Next Generation Certification (NGCert)

Projektverantwortliche am ITeG: Professor Dr. Alexander Roßnagel
Professor Dr. Ali Sunyaev
Ansprechpartner: Ass. jur. Johanna Hofmann
Laufzeit: Oktober 2014 - Dezember 2017
Fördernde Einrichtung: Bundesministerium für Bildung und Forschung (BMBF)
Fördersumme: 2,32 Millionen Euro
Projektwebsite: NGCert

Kurzbeschreibung

Vertrauenswürdige Cloud-Services durch dynamische Zertifizierung qualitativer, datenschutzrechtlicher und sicherheitstechnischer Anforderungen

Immer häufiger verlagern insbesondere Unternehmen Geschäftsprozesse und Daten in Cloud-Umgebungen. Daher steigen die Anforderungen an Qualität, Datenschutz und Datensicherheit solcher Angebote. Der Rückgriff auf Zertifikate ist nicht nur in der IT-Branche ein bewährtes Mittel, um die Einhaltung von Standards und die Durchführung von internen Qualitätsprozessen nachzuweisen. Zertifikate fördern Transparenz und ermöglichen dem Kunden den einfachen Vergleich zwischen verschiedenen Anbietern. Allerdings ist die Gültigkeitsdauer von regelmäßig ein bis drei Jahren bei einem derart im Wandel und in der Fortentwicklung befindlichen Gebiet wie dem der Cloud-Dienste und der zugrundeliegenden Technologien zu lang. Ungeachtet rechtlicher oder tatsächlicher Veränderungen suggerieren Zertifikate über die gesamte Gültigkeitsdauer einen hohen Sicherheitsstandard.

Das Projekt NGCert hat darum zum Ziel, der Dynamik von Cloud-Diensten mit einer dynamischen Zertifizierungslösung zu begegnen. Mit einem dynamischen Zertifizierungsverfahren lassen sich sehr viel genauere Aussagen über die Erfüllung der jeweiligen Anforderungen treffen. Auf Basis von Standards, wie etwa CSA oder ISO-Normen, sollen dabei kontinuierlich und (teil)automatisiert die Anforderungen eines Zertifikats überprüft werden, um einen stets aktuellen Systemzustand abbilden zu können. So soll der Aussagegehalt von Zertifikaten und damit das Vertrauen der Nutzer in selbige erhöht werden.

Aus rechtswissenschaftlicher Perspektive besteht Forschungsbedarf hinsichtlich Datenschutz und Datensicherheit bei der Zertifizierung von Cloud-Diensten. Bislang mangelt es an Vorschlägen für eine konkrete rechtliche Rahmensetzung für eine solche Zertifizierung. Schwerpunkte der Forschungsarbeit der Projektgruppe verfassungsverträgliche Technikgestaltung werden die Dynamik und die (Teil-)Automatisierbarkeit von Prüfungsschritten betreffen. Erforscht werden sollen zudem Rechtswirkungen eines solchen Zertifikats sowie Rechtsfolgen seiner fehlerhaften Erteilung. Die Projektgruppe verfassungsverträgliche Technikgestaltung hat sich zum Ziel gesetzt, nicht nur die rechtliche Zulässigkeit dynamischer Zertifizierungsverfahren für Cloud-Dienste zu überprüfen, sondern darüber hinaus konkrete Vorschläge für eine bestmögliche rechtskonforme Gestaltung zu erarbeiten.

Das Projekt NGCert wird im Rahmen der Hightech-Strategie der Bundesregierung durch das Bundesministerium für Bildung und Forschung (BMBF) zusammen mit vier weiteren Projekten im Forschungsfeld „Sicheres Cloud Computing“ gefördert, um das Innovationspotenzial der Spitzenforschung im Bereich der Informations- und Kommunikationstechnologien auszubauen.

Projektpartner: