Europäische Cloud Gaia X, und der Krypto-Schlüsselunfall bei einem deutschen Cloud-Anbieter


Anzeige

Wie gut ist der Ruf der deutschen Cloud-Branche eigentlich? Einem deutschen Anbieter sind wohl Krypto-Schlüssel abhanden gekommen und nun sind Daten futsch. Zudem gibt es da noch das Projekt der europäische Cloud Gaia X. zudem hat das BSI seinen C5-Kriterienkatalog für die Cloud-Prüfung aktualisiert. Heute mal ein kleiner Beitrag mit einigen Informationen zur Cloud.

Der Stoff dümpelt hier schon einige Tage auf meinem Rechner. Nach einem Leserhinweis von Lothar V. der Art 'hört sich irgendwie gruselig an' von Ende Januar war das Thema auf der Agenda. Und da gab es noch eine Pressemitteilung zu Gaia X.

Gaia X und die Dominanz der US-Cloud-Anbieter

Aktuell wird die Cloud ja von drei US-Riesen Amazon, Google und Microsoft beherrscht. Die Chinesen versuchen da auch gerade einzusteigen. Aber im Rahmen des Themas DSGVO/GDPR und auch im Hinblick auf Spionage sowie Vertraulichkeit der Daten gibt es (berechtigt) viele Bauchschmerzen in deutschen Firmen. Wie es mit der Sicherheitskultur der US-Anbieter – auch im Bezug auf Kunden – ausschaut, hatte ich zum Wochenende im Blog-Beitrag Sicherheit: Amazon, Google, Microsoft und CVE-2019-19781 aufgespießt.

Daher gibt es ja Pläne für eine europäische Cloud, die unter dem Projektnamen Gaia X zusammengefasst. Im Oktober letzten Jahren sollte das Projekt on Wirtschaftsminister Altmaier verkündet werden – sein Sturz von der Bühne hat das, glaube ich, verhindert. Der Deutschlandfunk titelte in diesem Artikel zum Thema:

Die europäische Cloud Gaia X soll Server unterschiedlicher Unternehmen und Organisationen vernetzen. Einen großen Vorteil sehen die Akteure in der Unabhängigkeit von ausländischen Cloud-Anbietern. Die Umsetzung ist für 2020 geplant, doch technische Details sind noch unklar.

Der Beitrag geht auf Gaia X und die damit verbundenen Ziele ein. Die Branche reagierte zurückhaltend, hier wird ein Scheitern prognostiziert. Das von Bundeswirtschaftsminister Peter Altmaier angekündigte Projekt Gaia-X musste viel Kritik einstecken: Zu viele Details der Umsetzung waren einfach zu unklar. Einzig bei der Zielestellung waren sich die meisten europäischen Marktbeobachter jedoch einig: Eine europäische Cloud als Gegengewicht zu den US-Amerikanischen Platzhirschen würde tatsächlich viel Sinn ergeben. Und so beginnt Microsoft bereits damit, das Projekt zu umklammern, wie heise in diesem Artikel anreißt.

Gaia X gibt es im Kern bereits

Markus Busch von Leaseweb hat sich in einem kurzen Text mit dem Ansatz befasst und meint in einem Kommentar, dass Gaia-X das unabhängige Cloud-Netzwerk sein kann, das Europa braucht. Hier seine Gedanken zum Thema.

Die Cloud hat sich längst zu einer wichtigen Kraft bei der Bereitstellung von IT-Infrastruktur etabliert. Doch die Dominanz der US-amerikanischen Hyperscaler hat viele europäische Unternehmen aber auch Regierungen in eine zunehmend schwierige Lage gebracht. Es geht um die Unabhängigkeit der in Europa ansässigen Organisationen von den Marktführern in den USA sowie den Vorschriften und Praktiken, unter denen diese Unternehmen auch europäische Daten verarbeiten.

Deutschland und Frankreich haben sich nun durch einen neuen Vorstoß vorgenommen, europäische Daten besser zu schützen. Auch die Niederlande stehen als wichtiger Cloud-Standort bereit und in den kommenden Monaten sollen noch weitere Länder mit an Bord kommen, um ein neues souveränes Ökosystem zu schaffen: Gaia-X.

