze auf die vorzuhaltenden organisatorischen Konzepte eingegangen und technische Maßnahmen erläutert, die zur Risikominimierung erforderlich sind. Der Leitfaden wird zeitnah auf dieser Homepage zum Download zur Verfügung stehen.

Experimentelle Untersuchung des Nutzens einer dynamischen Zertifizierung

Ferner hat die TU München zusammen mit Fujitsu ein Experiment zur Evaluation des Nutzens einer dynamischen Zertifizierung abgeschlossen, an dem zahlreiche Cloud-Entscheider teilgenommen haben. Erste Analysen zeigen auf, dass ein erheblicher Vertrauensgewinn durch dynamische Zertifikate erzielt werden kann.


November 2016


NGCert Konsortialtreffen in München: Diskussion und Weiterentwicklung der Konzepte, Prototypen und Prozessbeschreibungen

Am 10. und 11.11.2016 fand das Konsortialtreffen zum Abschluss der zweiten Iteration des NGCert Forschungsprojekts statt. Alle Konsortialpartner wurden in Garching bei München herzlich willkommen geheißen, um den Stand der erarbeiteten Konzepte, Prototypen und Prozessbeschreibungen vorzustellen und intensiv zu diskutieren.

Unter anderem wurde ein Konzept besprochen, welches die maschinenbasierte Auswertung von Zertifikaten ermöglicht. Die entsprechenden Ergebnisse können in der Veröffentlichung „Datenschutz durch maschinenlesbare Zertifizierung mittels XBRL“ zum IT-Gipfel in Saarbrücken eingesehen werden.

Zudem wurde ein voll funktionsfähiger Prototyp präsentiert, welcher es Cloud-Auditoren in Zukunft ermöglicht, die Geolokation der Datenverarbeitung und die Verfügbarkeit von Cloud-Diensten zu messen und darzustellen. Um die Arbeiten der Cloud-Auditoren zu unterstützen, wurden weiterhin Prozesse aufbereitet, welche die Verwendung des Prototyps bei der Zertifizierung von Cloud-Diensten beschreibt.


Oktober 2016


Die Phase des Proof-of-Concepts (PoC) ist Ende September 2016 erfolgreich abgeschlossen worden. Wir haben großen Wert darauf gelegt, die Testumgebung und Testverfahren des PoC praxistauglich zu gestalten:

Auswahl relevanter Anwendungsfälle adressiert die mit der Cloud Nutzung verbundenen Unsicherheiten aller potenziellen Cloud Nutzer
Die Testverfahren fokussieren auf die vordringlichsten Fragestellungen potenzieller Cloud Service Nutzer: Verfügbarkeit im Sinne einer Kontrollfähigkeit, Geo-Lokation der Systeme und Daten sowie die Überprüfung konformer Einstellungen im Bereich Access-Control und Auswertung des Logmechanismus für verschiedene Zugangsszenarien.

Verteilung der Prüfobjekte weltweit eröffnet eine Anwendbarkeit für lokal und global aufgestellte Cloud Provider
Im PoC sind Testobjekte verwendet worden, die auf der ganzen Welt verteilt sind: Deutschland und UK, Australien, Asien und Nordamerika. Ergebnisse der Prüfverfahren können online im Dashboard verfolgt und nachvollziehbar gezeigt werden.

Verwendung praxis-relevanter Cloud-Managementplattformen adressiert im Grundsatz die Betriebsorganisation aller Cloud Provider
Cloud Provider setzen für die automatisierte Bereitstellung und Steuerung der Cloud Services im Kern zwei verschiedene Typen von Cloud-Managementplattformen ein: die einen bauen auf die Innovationskraft von Open Source Software Communities, die anderen setzen kommerzielle Software ein. In unserem PoC haben wir beide Richtungen berücksichtigt und Prüfverfahren für Openstack, der prominenteste Vertreter für Open Source Cloud Software, und für Managementplattformen kommerzieller Hersteller entwickelt.

Kombination von innovativen Technologien und automatisierten Prüfverfahren zeigt das Potenzial für neuartige wertschöpfende Prüfverfahren
Der Mix aus innovativen Messmethoden auf Basis algebraischer Algorithmen (Stichwort Big Data) und automatisierte Messverfahren zur Nachweiserbringung regulatorischer und rechtlicher Anforderungen stellt die Machbarkeit für dynamische Zertifizierung im Kern unter Beweis, die (manipulations-)sicher und zuverlässig ist.


