Next Generation Certification (NGCert)

Vertrauenswürdige Cloud-Services durch dynamische Zertifizierung qualitativer, datenschutzrechtlicher und sicherheitstechnischer Anforderungen

Immer häufiger verlagern insbesondere Unternehmen Geschäftsprozesse und Daten in Cloud-Umgebungen. Daher steigen die Anforderungen an Qualität, Datenschutz und Datensicherheit solcher Angebote. Der Rückgriff auf Zertifikate ist nicht nur in der IT-Branche ein bewährtes Mittel, um die Einhaltung von Standards und die Durchführung von internen Qualitätsprozessen nachzuweisen. Zertifikate fördern Transparenz und ermöglichen dem Kunden den einfachen Vergleich zwischen verschiedenen Anbietern. Allerdings ist die Gültigkeitsdauer von regelmäßig ein bis drei Jahren bei einem derart im Wandel und in der Fortentwicklung befindlichen Gebiet wie dem der Cloud-Dienste und der zugrundeliegenden Technologien zu lang. Ungeachtet rechtlicher oder tatsächlicher Veränderungen suggerieren Zertifikate über die gesamte Gültigkeitsdauer einen hohen Sicherheitsstandard.

Das Projekt NGCert hat darum zum Ziel, der Dynamik von Cloud-Diensten mit einer dynamischen Zertifizierungslösung zu begegnen. Mit einem dynamischen Zertifizierungsverfahren lassen sich sehr viel genauere Aussagen über die Erfüllung der jeweiligen Anforderungen treffen. Auf Basis von Standards, wie etwa CSA oder ISO-Normen, sollen dabei kontinuierlich und (teil)automatisiert die Anforderungen eines Zertifikats überprüft werden, um einen stets aktuellen Systemzustand abbilden zu können. So soll der Aussagegehalt von Zertifikaten und damit das Vertrauen der Nutzer in selbige erhöht werden. 

Aus rechtswissenschaftlicher Perspektive besteht Forschungsbedarf hinsichtlich Datenschutz und Datensicherheit bei der Zertifizierung von Cloud-Diensten. Bislang mangelt es an Vorschlägen für eine konkrete rechtliche Rahmensetzung für eine solche Zertifizierung. Schwerpunkte der Forschungsarbeit der Projektgruppe verfassungsverträgliche Technikgestaltung werden die Dynamik und die (Teil-)Automatisierbarkeit von Prüfungsschritten betreffen. Erforscht werden sollen zudem Rechtswirkungen eines solchen Zertifikats sowie Rechtsfolgen seiner fehlerhaften Erteilung. Die Projektgruppe verfassungsverträgliche Technikgestaltung hat sich zum Ziel gesetzt, nicht nur die rechtliche Zulässigkeit dynamischer Zertifizierungsverfahren für Cloud-Dienste zu überprüfen, sondern darüber hinaus konkrete Vorschläge für eine bestmögliche rechtskonforme Gestaltung zu erarbeiten.

Das Projekt NGCert wird im Rahmen der Hightech-Strategie der Bundesregierung durch das Bundesministerium für Bildung und Forschung (BMBF) zusammen mit vier weiteren Projekten im Forschungsfeld „Sicheres Cloud Computing“ gefördert, um das Innovationspotenzial der Spitzenforschung im Bereich der Informations- und Kommunikationstechnologien auszubauen.

Projektpartner

Fraunhofer-Institut für Angewandte und Integrierte Sicherheit
Herr Mario Hoffmann

Technische Universität München 
Fakultät Informatik

Lehrstuhl für Wirtschaftsinformatik (I 17)
Herr Dr. Michael Schermann

Universität zu Köln   
Wirtschafts- und Sozialwissenschaftliche Fakultät

Fachgruppe Betriebswirtschaftslehre
Juniorprofessur für Wirtschaftsinformatik und Information Systems Quality
Herr Prof. Dr. Ali Sunyaev

EuroCloud Deutschland  
Herr Andreas Weiss

Fujitsu Technology Solutions GmbH
Herr Volker Wiedmer

Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB)
Herr Michael Diepold