Forschungsprojekte

Federation Architecture for Composed Infrastructure Services (FACIS)

FACIS steht für Federation Architecture for Composed Infrastructure Services.

FACIS steht an vorderster Front, wenn es darum geht, die Zukunft digitaler Ökosysteme zu gestalten und kritische Herausforderungen in Bezug auf Interoperabilität, Governance und die steigende Nachfrage nach flexiblen, dezentralen Infrastrukturen zu bewältigen. Durch die Kombination von Spitzentechnologien wie Federation Architecture Patterns (FAPs), maschinenlesbaren Service Level Agreements (SLAs) und Low-Code-Lösungen mit robusten Governance Frameworks fördert FACIS ein nahtloses Multi-Provider Cloud-Edge Continuum.

Dieser Ansatz gewährleistet eine verbesserte Skalierbarkeit, Sicherheit und Compliance, während Unternehmen die Kontrolle über ihre Daten behalten können. FACIS setzt sich auch für Open-Source-Innovationen ein und fördert so die Transparenz und den Einbezug in die digitale Landschaft Europas. Durch die Ermöglichung einer nahtlosen Zusammenarbeit zwischen verschiedenen Anbietern und Nutzern ebnet FACIS den Weg für skalierbare, innovative und souveräne Cloud-Edge-Lösungen und deren nahtlose Integration in Cloud-Edge-Umgebungen.

Das Fachgebiet unterstüzt das FACIS-Projekt bei der Entwicklung eines SLA Governance Framework.

Accountable Artificial Intelligence-based Systems: Eine Multi-Perspektivische Analyse

Entwicklungen im Bereich der Artificial Intelligence (AI) bieten neue innovative Möglichkeiten zum Wohlbefinden und Fortschritt einzelner Individuen und der Gesellschaft beizutragen. Aufgrund einer Vielzahl von Vorfällen mit AI (bspw. Diskriminierung durch AI-Prognosen) gewinnt jedoch die Accountability von AI immer mehr an Bedeutung. Accountability bedeutet im Allgemeinen, dass durchgeführte Handlungen eindeutig einer Person zugeordnet werden können. Angewandt auf AI bezeichnen Accountable AI-basierte Informationssysteme (AAIS) ein sozio-technisches Beziehungsgefüge aus Menschen die mit AI-Technologien in Interaktion stehen, um gewisse Aufgaben zu erfüllen, wobei die Handlungen im Rahmen der Interaktion eindeutig einer Person zurechenbar gemacht werden können. Damit soll die Rechenschaftspflicht sichergestellt werden, um jemanden im Falle eines Versagens des AI-basierten IS rechtlich zur Verantwortung zu ziehen.

Während die Rufe zur Entwicklung und Einbettung von Mechanismen zur Schaffung von Accountability in AI-basierten IS lauter werden, steht die Forschung zu AAIS noch am Anfang. Ausgehend von dem aktuellen Stand der Forschung herrscht konzeptuelle Unklarheit über AAIS aufgrund der Vielzahl an Begriffsdefinitionen und der unterschiedlichen Meinungen, welche Ziele durch die Schaffung von Accountability verfolgt werden sollen. Zum anderen fehlt es an validierten Erkenntnissen und Erklärungsmodellen dazu, wie sich der Einsatz von Accountability-Mechanismen auf die Entwicklung, den Betrieb und die Nutzung von AI auswirkt. Daraus ergeben sich drei Forschungsfragen, welche im Rahmen dieses Projektes beantwortet werden sollen: (1) „Welchen Facetten von Accountability sind relevant für AAIS?“, (2) „Welchen Einfluss hat Accountability auf die Wahrnehmung bei der Entwicklung, dem Betrieb und die Nutzung von AI?“ und (3) „Wie wirkt sich Accountability auf das Verhalten von AI-Nutzern und Architekten aus?“.