Juli – September 2016


Die Monate Juli, August und September standen ganz im Zeichen der Vorbereitung für zahlreiche Events und Workshops:

  1. Internet Security Days (ISD) 2016 – 22-23.09.2016 – Vorstellung von NGCert am 23.09.2016 um 9:30
  2. Workshop für Auditoren und Provider in Köln am 28.09.2016
  3. it-sa 2016 18.-20.10.2016 – Vorstellung des Clouditor, einer aus NGCert hervorgegangenen Lösung durch Fraunhofer AISEC in Halle 12.0 / Stand 462

Darüber hinaus wurde ein Verfahren entwickelt, dass die kontinuierliche Prüfung der Geolokation von Cloud Services ermöglicht. Dieses Verfahren wird nun im Feldtest mit Fujitsu, unterstützt durch die Universität Passau, erprobt. Mit Blick auf die Messung von Verfügbarkeit sowie Quality of Service, führt das Fraunhofer AISEC aktuell umfangreiche Untersuchungen zur Performanz einzelner Prüfverfahren durch.


Juni 2016


EuroCloud Deutschland Conference und Projekttreffen

Auf der EuroCloud Deutschland Conference am 1. Juni in Köln haben Vertreter des NGCert-Konsortiums das Projekt vorgestellt. Es ergaben sich spannende Gespräche mit Praktikern aus Politik und Wirtschaft. Die Präsentation von NGCert finden sie auf prezi.com (externer Link).

Am 9. und 10. Juni trafen sich die Projektpartner in Räumen der Fujitsu in Berlin. Zur Halbzeit des Projekts wurden Ergebnisse resümiert, offene Fragen und weitere Schritte besprochen. Intensiv wurden verschiedene Use Cases diskutiert und präzisiert. Der Fokus lag dabei einerseits auf der Praxisrelevanz und andererseits darauf, wissenschaftlich „interessante“ Fallkonstellationen zu beurteilen. Inhaltlich gilt es den sog. Semantic Gap zwischen abstrakten Kontrollen und dezidierten technischen Prüfungsmethoden zu verringern: Um auf möglichst viele herkömmliche Zertifizierungskataloge anwendbar zu sein, muss einerseits die eigens entwickelte NGCert-Kontrolle abstrakt bleiben. Eine Konkretisierung der Kontrolle sollte nur erfolgen, soweit keine Einbußen für ihre Verwendbarkeit in herkömmlichen Zertifizierungskonzepten zu befürchten sind. Andererseits sind Messmethoden häufig auf konkrete (Teil-)Aspekte beschränkt, so dass eine zu abstrakte Kontrolle häufig nicht gänzlich abgedeckt werden kann. Eine Binnenpräzisierung der NGCert-Kontrollen wurde als Lösung favorisiert. Ob die kontinuierliche automatisierte Überprüfung einer solchen Unterkategorie im Einzelfall ein Zertifizierungskriterium zu erfüllen vermag, wird eine Befragung von Auditoren ergeben, die im Rahmen eines geplanten Workshops erfolgen wird.

Neben konstruktiven Diskussionen einigten sich die Projektpartner auf eine konkrete Zeitplanung und klärten Abhängigkeiten ab. Neben den angesprochenen Anwendungsszenarien soll der proof-of-concept im vierten Quartal 2016 präsentierbar sein.


April 2016


Cloud Entscheider wurden Befragt: Welche Kriterien sind für die Selektion des Cloud Service Providers entscheidend?

Die Auswahl eines geeigneten Cloud Service Provider ist eine der wesentlichen Herausforderungen, welche die spätere Cloud Sourcing Performance beeinflusst.

Damit NGCert auch die relevanten Informationen bereitstellt, haben wir eine iterative Umfrage (Delphi Study) durchgeführt und eine Priorisierung der wesentlichen Entscheidungskriterien vorgenommen. Die 16 Cloud Entscheider sind zum Schluss gekommen, dass die Top 5 Kriterien Funktionalität, Rechtskonformität, vertragliche Rahmenbedingungen, Standort der Server und Flexibilität sind.

Die genauen Ergebnisse werden auf der European Conference on Information Systems (ECIS) 2016 in Istanbul unter dem Titel „What are the most important criteria for cloud service provider selection? A Delphi study“ vorgestellt.

Bei weiterem Interesse freuen wir uns mit Ihnen in Kontakt zu treten.


Januar 2016


NGCert – jetzt kommt der Praxistest!

