Als CTO einer großen Bank ist Robert für den sicheren und vorschriftsmäßigen Umgang mit Kundendaten verantwortlich. Aus Kostengründen sowie einer On-Demand-Skalierbarkeit möchte er die bestehende Inhouse-Lösung durch eine Cloud ablösen.
Robert und die traditionellen Prüfverfahren
Im Bankensektor fordern die Regulierungsbehörden ein hohes Maß an Datensicherheit, welches durch Zertifizierungen belegt werden muss. In den bankeigenen Rechenzentren kann Robert beweisen, dass das von den Regulierungsbehörden geforderte Sicherheitsniveau erreicht wird. Professionelle Cloud-Anbieter besitzen in der Regel mehrere Zertifizierungen, die belegen, dass ihre Produkte den Sicherheitsstandards entsprechen. Diese Zertifizierungen beweisen jedoch nur, dass die Cloud-Produkte zum Zeitpunkt der Zertifizierung den jeweiligen Kriterien entsprochen haben. Um das hohe Sicherheitsniveau einer Cloud-Lösung gegenüber den Regulierungsbehörden zu argumentieren, ist diese traditionelle Form der Zertifizierung nicht ausreichend. Als zusätzliche Anforderung müssen folglich durchgängig aktuell gehaltene Informationen zum erreichten Compliance-Level zur Verfügung gestellt werden.
Die Herausforderung von Robert im Detail
Cloud-Computing hat sich de facto zum Standard in der IT-Bereitstellung nicht nur im Bankensektor, sondern in nahezu allen Branchen entwickelt, was zu Vorteilen wie Flexibilität, Kosteneffizienz und Wartungsreduzierung führt. Allerdings bedeutet die Einführung von Cloud-Computing auch einen Kontrollverlust in Hinblick auf Datensicherheit und Datenschutz, was für potenzielle Cloud-Kunden eine gewisse Hürde darstellen kann. Cloud-Service Anbieter haben darauf reagiert, indem sie den Grad der Transparenz in Bezug auf ihre Sicherheits- und Datenschutzfunktionen erhöhen und extern überwachte Audits für diverse Zertifizierungen durchführen. Solche Audits werden in der Regel jährlich oder halbjährlich durchgeführt, was bedeutet, dass zwischenzeitliche Änderungen an der Cloud-Infrastruktur bis zur nächsten offiziellen Überprüfung nicht in Prüfberichten aufscheinen.
Die Echtzeit-Zertifizierung als Lösung für Robert
Die Lösung ist im Grunde einfach, in der Umsetzung jedoch komplex. Statt einer traditionellen, prozessgesteuerten und punktuellen Zertifizierung braucht es eine kontinuierliche, automatisierte Prüfung in Form einer datengesteuerten Echtzeit-Zertifizierung.
Solch eine Prüfung, die auf der zeitlich engmaschigen Bewertung von Kontrollen basiert, wird besonders von Cloud-Kunden mit sensiblen Daten wie Finanzinstitutionen oder Unternehmen im Industriesektor gefordert. Durch die Anwendung kontinuierlicher Zertifizierung wird das Niveau des Vertrauens, der Transparenz und der Gewissheit erheblich verbessert. Derzeit gibt es jedoch keine gängige Form zur Überprüfung der Compliance von Cloud-Services in Echtzeit.
Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) vom deutschen Bundesamt für Sicherheit in der Informationstechnik spezifiziert die Mindestanforderungen an sicheres Cloud-Computing. Mit Stand 2020 wurde in der Revision des Anforderungskataloges die Möglichkeit der kontinuierlichen Überwachung der Anforderungen thematisiert. Deren technische Machbarkeit wird dabei jedoch nicht im Detail adressiert.
Das Wunschszenario von CTOs wie Robert ist, dass Cloud-Service Anbieter bereits über eine derart datengesteuerte Art der Zertifizierung verfügen. Somit wäre sichergestellt, dass zu jedem Zeitpunkt die Compliance hinsichtlich Sicherheitsanforderungen erfüllt wird, was zu einer deutlichen Transparenzsteigerung sorgen würde. Dieser Konformitätsstatus basiert auf Daten, die nahezu in Echtzeit geprüft werden können.
Die Idee dahinter ist die standardisierte Bewertung von Kontrollen, um Sicherheitseigenschaften eines Informationssystems vergleichbar zu machen und zu validieren. Ein denkbares Modell dabei ist, Sicherheitskontrollen als eine Reihe von Zielen (Service Level Objectives (SLO) oder Service Quality Objectives (SQO)), ähnlich der Definition von Service Level Agreements (SLA), zu betrachten. Das Schlüsselelement eines automatisierten, kontinuierlichen Audits ist demnach die Definition von konkret messbaren Attributen und Zielen, die eine Sicherheitskontrolle beschreiben. Anhand dieser können Unternehmen überprüfen, ob die damit verbundenen Ziele erreicht werden und so verifizieren, dass eine bestimmte Sicherheitskontrolle vorhanden ist.
Dieser Herausforderung widmet sich Fabasoft gemeinsam mit internationalen Partnern ab November 2020 im europäischen Projekt MEDINA.