DIRECTIONS – Data Protection Certification for Educational Information Systems

Ziel des Forschungsprojekts Data Protection Certification for Educational Information Systems („DIRECTIONS“) ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren Datenschutzzertifizierung für schulische Informationssysteme. Eine Zertifizierung nach Maßgabe der Datenschutz-Grundverordnung (DSGVO) ist im Interesse aller Beteiligten: der Betroffenen, also insbesondere der Schüler*innen, deren personenbezogene Daten geschützt werden; der Schulen und Schulträger, die nur mit solchen Informationssystem-Anbietern zusammenarbeiten dürfen, die hinreichend Garantien zur Einhaltung des Datenschutzes vorweisen können; der Anbieter, die ihren Kunden mit einer Zertifizierung eben diese Sicherheit nachweislich bieten können; und der Zertifizierungsstellen, für deren Geschäftsfeld die DSGVO zwingende Regeln vorsieht.

Um das Projektziel zu erreichen, werden zwei Ausbaustufen von DIRECTIONS angestrebt: Zunächst wird ein Gütesiegel entworfen und erprobt, welches anschließend zu einer bewilligten und anerkannten Datenschutzzertifizierung weiterentwickelt und angewendet wird. Durch die Entwicklung eines Gütesiegels in der ersten Ausbaustufe kann kurzfristig ein Mittel geschaffen werden, welches Anbieter von schulischen Informationssystemen zur Kommunikation ihrer Datenschutzpraktiken verwenden können. Damit kann bereits frühzeitig Transparenz und Vergleichbarkeit am Markt geschaffen und potenzielle Unsicherheiten abgebaut werden. Allerdings ist ein Gütesiegel nicht ausreichend um die Konformität der DSGVO nachzuweisen. Aus diesem Grund ist in der zweiten Ausbaustufe vorgesehen, das Gütesiegel zu einer Datenschutzzertifizierung gem. Art. 42 DSGVO weiterzuentwickeln und formal genehmigen zu lassen.

Um die Ausbaustufen umzusetzen werden zunächst geeignete Zertifizierungsgegenstände festgelegt, welche Datenverarbeitungsvorgänge von Verantwortlichen oder Auftragsverarbeitern umfassen. Im Anschluss soll ein Kriterienkatalog für das Gütesiegel und die Zertifizierung nach der DSGVO entwickelt werden. Außerdem werden geeignete Organisationsstrukturen und Verfahren zur Prüfung und Vergabe eines Gütesiegels sowie zur Durchführung einer anerkannten Datenschutzzertifizierung konzipiert. Hierzu zählt insbesondere auch die Spezifikation von modularen Zertifizierungsprozessen, um den Bedürfnissen von kleinen und mittelgroßen Unternehmen gerecht zu werden. Um eine nachhaltige Verwendung und weitreichende Verbreitung von DIRECTIONS sicherzustellen, werden schließlich Anwendungskonzepte für ein nachhaltig erfolgreiches Gütesiegel und Zertifizierungsverfahren untersucht und öffentlichkeitswirksame Maßnahmen durchgeführt. Das entwickelte Gütesiegel soll zeitnah in der Praxis bei ausgewählten Partnern umgesetzt werden. Das erarbeitete Zertifizierungsverfahren und die im DIRECTIONS-Projekt erarbeiteten Kriterien sollen schließlich auf ihre Akkreditierungsfähigkeit begutachtet und in der Praxis erprobt und validiert werden.

