Durch die steigenden Anforderungen an Datenschutz und Sicherheit stehen Cloud-Anbieter, Nutzer:innen und Auditor:innen vor großen Herausforderungen bei der Entwicklung, Integration und Prüfung neuer Cloud-Dienste und -Anwendungen. So fordert u. a. der vermehrte Einsatz von KI-gestützten Systemen einen flexibleren Zertifizierungsprozess für Cybersicherheit, beispielsweise durch kontinuierliche Überwachung und Bewertung.
Das EU-Forschungsprojekt „EMERALD“ im Rahmen von „Horizon Europe“ zielt darauf ab, die Sicherheit und Effizienz von cloudbasierten Diensten durch einen digital unterstützten Zertifizierungsprozess zu verbessern. Die Hauptaufgabe ist es, den Weg für „Certification as a Service“ (CaaS) zu ebnen, um eine kontinuierliche Zertifizierung von Cloud-Diensten nach verschiedenen Anforderungskatalogen zu ermöglichen.
Welche Rolle Fabasoft in dem EU-Forschungsprojekt übernimmt, erklären Björn Fanta, Head of Research bei Fabasoft, und Robin Schmeisser, Geschäftsführer von Fabasoft Contracts, im Interview.
Was ist die Zielsetzung des Forschungsprojekts EMERALD?
BJÖRN FANTA: Im Wesentlichen verfolgt EMERALD vier Kernziele:
- Die Bereitstellung fortschrittlicher Werkzeuge zur Beweiserhebung bei der Zertifizierung von Cloud-Anbietern auf Basis eines Wissensgraphen-Ansatzes der nächsten Generation.
- Die Vereinfachung der Vorgangsweise bei Multischema-Cloud-Zertifizierungen durch unterstütztes metrisches Mapping¹.
- Die Einführung einer neuen Benutzererfahrung für unterstützte Audits aller beteiligten Anwendergruppen.
- Die Förderung der Interoperabilität² mit anderen Frameworks, Sicherheitsbewertungs-Tools und Repositorys.
Wie werden die aus dem Forschungsprojekt gewonnenen Erkenntnisse umgesetzt?
BJÖRN FANTA: Die Umsetzung und Überprüfung der praktischen Anwendbarkeit der Forschungsergebnisse erfolgt in insgesamt vier Pilotprojekten. Das Bestreben ist es, durch die Entwicklung von Softwarekomponenten eine effiziente Arbeitsweise mit maximaler Transparenz und Nachvollziehbarkeit sowie insbesondere die Risikobewertung und -abschätzung von auditrelevanten Inhalten sicherzustellen. Ein besonderer Fokus liegt auf der Userinteraktion zur Sicherstellung einer konsistenten Durchführung von Audits und der Förderung der Wiederverwendbarkeit erstellter Inhalte. Dabei stehen Methoden zur Entwicklung von Cybersicherheitsanforderungen und interoperablen Metriken im Zentrum, um eine weitgehend einheitliche Zertifizierung von Cloud-Diensten zu unterstützen.
Die Risikobewertung von Cloud-Diensten ist besonders im europäischen Finanzsektor relevant, siehe u. a. DORA. Finden jene neuen regulatorischen Vorgaben auch Berücksichtigung in dem Forschungsprojekt?
BJÖRN FANTA: Eines der Pilotprojekte konzentriert sich auf den Finanzbereich und die Herausforderungen, denen Banken und andere Finanzunternehmen im Rahmen der neuen DORA-Verordnung gegenüberstehen. Eine maßgebliche Rolle spielt dabei die CaixaBank. Als Mitglied des Konsortiums³ plant diese mit dem Projekt Fortschritte bei der Integration von SaaS (Software as a Service) sowie IaaS (Infrastructure as a Service) in Verbindung mit ihren bestehenden On-premises-Diensten zu erzielen. Die Ansätze von EMERALD sind dabei entscheidend, um die strengen Sicherheitsstandards und Vorschriften der EU und der Zentralbanken einzuhalten. Ziel ist, die Sicherheit und Konformität von Diensten in Echtzeit über Rechenzentrums- und Cloud-Edge-Domänen hinweg kontinuierlich zu überwachen und zu validieren.