Das neue Jahr beginnt mit einer großen Herausforderung. Nach einem intensiven Jahr zur Klärung der vielfältigen Aspekte zur Sicherstellung der methodischen, technischen und rechtlichen Anforderung für eine dynamische Zertifizierung starten wir nun in den konkreten Praxistest. Hierbei stehen die folgende drei Prüfbereiche im Fokus:

  • Verfügbarkeit

Unsere Analyse hat ergeben, dass dieser Begriff sehr auslegungsfähig ist und in der konkreten Anwendung weitestgehend auf die grundlegende Verfügbarkeit eines Rechenzentrums reduziert wird. Bei genauer Betrachtung muss der Begriff aber mit der konkreten Kontrollfähigkeit der gebuchten Dienste verbunden werden. Aus Kundensicht genügt die simple Erreichbarkeit einer IT Ressource nicht als Leistungserfüllung, sondern nur die volle funktionale Nutzung. Bei der Nutzung eines Infrastrukturdienstes ist somit die volle Funktionalität der virtuellen Maschinen wichtiger als die Erreichbarkeit der übergeordneten System- und Konfigurationsbereiche.

In der ersten Iteration werden also Messverfahren für die Erreichbarkeit der Systemumgebung, der funktionalen Nutzung der Administrationsebene (Hypervisor oder WebServices) und der virtuellen Instanzen mittels einfacher Funktionstest (z.B. Scriptausführung und Performancemessung) erarbeitet.

  • GEO Lokation

Aus der aktuellen Diskussion in Bezug auf die Datenschutzanforderungen und die Problematik zu Sondervereinbarungen (wie z.B. Safe Harbour) ist die Frage zur GEO Positionierung von Kundendaten von besonderer Bedeutung. Da in der Konfigurationsumgebung die Verschiebung von Daten über das Internet oder auch interne multinationale Netzwerke technisch sehr leicht durchführbar sind, ist das Risiko für die Verletzung regulatorischer Vorgaben durchaus gegeben. Durch ein konsequentes Management der Zuordnung von Systemadressen mit GEO Bereichen (Land, Region, definierter Wirtschaftsraum) und der parallelen Plausibilitätsprüfung über entsprechende Kontroll- und Messverfahren entsteht ein wichtiger Mechanismus zur Einhaltung der Compliancevorgaben.

  • Identity Management und Access Control

Der konsequenten Überwachung von Zugriffen auf kritische Bereiche kommt eine weitere wichtige Rolle zu. Und zwar im Detail auf definierte Rollen, weitere Anforderungen zu Authentifizierungsverfahren und dem Password Management. Durch Messung dazu werden grundlegende Inkonsistenzen in Bezug auf Sicherheitsanforderungen aber auch Auffälligkeiten im laufende Betrieb erkennbar. Damit ist es ein wichtiges pro aktives Element bei der Risikominimierung und der Vermeidung kritischer Sicherheitsvorfälle.

Begleitend wird es eine weitere Herausforderung für das Projektteam sein, die Messverfahren im Kontext von etablierten Zertifizierungsverfahren zu dokumentieren. Viele Kontrollanforderung sind nicht eins zu eins in Bezug auf technische Messverfahren formuliert. Am Beispiel des EuroCloud Star Audit werden diese Bezüge initial konkret erarbeitet aber natürlich wird auch ein Bezug zu weiteren Zertifizierungssystemen wie zum Beispiel der ISO Reihe (27001/27018), dem CSA Ansatz und besonders auch dem parallel in der Evaluierung befindlichen Trusted Cloud Datenschutzprofil aus dem BMWi Trusted Cloud Technologieprogramm erarbeitet.


Dezember 2015


NGCert Konsortialtreffen – ein voller Erfolg!

Am 03. und 04.12.2015 fand das NGCert Konsortialtreffen in DECIX, Frankfurt, statt.

Am ersten Tag des Treffens stand die Planung für die Iteration 2 und die bevorstehenden Herausforderungen, sowie die Abstimmungen der geplanten Architektur und des Demonstrators im Vordergrund. Jeder der Partner hat die eigenen Ergebnisse und die Planung für die kommende Iteration vorgestellt.

Am zweiten Tag fanden zwei Workshops statt. Der erste Workshop drehte sich um den Zertifizierungsprozess und die Möglichkeiten einzelne Schritte zu automatisieren. Dabei wurden die Vorarbeiten in diesem Umfeld vorgestellt und Feedback der Partner eingeholt. Der zweite Workshop hatte zum Ziel die Abstimmung der Anwendungsfälle. Aus den beiden Workshops wurden diverse Aufgaben abgeleitet, die in den nächsten Monaten abgearbeitet werden sollten.