Abgeschlossene Forschungsprojekte

AUDITOR: European Cloud Service Data Protection Certification

Das Forschungsprojekt „AUDITOR“ hat die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten zum Ziel. Die Zertifizierung nach Maßgabe der Datenschutz-Grundverordnung dient den Interessen aller Beteiligten: Der Cloud-Kunden, die nur mit solchen Cloud-Anbietern zusammenarbeiten dürfen, die hinreichende Garantien zur Einhaltung des Datenschutzes vorweisen können; der Cloud-Anbieter, die mit einer Zertifizierung einen solchen Nachweis führen können; der Zertifizierer, für deren Geschäftsfeld die Datenschutz-Grundverordnung zwingende Regeln vorsieht und der potentiell durch die Datenverwendungen betroffenen Endverbraucher, deren Schutz personenbezogener Daten im Mittelpunkt der Zertifizierung von Cloud-Diensten steht. Um eine nachhaltige Datenschutzzertifizierung zu konzipieren, wird zunächst ein Kriterienkatalog für die Zertifizierung von Cloud-Diensten nach der Datenschutz-Grundverordnung entwickelt und eine entsprechende Standardisierung angestrebt. Außerdem werden geeignete Organisationsstrukturen und Verfahren zur Durchführung einer europaweit anerkannten Datenschutzzertifizierung konzipiert. Hierzu zählt insbesondere auch die Spezifikation von modularen Zertifizierungs- und Auditierungsprozessen. Um eine nachhaltige Verwendung und weitreichende Verbreitung von AUDITOR sicherzustellen, werden schließlich Geschäftsmodelle für ein nachhaltig erfolgreiches AUDITOR-Verfahren untersucht. Das erarbeitete Zertifizierungsverfahren und die im AUDITOR-Projekt erarbeiteten und für eine Standardisierung vorbereiteten Kriterien sollen schließlich noch während der Projektlaufzeit in der Praxis erprobt und validiert werden. Das Projekt AUDITOR wird durch das Bundesministerium für Wirtschaft und Energie (BMWi) gefördert, um vertrauenswürdige Cloud Services für die Wirtschaft – insbesondere für den Mittelstand – auf dem europäischen Binnenmarkt weiter zu etablieren und dabei die bestmögliche Einhaltung des Datenschutzrechts durch die Förderung von Zertifizierungen zu gewährleisten.

GAIA-X Federation Services

Im Rahmen des Projektes GAIA-X werden die Grundlagen für den Aufbau einer vernetzten, offenen Dateninfrastruktur auf Basis europäischer Werte erarbeitet. Aus der Vernetzung dezentraler Infrastrukturdienste soll eine Dateninfrastruktur entstehen, die zu einem homogenen, nutzerfreundlichen System zusammengeführt werden, in dem Daten sicher und vertrauensvoll verfügbar gemacht und geteilt werden können.

Um das Projekt GAIA-X weiter zu unterstützen, hat das Bundesministerium für Wirtschaft und Energie im ersten Schritt eine Forschungsförderung unter dem Projektnamen „GAIA-X Federation Services“ vergeben, welches durch den eco e.V. koordiniert wird.

Das Fachgebiet unterstützt im Rahmen eines Unterauftrages das Arbeitspaket „Compliance“. Insbesondere unterstützt die Forschungsgruppe bei folgenden Tätigkeiten:

Design eines Prozesses zum Onboarding von Services, Provider und Data Assets in das GAIA-X Ökosystem auf Basis des bestehenden Zertifizierungskonzepts von GAIA-X. Hierbei unterstützt das Fachgebiet bei der Identifikation und Beschreibung wesentlicher Prozessschritte und deren gegenseitige Abhängigkeiten.
Beschreibung von Governance- und Policy Regeln. Hierbei greift das Fachgebiet insbesondere auf Erkenntnisse ihres Projektes AUDITOR zurück und prüft, in wieweit datenschutzrechtliche Anforderungen aus AUDITOR auch relevant für GAIA-X sind.
Erstellung eines Basisframeworks für die Durchführung eines kontinuierlichen Monitorings. Die Forschungsgruppe unterstützt bei der Erstellung eines sozio-technischen Monitoringkonzepts für drei ausgewählte Kontrollen (bspw. Geo-Lokation, Verfügbarkeit und Verschlüsselung). Hierbei fließen insb. die Erkenntnisse aus den Vorarbeiten aus dem Projekt NGCert ein. So unterstützt die Forschungsgruppe bei der Konzeption und dem Design von monitoring-basierten Prüfverfahren, um die ausgewählten Kontrollen fortlaufend überprüfen zu können. Implementierungsarbeiten werden nicht vorgenommen.