Das Projekt Gaia-X ist eine Initiative, die sichere und souveräne europäische Dateninfrastruktur bereitstellen soll. Gaia-X soll durch lokale Gesetze reguliert werden und komplett unabhängig von der Rechtsprechung fremder Regionen sein. Und viel wichtiger: Sie soll von europäischen Dienstleistern umgesetzt werden.

Die Datenhoheit steht im Mittelpunkt

Die neue Plattform, so der Plan, soll so einen Großteil der Risiken der Datenüberwachung beseitigen, die mit den Cloud-Angeboten der derzeitigen Marktführer aus den USA verbunden sind. Diese können dann keine Daten mehr an die US-Institutionen übermitteln, egal wo sich diese Daten befinden. Es überrascht nicht, dass Unternehmen wie Amazon und Microsoft Gaia-X kritisch gegenüberstehen. Das Wall Street Journal berichtete über Stimmen, die befürchten, dass die neue Plattform Datendienste nicht mehr über Ländergrenzen hinweg leisten könnte. Es ist unwahrscheinlich, dass die US-Anbieter Gaia-X mit offenen Armen empfangen werden.

Gaia-X ist im Kern bereits vorhanden

Der Zeitplan dafür ist straff: Von der Dateninfrastruktur, den Data-Warehouses, dem Datenpooling bis hin zur Entwicklung der Dateninteroperabilität soll Gaia-X noch in diesem Jahr realisiert werden. Dies klingt zwar ambitioniert, ist aber durchaus realisierbar. Denn tatsächlich gibt es längst lokale, europäische Anbieter, die bereits umsetzen, was Gaia-X verspricht. Es geht also unter anderem darum, die unterschiedlichen Angebote dieser Anbieter technologisch und vermarktungstechnisch unter einem Dach zu vereinen.


Anzeige

Gaia-X bietet Chance für Europa

Egal, wie die Umsetzung letzten Endes gestaltet werden wird, Leaseweb Deutschland unterstützt die Gaia-X-Initiative tatkräftig, um die Schaffung eines europaweiten Cloud-Netzes sicherzustellen. Auch zahlreiche lokale Unternehmen, für die das Risiko der Datenüberwachung schon lange ein ernstes Problem war, wollen die neue Plattform aktiv unterstützen. Generell erwarten wir, dass das Projekt erfolgreich sein und sich das Ergebnis der Initiative positiv auf die Digitalisierung des europäischen Marktes auswirken kann."

Die verlorenen Crypto-Schlüssel

Die Ausführungen in den letzten Absätzen klingen gut. Allerdings müssen manche Anbieter wohl noch einige Hausaufgaben machen. Blog-Leser Lothar wies mich auf diesen VRN-Artikel vom 20. Januar 2020 hin (danke dafür).

Die Botschaft: Bezüglich der Absicherung der Daten (gegen Fremdzugriffe), haben deutsche Cloud-Anbieter in der Regel aufgrund ihrer hohen Standards die Nase vorn. Allerdings gab es wohl kürzlich eine heftige Panne. bei einer Routineprüfung fiel auf, dass einem deutschen Anbieter Kryptografie-Schlüssel abhanden gekommen sind. Ein solcher Umstand hat zur Folge, dass der Cloud-Anbieter und auch dessen Kunden keinen Zugriff mehr auf bestimmte Dateien haben. Nur Kunden, die beim Anbieter eine kostenpflichtige Backup-Option gebucht hatten, verfügen dort noch über den Zugriff auf ihre Daten – eigentlich ein Unding.

EuroCloud: BSI C5 Anforderungs-Katalog Cloud Computing

Am 21. Januar 2020 hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) den Cloud Computing Compliance Criteria Catalogue (C5) in einer neuen Endversion C5:2020 vorgestellt. Die Aktualisierungen umfassen sowohl die formalen Regelungen als auch insbesondere die Kriterien, die an den aktuellen Stand der Technik angepasst wurden.