Das Konsortialtreffen zeichnete sich durch sehr hohes Engagement aller Teilnehmer und konstruktive Diskussionen aus. Das unterstreicht die sehr gute Zusammenarbeit im Projekt.


NGCert in den Medien


November 2015


Gemeinsam, hoch motiviert und interdisziplinär in ein zweites Forschungsjahr aufbrechen!

Unter Anwendung eines bewährten methodischen Vorgehens wurde ein Katalog von Kontrollen entwickelt, die im Rahmen eines Verfahrens dynamischer Zertifizierung (teil-)automatisiert überprüft werden könnten. Die Herleitung lässt sich bis auf das Grundgesetz und die Rechtsprechung des Bundesverfassungsgerichts zurückverfolgen. Im weiteren Vorgehen wird dieser Katalog im interdisziplinären Diskurs weiterentwickelt und konkretisiert. Dabei wird eine später weiter zu vertiefende Auswahl getroffen und mögliche Gestaltungen herausgearbeitet. Dieses Vorgehen zielt darauf ab, Vergleichbarkeit zwischen den unterschiedlichen Zertifizierungskatalogen, die derzeit Anwendung finden, herzustellen. Denn nur so wird NGCert den gewünschten Erfolg erzielen und auf möglichst viele Zertifizierungsverfahren angewendet werden können.

Die (teil-)automatisierte Überprüfung setzt unter anderem voraus, dass sich das Vorliegen oder Nichtvorliegen des jeweiligen hinter der Kontrolle stehenden Kriteriums anhand einer Kennzahl darstellen lässt und die genannte Feststellung das Tätigwerden eines Menschen (möglichst) nicht erfordert. Diese beiden Aspekte sind folglich maßgeblich für die Auswahl der exemplarisch weiter zu verfolgenden und zu konkretisierenden Kontrollen. Ziel der Weiterentwicklung ist es, anhand einiger Beispiele die automatisierte Überprüfung einzelner Aspekte darzustellen, die der Rechtsordnung entsprechen und damit ihre Legitimation erhalten.

Am 3. und 4. Dezember ist ein Konsortialtreffen in Frankfurt geplant, bei dem die bisherigen Ergebnisse vor- und im Kreise der Projektpartner entweder im Plenum oder in kleineren Einheiten zur Diskussion gestellt werden sollen. Dabei werden offene Fragen, die sich dem einzelnen stellen ebenso behandelt werden, wie gemeinschaftlich zu entwickelnde Aspekte der zweiten Iteration. Inhaltlich werden beispielsweise Fragen des Vertrauens und der Akzeptanz eine Rolle spielen. Auch sollen unter anderem der Zertifizierungsprozess und ein Prototyp diskutiert und weiter evaluiert werden. Hintergrund des Treffens ist die Fortführung einer starken und konstruktiven Interdisziplinarität, die sich in der Vergangenheit als sehr fruchtbar erwiesen hat.


Oktober 2015


Unterstützen Sie die Wissenschaft und nehmen Sie an unserer Umfrage zur Vertrauensbildung in Cloud-Services teil!

Die Allgegenwärtigkeit von vernetzter Informationstechnik ist einer der Haupttreiber aktueller Digitalisierungsvorhaben und entsprechend sind Cloud-Services einer der zentralen Forschungsgegenstände für Praxis und Wissenschaft. Aus der Vergangenheit wissen wir, dass der Nutzen neuer Systeme nur dann gehoben werden kann, wenn sie auch genutzt werden. Einer der zentralen Treiber für die Nutzung von IT Innovationen ist das Vertrauen der Nutzer in die neuartigen Systeme.

Um die Mechanismen der Vertrauensbildung in Cloud-Services besser zu verstehen und zugleich eine solide empirische Basis für das Projekt zu finden, führen wir aktuell eine Umfrage durch.

Die Teilnahme an dieser Umfrage beansprucht nicht mehr als 12 Minuten. Zielgruppe sind alle IT-Entscheider und Entscheidungsbeeinflusser, die bereits im professionellen Kontext Cloud Services verwenden oder in (naher) Zukunft vorhaben, sich für einen Cloud-Service zu entscheiden.

Neben den Ergebnissen der Umfrage, freuen wir uns Ihnen bei Bedarf auch individuelle Analyseergebnisse bereit zu stellen.

Herzlichen Dank für Ihren Beitrag zur Wissenschaft unter www.ngcert.de/survey


September 2015


Erster NGCert Newsletter wurde veröffentlicht!