Gaia-X 4 ICM: Infrastructure for end-to-end digitization of production based on GAIA-X

Die Digitalisierung der Produktion ist ein branchenweites strategisches Ziel und der wichtigste Innovationstreiber. Zwischen Ideen, Konzepten und Visionen auf der einen und der industriellen Realität auf der anderen Seite klafft jedoch noch eine große Lücke. Dies ist insbesondere bei rein datenbasierten Methoden und Lösungen der Fall, die auf hochskalierbaren Plattformen aufbauen. Zudem endet die Digitalisierung der Produktion oft auf der Werksebene, unternehmensübergreifende Ansätze sind kaum vorhanden. Im IT-Umfeld wurden diese Hürden durch Ansätze wie Edge- und Cloud-Computing sowie einheitliche Standards und Datenmodelle überwunden, die jedoch nur schwer auf die Produktionstechnik übertragbar sind. Die Kompatibilität von Architekturen und Methoden ist begrenzt, die Konnektivität ist komplex, es fehlen einheitliche Datenmodelle und es gibt weitreichende Fragen zur Kontrolle der Systeme und zur Sicherheit der Daten. Das europäische Projekt GAIA-X zielt darauf ab, eine Dateninfrastruktur zu schaffen, die diese Defizite behebt. Die von Industrie und Forschung gemeinsam getragene Initiative stützt sich auf offene Standard-IT-Lösungen, erweitert diese und nutzt sowohl zentralisierte Cloud- als auch verteilte Edge-Ansätze. Obwohl im Rahmen von GAIA-X bereits große Fortschritte erzielt wurden, eine grundlegende Architektur vorhanden ist und erste Dienste geschaffen wurden, haben bisher weder Wissenschaft noch Industrie davon profitiert. Auch die Erforschung und Weiterentwicklung der bisher entwickelten Architektur und Komponenten ist kritisch, da konkrete Implementierungen und Erfahrungen fehlen und die Einstiegshürden in das Thema sehr hoch sind. Potenzial und aktueller Stand des Projekts klaffen also stark auseinander.

Die geplanten Arbeiten gliedern sich in drei Teilprojekte, die sich an den Ebenen Basisinfrastruktur, GAIA-X Ökosystem und Anwendung orientieren.

1) Zur Schaffung der Basisinfrastruktur sollen sowohl die Hardwareressourcen als auch die notwendigen Softwarelösungen instanziiert werden. Integraler Bestandteil ist auch eine konvergente Kommunikationstechnologie, die eine entscheidende Rolle für die Konnektivität von GAIA-X bis hin zu Produktionssystemen spielt.

2) Das GAIA-X-Ökosystem wird auf der Infrastruktur aufgebaut und über die Cloud und die Edge-Knoten verteilt. Neben Basisdiensten und Datenräumen stehen hier geeignete Prozesse im Vordergrund, die u.a. das sichere und systematische Onboarding neuer Dienste und Teilnehmer ermöglichen sollen. Die Untersuchung geeigneter Integrationsmöglichkeiten für typische Anwendungen aus dem Produktionsumfeld schließt dieses Teilprojekt ab.

3) Darauf aufbauend werden verschiedene Anwendungen auf der Anwendungsebene implementiert, die innovative digitale Ansätze mit realen Produktionsszenarien koppeln. Die Umsetzung erfolgt an mehreren Standorten und umfasst sowohl die Integration der Infrastruktur in Rechenzentren als auch die Kopplung mit realen Produktionssystemen in Forschungsfabriken.

Security & Compliance Automation

Für Cloud-Provider ergeben sich durch eine steigende Zahl an relevanten, industrie- und länderübergreifenden Zertifizierungen vielfältige Herausforderungen, die von der erstmaligen Umsetzung von Zertifizierungsmaßnahmen, bis hin zur regelmäßigen Auditierung reichen. Vor diesem Hintergrund beschäftigte sich das Prof. Lins im Rahmen des „Security & Compliance Automation“ Projekts, das in Kooperation mit der SAP SE durchgeführt wird, mit neuen Möglichkeiten der Automatisierung von Compliance- und Zertifizierungsprozessen, welche zukünftig dabei helfen sollen, den Aufwand für die Erfüllung diverser Zertifizierungen zu reduzieren. Als Weiterführung des Next Generation Certification (NGCert)-Projekts, gilt es, gesammelte Erkenntnisse und Erfahrungen in der Praxis umzusetzen. Im Rahmen des Projektes werden hierzu der Ansatz für das Management von Compliance-Daten analysiert und validiert sowie Anforderungen an ein selbstauditierendes Compliance-System definiert. Das Ziel ist ebenfalls, automatische Testprozeduren und Auditregeln zu definieren und einen Proof-of-Concept für die Compliance-Automatisierung zu begleiten.

