04.05.2015

NGCert – Transparenz, Wertschöpfung und Methoden

Bericht vom 3. NGCert – Next Generation Certification Workshop in Frankfurt

Im Frankfurter de-cix Meeting Center trafen sich am 21. April 2015 Cloud Service Anbieter, Auditoren und Mitglieder des NGCert Konsortiums zur vertiefenden Diskussion der bisher erarbeitenden Zwischenergebnisse. Seit dem Start des Projektes im Oktober 2014 und den Workshops in München und Köln wurden die Verfahren, Anwendungsbereiche und Kontrollbereiche konkretisiert und mit den Teilnehmern in Bezug auf praktische Fragestellungen erörtert.

Das Ziel des Projektes „Next Generation Certification – NGCert“ ist es, Grundlagen und Verfahren für eine dynamische Zertifizierung zu entwickeln, die gewährleisten sollen, dass zu jedem Zeitpunkt alle relevanten Qualitäts- und Sicherheitsanforderungen des Zertifikats eingehalten werden. Der kontinuierliche Nachweis des Einhaltens der Zertifizierungskriterien ist so auch bei der Implementierung technischer Neuerungen und Sicherheitsupdates gegeben.

Nach der grundlegenden Vorstellung der Projektziele und dem methodischen Ansatz zur automatisierten Messung, Analyse und Bewertung kritischer Faktoren durch Andreas Weiss, Direktor Eurocloud Deutschland wurden zunächst die damit verbundenen klassischen Prüfverfahren diskutiert. Seitens der Auditoren wurde bestätigt, dass nach heutigen Verfahren in erster Linie Stichprobenprüfungen zu klassischen Problembereichen erfolgen. Je nach Ausrichtung des Zertifizierungszieles werden dabei meist Schwerpunkte auf Datenschutz und Datensicherheit gelegt. NGCert kann hierbei relevante Unterstützung sowohl bei der Bereitstellung von Nachweisen für einen ordnungsgemäßen Betrieb als auch bei der Erkennung kritischer Bereiche für eine vertiefende Betrachtung liefern.

Im weiteren Ablauf stellten Michael Lang (Technische Universität München) und Sebastian Lins (Universität zu Köln) die konkreten Terminologien und die Funktionsbereiche von NGCert vor. Anhand konkreter Beispiele entwickelte sich eine lebhafte Diskussion zu den zugrunde liegenden Definitionen, wie zum Beispiel Skalierbarkeit und Verfügbarkeit und der Messmethoden zur Bewertung der Metriken, die von Philip Stephanow (Fraunhofer AISEC) exemplarisch vorgestellt wurden.

Aus Anbietersicht sind in erster Linie die Verfahren zur Datenerhebung und Auswertung relevant. Hierbei ist auch zu klären, welche Messpunkte in Bezug auf konkrete Cloud Service erhoben werden können und wie die technische Umsetzung zu gestalten ist. Dabei sind die verschiedenen Funktionsbereiche (IaaS, PaaS, SaaS) und die Kontrollziele zu berücksichtigen.
Die weitere Diskussion führte dann zu einer vertiefenden Betrachtung der Rahmenbedingungen für die Nutzung der geplanten NGCert Funktionen, die sowohl für den Zertifizierungsprozess als auch für die Bereiche Servicemonitoring und Qualitätsmanagement verwendet werden können. Dabei sind auch immer die rechtlichen Bewertungen verknüpft, um die Erfüllung regulatorischer Anforderungen zu dokumentieren, die sich zum Beispiel aus dem Bundesdatenschutzgesetz und dem Steuergesetz ergeben.