Welche Rolle übernimmt Fabasoft dabei?
BJÖRN FANTA: Als eines der führenden europäischen Softwareprodukt- und Cloud-Dienstleistungsunternehmen unterstützt Fabasoft das Projekt als Technologie- und Use-Case-Partner. Wir bringen Fachwissen über sichere Prozessverwaltung und -optimierung ein und nutzen unsere Erfahrungen in der Umsetzung von Forschungsergebnissen in innovativen Produkten und Dienstleistungen.
Mit welcher Technologie plant das Forschungsteam, EMERALD im DORA-Pilotprojekt umzusetzen?
ROBIN SCHMEISSER: Im Zuge des Pilotprojekts verwendet das Forschungsteam die auf die EU-Verordnung spezialisierte Software „Fabasoft DORA“. Die CaixaBank definiert dazu Anforderungen an den zu entwickelnden digitalen Prozess, den das Finanzinstitut bei der Evaluierung und Bewertung einer potenziellen Auslagerung an einen Cloud-Dienstleister sowie bei der laufenden Überwachung durchläuft. Fabasoft wird im Nachgang jene Anforderungen mit der Software umsetzen.
Weshalb benötigt es einen digitalen Prozess? Welche Herausforderungen entstehen bei herkömmlichen Methoden?
ROBIN SCHMEISSER: In der Praxis erhalten wir Due Diligence-Fragebögen häufig als E-Mail-Anhang im Excel-Format, was grundsätzlich für beide Parteien einen hohen manuellen Bearbeitungsaufwand bedeutet. Abgesehen vom Ressourceneinsatz beinhaltet dieses Vorgehen auch beträchtliche Sicherheitsrisiken. Die Anforderungskataloge fragen zum Teil hochsensible Informationen ab, die wir nicht beantworten, da jenes Wissen erhebliche Angriffsvektoren liefern würde. Es ergibt sich daraus eine Austauschhürde. Beide Unternehmen benötigen Informationen und Nachweise zur ausreichenden Sicherheit vom jeweils anderen, keiner möchte aber eigene Einzelheiten preisgeben.
Wie unterstützt Fabasoft DORA dabei, diese Hürde zu überwinden?
ROBIN SCHMEISSER: Fabasoft DORA bietet eine standardisierte Solution für das DORA-konforme Management von IKT-Dienstleistern bis hin zur automatisierten Berechnung des Informationsregisters. In den relevanten Prozessen spielen das Einholen der Informationen und die Zusammenarbeit mit Externen eine zentrale Rolle. Fabasoft DORA verfolgt an dieser Stelle den Ansatz, dass Finanzunternehmen alle benötigten Informationen in einer geschützten, digitalen Umgebung gesteuert und sicher von ihren IKT-Dienstleistern einholen. Vorlagen für Due Diligence-Fragebögen und Risikobewertungen reduzieren dabei den manuellen Aufwand sowie das Fehlerrisiko. Einmal digital hinterlegt, stehen die Daten jederzeit revisionssicher für Auswertungen zur Verfügung. Mittels digitaler Workflows erfolgt die Einbindung zur Bewertung der Angaben durch die jeweiligen Stakeholder automatisiert. Dabei können die Outsourcing-Manager:innen bzw. Hauptprozessverantwortlichen den Fortschritt jederzeit verfolgen. Auch beim laufenden Monitoring unterstützt die Software mittels automatisiert initiierter wiederkehrender Prüfungen. Elektronische Workflowunterschriften dokumentieren durchgeführte Kontrollaktivitäten nachweislich.
Mehr Informationen zu der EU-Verordnung und Fabasoft DORA erhalten Sie in unserem kostenlosen Whitepaper.
Hier downloaden
¹ Das Mapping von Daten bezeichnet das Verknüpfen und Zuweisen von Feldern verschiedener Datenquellen.
² Fähigkeit zum Zusammenspiel verschiedener Systeme, Techniken oder Organisationen. (Interoperabilität | European Data Protection Supervisor (europa.eu))
³ Tecnalia, Fraunhofer, Fabasoft, Consiglio Nazionale delle Ricerche, Software Competence Center Hagenberg, Know Center, CaixaBank, IONOS, CloudFerro, OpenNebula und Nixu.