Toward better Development of Applications on DLT

Mit dem Voranschreiten der Distributed Ledger Technology (DLT) in den letzten zehn Jahren wurden Smart-Contracts für verschiedene Anwendungen interessant, die eine zuverlässige und automatisierte Durchsetzung digitaler Vereinbarungen erfordern. Smart-Contracts bieten vor allem große Chancen für die Automatisierung von Geschäftsprozessen durch die formale Darlegung des jeweiligen Geschäftsprozesses in Programmcode, was den Prozessablauf beschleunigen und gleichzeitig Kosten senken kann. Obwohl Bitcoin bereits einen einfachen OP_CODE zur Verfügung stellte, war Ethereum das erste DLT-Design, das mit der Ethereum Virtual Machine (EVM) eine Umgebung bereitstellte, die die Ausführung von Turing-vollständigem Programmcode unterstützt. Die Möglichkeit Turing-vollständigen Code zu entwickeln, der zuverlässig auf einem verteilten Ledger ausgeführt wird, hat das Anwendungsspektrum von DLT enorm vergrößert. Somit wird DLT inzwischen in industriellen Anwendungsfällen getestet. Die Verwendung von Tokens ist nicht mehr auf Kryptowährungen beschränkt. Die zunehmende Unterstützung immer mächtigerer Programmiersprachen für die Smart-Contract-Entwicklung birgt jedoch auch neuartige Probleme für die Sicherheit und Performanz von verteilten Ledgern mit sich. Beispielsweise muss bei der Entwicklung von Anwendungen auf DLT bedacht werden, dass Smart-Contracts stark an Finite State Machines angelehnt sind.

Die Entwicklung komplexer Smart-Contracts und Anwendungen auf DLT erfordert ein fundiertes Verständnis über die Ausführung von Smart-Contract Code in einem verteilten Ledger, um die aktuellen Herausforderungen bei der Entwicklung von Smart-Contracts zu verstehen und Empfehlungen zur Unterstützung einer besseren Smart-Contract Entwicklung zu generieren. Daher sind wir bestrebt klarzustellen, wann und wie Smart-Contracts sinnvoll eingesetzt werden können. Darüber hinaus führen wir eine fundierte Analyse durch, wie Datenfeeds in Smart-Contracts (on-chain oder off-chain) integriert werden können. Um Praktiker und Forscher zu unterstützen, ist es unser Ziel, Software-Design-Patterns für die Entwicklung von Smart-Contracts zu entwickeln.

Unblackboxing IT Certifications: A Decompositional Analysis of IT Certifications in Electronic Markets and their Impact on Customer and Platform Provider Perceptions

Elektronische Märkte sind durch ihre einfache Handhabung und Allgegenwärtigkeit zu einem zentralen Bestandteil des alltäglichen Lebens im 21. Jahrhundert geworden. Im Vergleich zu traditionellen Märkten in der Offline-Welt herrschen eine Vielzahl neuartiger Unsicherheiten (bspw. bezüglich der IT-Sicherheit von Onlineplattformen oder in Bezug auf böswilliges Verhalten eines Plattformanbieters) und eine erhöhte Anfälligkeit für Missbrauch (bspw. Verkauf von persönlichen (Zahlungs-)Daten). Daher zögern viele Käufer online Geschäfte abzuschließen oder hegen Zweifel an dem Anbieter einer Onlineplattform. Um Unsicherheiten zu reduzieren und die Entwicklung stabiler elektronischer Märkte zu unterstützen, werden in der Forschung und Praxis IT-Zertifikate als bewährtes Mittel herangezogen, indem bspw. Transparenz bzgl. der Bestellprozesse signalisiert wird.

Im Rahmen des Projektes konnten drei zentrale Forschungslücken im Themenfeld von IT-Zertifikaten für Onlineplattformen adressiert werden: (1) Explizite Betrachtung struktureller Unterschiede zwischen IT-Zertifikaten als Einflussfaktor auf ihre Wirksamkeit (Öffnung der „Black-Box“), (2) Verknüpfung der Sichtweisen von Kunden und Plattformanbietern sowie (3) optimale Darstellung/Ausgestaltung von IT-Zertifikaten.

