EU-Projekt setzt neue Maßstäbe bei der Zertifizierung von Cloud-Services

Presseausseundung vom 24. September 2024

Graphik: Schematische Darstellung des Knowledge-Graphen (Certgraph Ontology)

Das Software Competence Center Hagenberg (SCCH) forscht mit 11 internationalen Partnern im Projekt EMERALD (Evidence Management for Continuous Certification as a Service in the Cloud). Das mit 5,5 Millionen Euro finanzierte Projekt konzentriert sich auf die Zertifizierung von cloudbasierten Diensten. Apple iCloud, Google Drive oder Online Banking verwenden viele Menschen im privaten oder beruflichen Umfeld (z.B Zeiterfassung oder Buchhaltung in der Cloud). Dies hat zu einem Anstieg der Nutzung und Akzeptanz von Cloud-Services geführt. Bisher beinhaltete der Zertifizierungsprozess für Cloud-basierte Dienste viele manuelle Tätigkeiten. Diese Aufwände erschweren es, mit den sich schnell ent-wickelnden technologischen Fortschritten, aber auch Bedrohungen, Schritt zu halten. Aufgrund dieser Einschränkungen hat die EU-Cybersicherheitsverordnung  einen flexibleren Ansatz gefordert, der kontinuierliche Überwachung und Bewertung beinhaltet (EU CSA). Durch diesen flexibleren Ansatz können Cloud-Anbieter sicherstellen, dass ihre Dienste ständig den neuesten Sicherheitsstandards entsprechen und dass sie schnell auf neue Bedrohungen reagieren können. Dies trägt dazu bei, die Gesamtsicherheit von Cloud-Diensten zu verbessern und das Vertrauen der Nutzer*innen zu stärken. Hier setzt EMERALD an, um diesen Prozess zu automatisieren und zu optimieren. 
Wenn Software-Unternehmen oder stark reglementierte Unternehmen (z.B. Banken) neue Cloud-Dienste anbieten wollen, stehen sie vor der Herausforderung, eine Vielzahl von Sicherheits-, Datenschutz- und Regulierungsanforderungen erfüllen zu müssen – das ist komplex und kostspielig. „Aufgrund der Komplexität und Dynamik der Anforderungen werden neue Strategien benötigt. 

Zertifizierungsprozess optimieren  

Im EMERALD-Projekt arbeiten Forscher*innen an einem flexiblen Zertifizierungs-prozess, der Anbieter*innen von Cloud-Diensten, Kund*innen und Auditor*innen während des gesamten Zertifizierungsverfahrens unterstützt. Es soll die Akzeptanz von Cloud-Diensten gefördert und sichergestellt werden, dass sie für alle Beteiligten zugänglich, sicher und nützlich sind. Ein zentrales Ziel besteht darin, den Weg zur "Certification-as-a-Service" (CaaS) anhand von Security-Richtlinien zu erleichtern. „Sowohl Anbietern von Cloud-Diensten als auch Nutzer*innen werden wir eine Plattform bieten, um ihre Zertifizierungen zu verwalten und zu überwachen, sowie eine effiziente Rezertifizierung zu ermöglichen. Außerdem sollen die Auditor*innen (das können sowohl Interne wie auch Externe sein) unterstützt werden. Ein neues Konzept soll helfen, die Audits einfacher und einheitlicher abzuwickeln, dadurch wird der Zertifizierungsprozess unkomplizierter und flexibler“, so Dr. techn. Somayeh Kargaran, International Cooperations Coordina-tor am SCCH. Im Rahmen des Projekts sollen Cybersicherheitsanforderungen und -metriken (z.B. EUCS, BSI C5) so flexibel erstellt werden, dass sie bei Bedarf interoperabel genug sind, um auf andere Systeme übertragen zu werden. 

Intelligente Abfragen durch Knowledge-Graph 

„Am SCCH verfügen wir über langjährige Erfahrung in der Extraktion und Analyse von Wissen, insbesondere aus dem Quellcode. Im Projekt EMERALD verwenden wir die von uns entwickelte Software-Analyseplattform eknows. Der Zertifizie-rungsprozess umfasst eine Menge an unterschiedlichen Datenquellen (gesetzli-che Normen, unternehmensinterne Richtlinien, Prozesshandbücher, Quellcode, etc.). Um die einzelnen Datenquellen integrieren und analysieren zu können benötigen wir einen Knowledge-Graph. Einfach gesagt, ist er ein intelligentes Netzwerk, das Informationen miteinander verknüpft und organisiert. Damit können komplexe Zusammenhänge besser verstanden werden“, erklärt Dr. Verena Geist, die am SCCH das Projekt leitet. Der Graph soll Evidenzen aus verschiedenen Datenquellen miteinander verknüpfen. Werkzeuge zur Extraktion von Evidenzen sind im Falle von EMERALD unter anderen:

  • eknows für sprachunabhängige Analysen von Quellcode, das vom SCCH beigesteuert wird,
  • Codyze, ein Codeanalyse-Werkzeug zur Generierung von Evidenzen für sicherheitsrelevante Feststellungen von Fraunhofer,
  • AMOE, ein Werkzeug von Fabasoft, das Firmenpolicy-Dokumente über Natural Language Processing (NLP) analysiert.


Die Forscher*innen am SCCH sind für die Entwicklung der Struktur des Knowledge-Graphen verantwortlich. „Das sind sehr wichtige Überlegungen zu Datenablage, -struktur und -management. Auch wurden bisher die aus dem analysierten Quellcode extrahierten Evidenzen nicht mit anderen Datenquellen in Verbindung gebracht – das ist neu“, so Geist. Die konkreten Aufgaben im Projekt erklärt Geist folgendermaßen: „Zuerst wird die Struktur des Graphen definiert, um darin relevante Informationen zu speichern und miteinander zu verknüpfen. Anschließend wird eknows als Werkzeug zur statischen Codeanalyse genutzt, um Evidenzen aus dem Quellcode zu extrahieren. Schließlich sollen aus den im Graphen gespeicherten Informationen neue, genauere Einblicke über die Sicherheit des Cloudsystems gewonnen werden, indem die „gesammelten Puzzlestücke“ richtig zusammengesetzt werden.“ 

Internationale Projektpartner 

Das von Tecnalia (Spanien) geleitete EMERALD-Konsortium besteht aus einer ausgewogenen Gruppe von wissenschaftlichen und industriellen Partnern, die sich auf Bereiche wie Cybersicherheitszertifizierung, Cloud-Computing, KI, UX/UI-Design und Auditverfahren spezialisiert haben. Dem Konsortium gehören 11 Organisationen an: Tecnalia, Fraunhofer, Fabasoft, Consiglio Nazionale delle Ricerche, Software Competence Center Hagenberg, Know Center, CaixaBank, IONOS, CloudFerro, OpenNebula und Nixu.

Weitere Informationen