„Mit der Aktualisierung bestätigt das BSI, dass sich C5 bei der Prüfung von Cloud Diensten bewährt hat", erläutert EuroCloud Direktor Andreas Weiss. „Inzwischen ist der C5 auch international etabliert und wird weltweit zum Nachweis von Sicherheit von Cloud-Diensten verwendet." Drei Jahre lang haben Cloud-Anbieter, Kunden und Prüfer Erfahrung sammeln können. Um diese Erfolgsgeschichte fortzusetzen, wurde der C5 in diesem Jahr einer Revision unterzogen, da Cloud-Techniken schnellen Innovationen unterworfen sind.

Basislinie für die Informationssicherheit von Cloud Diensten

Den Kriterienkatalog hatte das BSI 2016 veröffentlicht, um eine Basislinie für die Informationssicherheit von Cloud-Diensten zu definieren. Inzwischen wird der C5 besonders von Hyperscalern wie AWS, Microsoft oder Google zum Nachweis von Sicherheit von Cloud-Diensten verwendet. In die Überarbeitung flossen die Erfahrungen von Cloud-Nutzern, -Anbietern und -Prüfern ein. Kernpunkte der Überarbeitung sind unter anderem die neue Domäne Produktsicherheit, womit die Regelungen des EU Cyber Security Acts adressiert werden, und die Berücksichtigung von DevOps. Besonders zu erwähnen sind auch die technischen und organisatorischen Anforderungen der DSGVO und die zunehmend notwendige erweiterte Risikobetrachtung beim Einsatz von Cloud Diensten.

Zertifizierungen gemäß DSGVO aktuell noch nicht möglich

Es ist weiterhin vorgesehen, dass die Testierung nach C5 gemäß C5:2020 qualifizierten Wirtschaftsprüfungsgesellschaften vorbehalten ist. „Aufgrund der Kostenstruktur ist eine breite Anwendbarkeit zurzeit nicht erkennbar. Ob das Verfahren nun auch für mittelständische Cloud-Anbieter anwendbar wird, bleibt abzuwarten", gibt Andreas Weiss zu bedenken. Einschränkend wirkt zudem die Tatsache, dass das Verfahren nach ISAE 3000 derzeit nicht akkreditiert ist und beispielsweise Zertifizierungen gemäß DSGVO damit nicht möglich sind. Dennoch ist der Prüfkatalog eine wichtige Referenz für aktuelle Projekte, beispielsweise das derzeit in Arbeit befindliche DSGVO Zertifizierungsverfahren AUDITOR.

Diese Kompetenz wird nun auch in die Prüfverfahren für die Cloud Dienste im GAIA-X Ökosystem Berücksichtigung finden. Das Kompetenznetzwerk Trusted Cloud hat hier die Aufgabe, angemessene Prüf- und Anerkennungsverfahren für das Onboarding von Anbietern und Diensten für GAIA-X zu koordinieren.

Ach, noch was: Auch Microsoft hat 10 Empfehlungen für den Cloud-Datenschutz veröffentlicht.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Europäische Cloud Gaia X, und der Krypto-Schlüsselunfall bei einem deutschen Cloud-Anbieter

  1. Robert Richter sagt:

    "…und auch im Hinblick auf Spionage sowie Vertraulichkeit der Daten gibt es (berechtigt) viele Bauchschmerzen in deutschen Firmen." und "Diese können dann keine Daten mehr an die US-Institutionen übermitteln, egal wo sich diese Daten befinden."

    Hahaha… – wer glaubt denn so etwas??

    siehe: https://www.zeit.de/politik/ausland/2020-02/bnd-cia-geheimdienste-verschluesselte-kommunikation-zdf

    Wo ist da noch eine Spur von VERTRAUEN? …oder besser: "Wer einmal lügt, dem glaubt man nicht."

    Daten 'ausser Haus' ist ein Alptraum-Szenario. Punkt.
    Zumal man dann von der (In-)Kompetenz der Betreiberfirmen abhängig ist.

  2. Ismail sagt:

    OT:
    Wer erinnert sich nochmal an "captain planet"? :-)

    *Kindheits Erinnerungen*

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.