Ausgehend von den Ergebnissen fehlt es jedoch an validierten Erkenntnissen und Erklärungsmodellen dazu, welchen Einfluss weitere Größen im Zertifizierungsökosystem auf die Wahrnehmung von IT-Zertifikaten haben. Im Kontext von IT-Zertifikaten für Onlineplattformen sind insbesondere zwei wesentliche Einflussgrößen des Zertifizierungsökosystems von Relevanz: die Zertifizierungsstelle als eine unabhängige Drittpartei sowie komplementäre bzw. konkurrierende Informationssignale auf einer Onlineplattform. Des Weiteren bleibt in der bisherigen Forschung bisher unklar, wie IT-Zertifikate langfristig auf Kunden wirken. Vor diesem Hintergrund werden im Rahmen des Projektes die folgenden weiteren Ziele angestrebt: (1) den Einfluss einer Zertifizierungsstelle als unabhängige Drittpartei bei der Wahrnehmung von IT-Zertifikaten zu erforschen, (2) die Auswirkung von Signalkonfigurationen auf die Wahrnehmung von IT-Zertifikaten zu erforschen sowie (3) die Langzeitwirkung von IT-Zertifikaten zu erforschen, wenn Kunden mehrmals mit einer zertifizierten Onlineplattform interagieren.

NGCert: Project Next Generation Certification

Die Nutzung von Cloud-Services ermöglicht es Unternehmen eine Vielzahl von finanziellen und technischen Vorteilen zu realisieren. Demgegenüber sehen sich Cloud-Service-Provider auch mit vielen Bedenken von potentiellen Nutzern hinsichtlich des Vertrauens in die angebotenen Services und deren Sicherheit konfrontiert. Es zeigt sich, dass Zertifizierungen zur Adressierung dieses Problems beitragen können, indem sie Vertrauen schaffen, die Transparenz im Cloud-Service-Markt erhöhen und es Providern ermöglichen, eingesetzte Systeme und Prozesse zu verbessern. Eine Vielzahl von Cloud-Service-Zertifizierungen, bspw. das „EuroCloud Star Audit“ von EuroCloud, wurde in den vergangenen Jahren entwickelt. Diese Zertifikate suggerieren ein hohes Maß an Sicherheit, Verfügbarkeit und Compliance, bei einer Gültigkeit von ein bis drei Jahren. Aufgrund der inhärenten Dynamik und der ständigen (technischen) Weiterentwicklung von Cloud-Services, werden jedoch hohe Anforderungen an Zertifizierungen gestellt. Daher ist eine langjährige Gültigkeit im Cloud-Computing Umfeld kritisch zu betrachten. Die Einhaltung bestimmter Anforderungen und Kriterien kann über diesen Zeitraum gefährdet sein, bspw. durch das Auftreten von schwerwiegenden Sicherheitsvorfällen oder Änderungen an der Konfiguration des Cloud-Services.

Um die Glaubwürdigkeit ausgestellter Zertifikate zu erhöhen, und um kontinuierlich sicherzustellen, dass Cloud-Services sicher und zuverlässig angeboten werden, hat das Bundesministerium für Bildung und Forschung fünf Projekte in dem Forschungsbereich „Sicheres Cloud Computing“ im Rahmen der Hightech-Strategie der Bundesregierung gefördert und initiiert. Das Projekt „Next Generation Certification“ (NGCert) beschäftigt sich mit der Forschung und Entwicklung dynamischer Zertifizierungen für Cloud-Services, die es ermöglichen kritische Anforderungen an Cloud-Services kontinuierlich und (teil-)automatisiert zu überprüfen. Prof. Lins entwickelte im Rahmen des Projektes NGCert Metriken, Messmethoden und Gestaltungsrichtlinien zur kontinuierlichen und (teil )automatisierten Zertifizierung von Cloud-Services. Neben dem KIT wirken das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), die Technische Universität München, die Universität Kassel, EuroCloud Deutschland, Fujitsu und die AKDB, sowie weitere Feld- und Transferpartner an dem Projekt mit.