Zum Newsletter

Mehr als nur ein Logo: Dynamische Zertifizierung als umfassende Informationsquelle

Im klassischen E-Commerce werben Anbieter mit Zertifikatslogos auf ihren Websites. Diese Logos enthalten meist jedoch keine oder nur eine geringe Anzahl an brauchbaren Informationen über die Zertifizierung selbst, sodass sie der Zielgruppe oft keinen entscheidenden Mehrwert bieten können. Somit ist es für Kunden meist unverständlich, warum ein Anbieter ein Zertifikat erhalten hat. Dies hat zur Folge, dass die angestrebte Wirkung einer Zertifizierung, wie bspw. erhöhtes Vertrauen, wahrgenommene Sicherheit oder Entscheidungsunterstützung, nicht im vollen Maße erreicht werden kann. Die angemessene und detaillierte Darstellung von Zertifikatsinformationen nimmt daher eine entscheidende Rolle ein. Insbesondere durch eine dynamische Zertifizierung können eine Vielzahl von Informationen über einen Anbieter und seiner Zertifikatseinhaltung zur Verfügung gestellt werden. Im Rahmen von NGCert muss daher spezifiziert werden, wie ein dynamisches Zertifikat dargestellt werden kann, um einen möglichst hohen Grad an wahrgenommener Sicherheit, Vertrauen und Entscheidungsunterstützung zu erzeugen.

Für eine optimale Darstellung stützt sich die Universität zu Köln im Rahmen ihrer Forschung auf bewährte Theorien der menschlichen Informationsverarbeitung und Überzeugungskraft aus Psychologie, Sozial- und Computerwissenschaften. Darauf aufbauend wird ein möglichst optimales Design für Zertifikatsdarstellungen entwickelt. Die Wirksamkeit dieses Designs wird zukünftig im Rahmen von Online-Experimenten überprüft. Wir sind daher auf der Suche nach interessierten Teilnehmern, die dazu beitragen möchten, eine neue Generation von Zertifikaten zu erschaffen. Bitte wenden Sie sich an Sebastian Lins (Universität zu Köln), lins@wiso.uni-koeln.de, falls wir Ihr Interesse wecken konnten.


August 2015


Vielfältige Forschungsstränge in Bezug auf die dynamische Zertifizierung

Neben den fortlaufenden Arbeiten am Arbeitspaket 4, welches unter anderem eine Architektur für einen dynamischen Zertifizierungsdienst spezifiziert, werden weitere Arbeiten am Arbeitspaket 5, welches sich mit der rechtlichen, wirtschaftlichen und organisatorischen Gestaltung befasst, durchgeführt. In diesem Arbeitspaket wird unter anderem die Akzeptanz einer dynamischen Zertifizierung von Cloud-Service-Kunden und –Anbietern untersucht. Aus diesem Grund werden zurzeit eine Vielzahl von Interviews mit Cloud-Kunden durchgeführt sowie quantitative Umfragen vorbereitet. Diese Untersuchungen stützen sich dabei auf bereits gewonnene Erkenntnisse aus der Literatur im Bereich der Zertifizierung, kontinuierlicher Auditierung und dem fortlaufenden Monitoring sowie Theorien über Akzeptanz- und Adoptionsverhalten. Darüber hinaus wird die Darstellung eines dynamischen Zertifikates untersucht, sodass ein dargestelltes Zertifikat einen möglichst hohen Grad an wahrgenommener Sicherheit, Vertrauen und Entscheidungsunterstützung ermöglicht.

Ein wichtiger Bestandteil bildet auch die fortlaufende wissenschaftliche Verwertung zur Verbesserung der Projektergebnisse und zur Gewinnung weiteren Feedbacks zu den Ansätzen, Vorgehen und Ergebnissen des Projektes. Daher werden die bisherigen Forschungsergebnisse aufgearbeitet und in (hochrangingen) Zeitschriften veröffentlicht und auf Konferenzen präsentiert. So wird beispielsweise Frau Johanna Hofmann (Universität Kassel) auf der Jahrestagung INFORMATIK 2015 in Cottbus ihre Publikation zum Thema: „Dynamische Zertifizierung von Cloud Computing-Diensten: Eine rechtswissenschaftliche Betrachtung am Beispiel Verfügbarkeit‘“ vorstellen. Diese Publikation zeigt einen Ausschnitt der derzeitigen Projektarbeiten in Hinblick auf die Erstellung eines einheitlichen, standardisierten Anforderungskatalogs für die dynamische Zertifizierung. Dieser Katalog soll einerseits die wichtigsten Anforderungen enthalten, die ein Cloud-Service-Provider erfüllen muss. Zum anderen müssen die enthaltenen Anforderungen im Rahmen einer fortlaufenden, (teil-)automatisierten Überprüfung sichergestellt werden können.


