Fraunhofer AISEC
03.06.2019, 08:12 Uhr
Clouditor: Continuous Cloud Assurance
Mit der neuen Community-Edition des »AISEC-Clouditors« können Unternehmen die Konfigurationen ihrer Cloud-basierten Anwendungen auditieren und damit die Grundlage für mehr Sicherheit schaffen.
An der Cloud führt kein Weg mehr vorbei. Um konkurrenzfähig und innovativ zu bleiben, verwalten immer mehr Unternehmen ihre Daten und Geschäftsprozesse in Cloud-basierten Diensten. Doch mit der Cloud erhöht sich gleichzeitig die Komplexität: Werden Konfigurationen falsch gewählt, können unter Umständen sensible Daten offengelegt werden. Gerade kleine und mittelständische Unternehmen setzen deswegen häufig auf Compliance-Tools, die sie beim sicheren und rechtskonformen Einsatz von Cloud-Services unterstützen. Dass die Anbieter dieser Dienste häufig im Ausland sitzen, lässt viele Unternehmen zögern. Aus diesem Grund hat das Fraunhofer AISEC jetzt eine Community-Edition des »AISEC-Clouditors« veröffentlicht. Mit diesem Compliance-Tool können Unternehmen die Konfigurationen ihrer Cloud-basierten Anwendungen auditieren und damit die Grundlage für mehr Sicherheit schaffen.
Laut aktuellem KPMG Cloud-Monitor 2018 setzen inzwischen 66 Prozent der Unternehmen in Deutschland auf Cloud-Computing. Damit sind für viele Unternehmen jedoch auch große Sicherheitsbedenken verbunden. Über die Hälfte aller befragten Unternehmen befürchtet, dass mit dem Einsatz der Cloud das Risiko unberechtigter Zugriffe von außen oder sogar der Verlust sensibler Unternehmensdaten steigen kann (ebenfalls KPMG Cloud-Monitor 2018). Zwar werden zu Cloud-Services auch Compliance-Tools angeboten, die Unternehmen bei der Absicherung unterstützen sollen. Da diese Dienste jedoch häufig nicht in Deutschland betrieben werden und keinen Einblick in ihren Quelltext erlauben, bleiben bei vielen Unternehmen die Bedenken bezüglich der Risiken für Datenschutz und Datensicherheit bestehen. Es gilt nämlich das Prinzip der »Shared Responsibility«: Die Verantwortung der sicheren Nutzung und die Aktivierung entsprechender Sicherheitsfeatures verbleibt beim Nutzer selbst. Erschwerend kommt hinzu, dass sich der Umfang der Cloud-Nutzung oft fließend ändert. Sicherheitseinstellungen müssen in diesem Fall ad hoc an immer neue Cloud-Konfigurationen angepasst werden.
Um Cloud-Dienste sicher – und insbesondere auch rechtskonform – zu betreiben, sind also Know-how und Personalressourcen erforderlich. Gerade für kleine und mittelständische Unternehmen besteht hierin eine große Hürde. Deshalb speichern lediglich 30 Prozent der Unternehmen kritische Business-Informationen und -prozesse in der Cloud (KPMG Cloud-Monitor 2018). Das große Potenzial des Cloud-Computings bleibt allen anderen Unternehmen damit verschlossen.
Kontinuierliche Auditierung auf Open-Source-Basis
Mit dem »Clouditor« hat das Fraunhofer AISEC ein Assurance-Werkzeug entwickelt, das die sichere Konfiguration von Cloud-Services überprüft und Schwachstellen detektiert. »Wir wollen sicherstellen, dass auch kleine und mittelständische Unternehmen mit wenig Ressourcen von den Vorteilen der Cloud profitieren können«, sagt Dr. Philipp Stephanow, Senior Researcher und Leiter des Projekts. »Sie erhalten dadurch die notwendige Flexibilität, um innovative Produkte schneller auf den Markt zu bringen. Häufig verlieren sie dabei aber die Kontrolle über ihre Daten und den Überblick über ihre Compliance. Der Clouditor unterstützt hier als digitaler Auditor und hilft so, Geschäftsrisiken frühzeitig zu erkennen und entsprechende Gegenmaßnahmen einzuleiten.«
Die Community-Edition des Clouditors ist nun auf GitHub veröffentlicht und frei verfügbar. »Viele Compliance-Dienste-Anbieter haben ihren Sitz in den USA und lassen sich nur ungern in die Karten schauen«, ergänzt Christian Banse, Abteilungsleiter Service and Application Security. »Als Forscherinnen und Forscher an einem unabhängigen, herstellerneutralen Institut war es uns besonders wichtig, ein Tool zu entwickeln, das Vertrauen schafft. Deswegen haben wir die Community-Edition des Clouditors auf Open-Source-Basis konzipiert. Beschaffenheit und Arbeitsweise des Clouditors sind transparent. Im Schulterschluss mit der Community wollen wir es außerdem kontinuierlich anpassen und weiterentwickeln.«
Der Clouditor nimmt über die APIs von Cloud-Providern wie zum Beispiel Amazon Web Services oder Microsoft Azure kontinuierliche und automatisiert durchgeführte Überprüfungen von Sicherheits- und Compliance-Anforderungen vor. Das Werkzeug basiert auf Konfigurationskatalogen, die Best Practices für die Security beschreiben und benutzerdefiniert angepasst werden können. Abweichungen von Best Practices bei Anforderungen an Datensicherheit, geographische Zuordnungen der Ressourcen oder an das Identitäts- und Zugriffsmanagement werden direkt detektiert, was eine unmittelbare Reaktion und Anpassung der Konfiguration ermöglicht. Gegenüber herstellergebundenen Compliance-Diensten zeichnet sich der Clouditor durch Neutralität aus. Die Entwicklung auf Open-Source-Basis ermöglicht der Community jederzeit Einblick in den Quellcode.
Seit 2016 arbeiten die Wissenschaftlerinnen und Wissenschaftler des Fraunhofer AISEC an diesem Ansatz. Unterstützt wurde das Projekt im Rahmen von »NGCert« durch das Bundesministerium für Bildung und Forschung sowie im Rahmen von »EU-SEC« durch die Europäische Union.
Der Clouditor ist ab sofort verfügbar unter http://github.com/clouditor.Im Rahmen der TechDays Munich wird das Tool am 3. Juni 2019 am Stand des Fraunhofer AISEC in seiner Funktionsweise demonstriert.