NGCert

Entwicklung von Grundlagen und Verfahren für eine dynamische Zertifizierung für Cloud-Dienste

Rechenzemtrum mit Spiegelbild eines Mannes
Kontinuierliche ausgestellte Zertifikate garantieren die Sicherheit von Cloud-Diensten © Fraunhofer AISEC

Motivation

Viele Unternehmen könnten mit der Nutzung von Cloud-Diensten nicht nur effizienter arbeiten, sie können auch flexibler über vielfältige Soft- und Hardwareressourcen verfügen. Allerdings schrecken sie davor zurück, weil belastbare Nachweise für die Einhaltung zentraler Datenschutz- und Datensicherheitskriterien fehlen. Die bestehenden Sicherheits-Zertifikate für Cloud-Dienste sind hierfür nicht ausreichend. Sie bilden nur den Status zum Zeitpunkt ihrer Ausstellung ab, ihr Gültigkeitszeitraum liegt aber typischerweise im Bereich von einem bis drei Jahren. In aller Regel sind jedoch innerhalb dieses Zeitraums Aktualisierungen zentraler Soft- oder Hardwaremodule notwendig, wodurch die Zertifikate ihre Gültigkeit verlieren. Verzichtet man auf solche Updates, nimmt man bewusst Sicherheitsrisiken in Kauf, denn der Cloud-Dienst entspricht dann nicht mehr dem aktuellen Stand der Technik.

Ziele und Vorgehen

Ziel des Projekts „Next Generation Certification – NGCert“ ist es, Grundlagen und Verfahren für eine dynamische Zertifizierung zu entwickeln. Diese soll gewährleisten, dass zu jedem Zeitpunkt alle relevanten Qualitäts- und Sicherheitsanforderungen des Zertifikats eingehalten werden, auch wenn technische Neuerungen in die Dienste integriert werden. Dazu müssen Metriken definiert werden, die IT-Sicherheit messbar machen und anhand derer kontinuierlich überprüft werden kann, ob beispielsweise nach einem Soft- oder Hardwareupdate die Kriterien eines Zertifikates noch erfüllt werden. Gleichzeitig soll die Überprüfung der Zertifikats-Kriterien automatisiert erfolgen. So können Nutzer sich jederzeit sicher sein, dass ihre Anforderungen an die Sicherheit und den Schutz ihrer Daten vollständig erfüllt sind.

Innovationen und Perspektiven

Mit den im Projekt anvisierten Entwicklungen von automatisierten Metriken und Methoden zur Überprüfung relevanter Kriterien von IT-Sicherheit für Cloud-Dienste lassen sich neuartige Zertifikate realisieren, die kontinuierlich die Einhaltung der Sicherheitsstandards garantieren. So lässt sich die Lücke von ein bis drei Jahren schließen, die durch den Einsatz konventioneller statischer Zertifikate bei Cloud-Diensten entsteht.