Juli 2015


Wissenschaftliche Verwertung – Teilnahme an Fachkonferenzen

Fraunhofer AISEC hat seine Forschungsergebnisse zur Cloud Service Zertifizierung1 erfolgreich an den Fachkonferenzen: 11th IEEE World Congress on Services (SERVICES 2015) in New York, USA 27.06.-02.07.2015 (http://www.servicescongress.org/2015/) und in 12th IEEE International Conference on Advanced and Trusted Computing (ATC 2015) in Peking, China 10.-14.08.2015 (http://www.cybermatics.org/SWC2015/ATC/ATC2015.htm) präsentiert. Die Beiträge zu diesen Konferenzen wurden von der Forschungsgemeinde interessiert aufgenommen und kritisch diskutiert. Herauszustellen ist in diesem Zusammenhang die Diskussion mit der Forschergruppe um Professor Ardagna sowie Professor Damiani, welche an der Universita‘ degli Studi in Mailand tätig sind. Beide Professoren haben die Arbeiten im CUMULUS Porjekt, einem von der EU geförderten Forschungsprojekt, maßgeblich mitgestaltet. Kooperationen zwischen NGCert und den Forschern aus Mailand sind angedacht und werden sich im weiteren Laufe diesen Jahres konkretisieren.

 1Stephanow, P.; Gall, M. (2015): Language Classes for Cloud Service Certification Systems. 11th IEEE World Congress on Services (SERVICES 2015). [bibtex]

Stephanow, P.; Fallenbeck, N. (2015): Towards continuous certification of Infrastructure-as-a-Service using low-level metrics. 12th IEEE International Conference on Advanced and Trusted Computing (ATC 2015).


Juni 2015


Workshop zum Unterarbeitspaket 4.2 – Systemspezifikation des Zertifizierungsdienstes

Das Ziel dieses Unterarbeitspaketes ist es eine Architektur für einen Zertifizierungsdienst zu spezifizieren. Die Sicherheitsaspekte bilden dabei einen Schwerpunkt der Architektur. Zusätzlich werden mögliche automatisierte Testservices betrachtet.

Im Rahmen dieses Arbeitspaketes fand am 11.06.2015 ein Workshop in München statt.
In diesem Workshop haben sich die beteiligten Partner auf die grundsätzliche Vorgehensweise verständigt. In einem ersten Schritt wird die Zielarchitektur spezifiziert und für die Kriterien Verfügbarkeit, Skalierbarkeit und Location reflektiert. Die Zielarchitektur soll dem Zertifizierungsdienst ermöglichen zu diesen Kriterien automatisiert Metriken und Messungen auszuwählen. Darauf aufbauend können dann Auswertungen durchgeführt und Reports generiert werden.

Zur Vorbereitung eines weiteren Workshops wird eine Vorlage für die Zielarchitektur erstellt. Dazu werden mögliche technische Komponenten des Zertifizierungsdienstes identifiziert und Konzeptvorschläge erarbeitet.

Der nächste Workshop findet Anfang Juli wieder in München statt.


Mai 2015


Aufnahme Arbeitspaket 4

Zielsetzung des Arbeitspaketes ist die Spezifikation des Monitoringkonzeptes sowie die Beschreibung der Architektur des Zertifizierungsdienstes. Ein Hauptschwerpunkt liegt in der Beschreibung der zur Erarbeitung eines automatisierten Audits erforderlichen Service- und Betriebskonzepte mit eher statischem Charakter.  Hierbei soll die Transparenz über die Akzeptanz der Anwender im Bereich eines Infrastructure-as-a-Service Angebots im Vordergrund stehen.

In einem Ersten Schritt werden bestehende Controls bezüglich Ihrer Automatisierungsfähigkeit geprüft  und des Weiteren die in den zu vorigen Arbeitspaketen definierten Controls hinsichtlich Ihrer Integrationsfähigkeit in ein dynamisches Monitoring und Reporting analysiert.

Des Weiteren werden eine Architektur des Zertifizierungsdienstes erstellt und eine Auswertung der Logging-Daten und des Reporting hin zu einer für den Anwender nachvollziehbaren Darstellung  entwickelt.


