Das Bundesministerium für Bildung und Forschung (BMBF) beabsichtigt, die Forschung zu IT-Sicherheit in Cloud-Umgebungen gezielt zu unterstützen und auszubauen. Durch die vorliegende Bekanntmachung sollen industrielle Forschungs- und experimentelle Entwicklungsvorhaben in Deutschland gefördert werden.
Cloud Computing hat sich als überall und jederzeit verfügbare sowie flexibel einsetz- und erweiterbare Methode zur Bereitstellung von IT-Diensten weltweit etabliert. Cloud Computing birgt ein enormes Marktpotenzial, allein für den deutschen Markt wird für das Jahr 2012 ein Volumen von über 5 Mrd. € erwartet. Neben großen Chancen gibt es aber auch neue Herausforderungen. Etablierte Sicherheitstechnologien lassen sich oft nur eingeschränkt oder gar nicht auf Cloud-Applikationen anwenden, und die verteilte Struktur von Cloud-Infrastrukturen schafft neue Verwundbarkeiten.
Das Bundesministerium für Bildung und Forschung (BMBF) beabsichtigt daher, die Forschung zu IT-Sicherheit in Cloud-Umgebungen gezielt zu unterstützen und auszubauen. Durch die vorliegende Bekanntmachung sollen industrielle Forschungs- und experimentelle Entwicklungsvorhaben in Deutschland gefördert werden. Folgende Forschungsschwerpunkte wurden für eine erste Förderbekanntmachung als prioritär ausgewählt:
Datenschutz-, Datensicherheit- und Privacy-erhaltende Technologien in der Cloud: Eine Verarbeitung personenbezogener Daten in der Cloud unterliegt speziellen Sicherheitsanforderungen, die sich aus nationalen und internationalen Datenschutzvorgaben ableiten lassen. Darüber hinaus muss ein Cloud-Anbieter auch Sorge tragen, dass ihm anvertraute persönliche Daten sowohl externen Angreifern als auch anderen Nutzern seiner Cloud-Infrastruktur gegenüber vertraulich und integer bleiben. Eine datenschutzfreundliche Verarbeitung von personenbezogenen Daten wird sich jedoch nur dann durchsetzen, wenn sie effizient und mit bestehenden Geschäftsprozessen kompatibel implementiert werden kann. Zudem sind bestehende rechtliche und regulatorische Vorgaben im Sinne von Compliance zu berücksichtigen.
Metriken und Mess-/Vergleichsverfahren für Sicherheit in Clouds: Sicherheit als Leistungsparameter eines Cloud-Anbieters und die Einhaltung datenschutzrechtlicher Vorgaben sowie der Schutz personenbezogener Daten finden zwar als abstrakte Angaben Verwendung, lassen sich jedoch auch von professionellen Nutzern nur schwer überprüfen. Dies ist zum Teil auf die Komplexität cloud-basierter Geschäftsmodelle zurückzuführen, zum größeren Teil jedoch auf fehlende Messverfahren und fehlende Konventionen für Messpunkte und Messgrößen.
Identitäts- und Access-Management bei (föderierten) Clouds: Im Gegensatz zu herkömmlichen, auf einen Diensteanbieter fokussierten Dienstangeboten im Internet sind im Cloud-Kontext verschiedenste Akteure an eine System-Infrastruktur angebunden und müssen innerhalb dieser zuverlässig und vertrauenswürdig Daten austauschen können. So ist die Zusammenarbeit unterschiedlicher Cloud-Anbieter für einen gemeinsam erbrachten Dienst alltägliche Praxis. Die dabei auftretenden Vertragsbeziehungen sind dynamisch und kommen nur über das Internet zustande. Dabei kann nicht immer auf eine etablierte Nutzer- und Rollenzuordnung zurückgegriffen werden, was die vertrauenswürdige Kopplung unterschiedlicher Systeme erschwert. Hierzu ist eine plattform- und systemübergreifende, beweisbar sichere Identifizierung der Teilnehmer – sowohl zwischen Nutzern und Cloud-Anbietern als auch zwischen mehreren Systemen – erforderlich.