April 2015


3. NGCert – Next Generation Certification Workshop in Frankfurt

Im Frankfurter de-cix Meeting Center trafen sich am 21. April 2015 Cloud Service Anbieter, Auditoren und Mitglieder des NGCert Konsortiums zur vertiefenden Diskussion der bisher erarbeitenden Zwischenergebnisse. Seit dem Start des Projektes im Oktober 2014 und den Workshops in München und Köln wurden die Verfahren, Anwendungsbereiche und Kontrollbereiche konkretisiert und mit den Teilnehmern in Bezug auf praktische Fragestellungen erörtert.

Das Ziel des Projektes „Next Generation Certification – NGCert“ ist es, Grundlagen und Verfahren für eine dynamische Zertifizierung zu entwickeln, die gewährleisten sollen, dass zu jedem Zeitpunkt alle relevanten Qualitäts- und Sicherheitsanforderungen des Zertifikats eingehalten werden. Der kontinuierliche Nachweis des Einhaltens der Zertifizierungskriterien ist so auch bei der Implementierung technischer Neuerungen und Sicherheitsupdates gegeben.

Nach der grundlegenden Vorstellung der Projektziele und dem methodischen Ansatz zur automatisierten Messung, Analyse und Bewertung kritischer Faktoren durch Andreas Weiss, Direktor Eurocloud Deutschland wurden zunächst die damit verbundenen klassischen Prüfverfahren diskutiert. Seitens der Auditoren wurde bestätigt, dass nach heutigen Verfahren in erster Linie Stichprobenprüfungen zu klassischen Problembereichen erfolgen. Je nach Ausrichtung des Zertifizierungszieles werden dabei meist Schwerpunkte auf Datenschutz und Datensicherheit gelegt. NGCert kann hierbei relevante Unterstützung sowohl bei der Bereitstellung von Nachweisen für einen ordnungsgemäßen Betrieb als auch bei der Erkennung kritischer Bereiche für eine vertiefende Betrachtung liefern.

Im weiteren Ablauf stellten Michael Lang (Technische Universität München) und Sebastian Lins (Universität zu Köln) die konkreten Terminologien und die Funktionsbereiche von NGCert vor. Anhand konkreter Beispiele entwickelte sich eine lebhafte Diskussion zu den zugrunde liegenden Definitionen, wie zum Beispiel Skalierbarkeit und Verfügbarkeit und der Messmethoden zur Bewertung der Metriken, die von Philip Stephanow (Fraunhofer AISEC) exemplarisch vorgestellt wurden.

Aus Anbietersicht sind in erster Linie die Verfahren zur Datenerhebung und Auswertung relevant. Hierbei ist auch zu klären, welche Messpunkte in Bezug auf konkrete Cloud Service erhoben werden können und wie die technische Umsetzung zu gestalten ist. Dabei sind die verschiedenen Funktionsbereiche (IaaS, PaaS, SaaS) und die Kontrollziele zu berücksichtigen.

Die weitere Diskussion führte dann zu einer vertiefenden Betrachtung der Rahmenbedingungen für die Nutzung der geplanten NGCert Funktionen, die sowohl für den Zertifizierungsprozess als auch für die Bereiche Servicemonitoring und Qualitätsmanagement verwendet werden können. Dabei sind auch immer die rechtlichen Bewertungen verknüpft, um die Erfüllung regulatorischer Anforderungen zu dokumentieren, die sich zum Beispiel aus dem Bundesdatenschutzgesetz und dem Steuergesetz ergeben.

In weiteren Workshops wird das Konsortium auch verstärkt auf die Anwendersicht eingehen und die relevanten Kriterien zum Nachweis der Compliance Anforderungen bei der Nutzung von Cloud Services erheben, die sich aus der Umsetzung der NGCert Funktionen ableiten oder unterstützen lassen.


März 2015


Workshop zur Diskussion der Fortschritte und Zwischenergebnisse des Arbeitspakets 3 am 23.03. in München

Im Rahmen eines Pilotprojekts mit Mitgliedern aus Wirtschaft und Forschung sowie den Aufsichtsbehörden wurde der internationale Standard für den Datenschutz der ISO-Norm 27018 konkretisiert. Der Anforderungskatalog orientiert sich im Besonderen am deutschen Datenschutzrecht und setzt Mindeststandards für die Verarbeitung personenbezogener Daten innerhalb der Cloud um. Eine Vorstellung des Katalogs erfolgt auf der CeBIT 2015. Praxisrelevanz erlangt dieser Kriterienkatalog durch die Anpassung der internationalen Norm an das deutsche Recht und durch die Einteilung der Sicherheitsniveaus verschiedener Cloud-Service-Angebote in drei Schutzklassen und damit die Schaffung von Vergleichbarkeit. Dahinter steht der Gedanke, dass allein durch Vergleichbarkeit Vertrauen in Zertifizierungen geschaffen werden kann.

NGCert bezieht sich auf die verschiedenen existierenden Zertifizierungen von Cloud-Diensten und Cloud-Anbietern. Deren Vergleichbarkeit spielt damit eine wichtige Rolle. Nur, wenn Cloud-Kunden und deren Kunden wiederum den Zertifizierungsprozess nachvollziehen und mit anderen Verfahren vergleichen können, wird das Ziel, Vertrauen in Zertifizierungen zu stärken, zufriedenstellend erreicht werden können.

Ende März werden sich die NGCert-Projektpartner zu einem Workshop zusammenfinden, bei dem die Fortschritte und Zwischenergebnisse des Arbeitspakets 3 vorgestellt und diskutiert werden. Dieses Arbeitspaket ist auf die Entwicklung technischer, rechtlicher und organisatorischer Verfahren zur (teil-)automatisierten, dynamischen Zertifizierung von Cloud-Diensten gerichtet.


Februar 2015


Abschlusskonferenz von „Trusted Cloud“ stellt wichtige Erkenntnisse für NGCert bereit

Das Technologieprogramm „Trusted Cloud“ veröffentlichte im Rahmen der Abschlusskonferenz am 10. und 11. Februar in Berlin wichtige Erkenntnisse rund um das Thema „Cloud Computing“. Im Rahmen der 14 geförderten Projekte beteiligten sich insgesamt 36 Unternehmen, 27 wissenschaftlichen Einrichtungen und vier weitere Institutionen. Ziel des Programms war es, innovative, sichere und rechtskonforme Cloud-Computing-Lösungen zu entwickeln und zu erproben.

Unter anderem beschäftigten sich die Projekte damit, wie Cloud-Dienste durch Authentifizierungssysteme sicherer gestaltet werden können (SkIDentity), welche Voraussetzungen für eine gesetzlich-, sicherheits- und datenschutzkonforme Infrastruktur gegeben sein müssen (TRESOR) und wie das große Cloud-Angebot und die wachsende Kunden-Nachfrage systematisch vereint werden können (Value4Cloud).

Durch den Fokus von NGCert, das Vertrauen des Kunden zu gewinnen, bieten die vorliegenden Ergebnisse exzellente Vorarbeiten. Genau an diesen Punkten setzten wir auf, um die innovativen, sicheren und rechtskonformen Cloud-Computing Lösungen dem Kunden transparent darzustellen.


Januar 2015


Erfolgreicher Abschluss des ersten Meilensteins bei NGCert!

Zu Beginn dieses Jahres konnte mit der Erhebung von Rahmenbedingungen für eine dynamische Zertifizierungen der erste Meilenstein im Rahmen von NGCert abgeschlossen werden. In den vergangenen Monaten wurden dazu zwei erfolgreiche Workshops in München und Köln mit Praktikern aus dem Cloud-Computing-Umfeld durchgeführt. Cloud-Service-Provider, -Zertifizierer und -Berater tauschten dabei eifrig ihre Ideen und Vorstellungen über eine dynamische Zertifizierungen aus.

Für den ersten Meilenstein wurden Richtlinien einer dynamischen Zertifizierung abgeleitet, das Wertschöpfungsnetzwerks und mögliche Anwendungsfälle analysiert, organisatorische, technische und rechtliche Anforderungen an eine dynamische Zertifizierung erhoben, ein erster Kontrollkatalog entworfen, welcher potenziell automatisierbare Kontrollen enthält, sowie mögliche Grenzen und Risiken identifiziert.

Darauf aufbauend werden in den kommenden Monaten technische sowie organisatorische Verfahren entwickelt, um die Erfüllung von Anforderungen eines Zertifikates automatisiert zu überprüfen. Zum anderen wird ein Framework erarbeitet, welches den automatisierten Abgleich zwischen erfassten Metriken eines Cloud-Services und Anforderungen eines Zertifikates ermöglicht.


Das VDI/VDE veröffentlicht Informationen zum Projekt auf http://www.vdivde-it.de/KIS/sichere-ikt/sicheres-cloud-computing/ngcert

Der Projekt-Kickoff findet am 03.11.2014 in München statt.