Cloud Computing: BSI und Schwarz Digits planen Kooperation
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Stackit, der Cloud-Provider von Schwarz Digits aus dem baden-württembergischen Neckarsulm, streben eine strategische Kooperation an. Ziel ist unter anderem die gemeinsame Entwicklung souveräner Cloud-Lösungen, die auch für den Einsatz in der Bundesverwaltung nutzbar gemacht werden können.
Für eine moderne und digitale Verwaltung ist die Nutzung von Cloud-Angeboten unumgänglich. Um dabei auch den mit Cloud Computing verbundenen Risiken sowie aktuellen geopolitischen Entwicklungen Rechnung zu tragen, hat das BSI eine Cloud-Strategie entwickelt. Diese sieht zum einen vor, nationale und europäische Cloud-Strukturen konkurrenzfähig zu gestalten und zum anderen zu analysieren, inwieweit die Public Clouds der Hyperscaler aktiv und sicher in Deutschland nutzbar gemacht werden können.
Um die Cloud-Lösungen der Hersteller eingehend und in der notwendigen Sorgfalt prüfen zu können, bedient sich das BSI des Mittels der Kooperationsvereinbarungen: Sie bilden einen verbindlichen Rechtsrahmen, um auch hoch vertrauliche Informationen auszutauschen und in der Tiefe technische Analysen und Bewertungen durchführen zu können. Zum aktuellen Zeitpunkt hat das BSI entsprechende Kooperationen mit den Cloud Service Providern SAP, Oracle und Google Cloud vereinbart; neben der Partnerschaft mit Stackit ist auch eine Kooperation mit dem US-amerikanischen Anbieter Amazon Web Services (AWS) geplant.
Innerhalb der Kooperationen führt das BSI Risiko- und Bedrohungsanalysen durch, um davon technische und strukturelle Sicherheitsanforderungen und -maßnahmen abzuleiten, die standortunabhängig für alle Cloud Service Provider gelten sollen. Der Einsatz kryptografischer Schutzmechanismen, konkret die Verschlüsselung von Daten während ihrer Übertragung in Netzen und beim Speichern, ist in diesem Zusammenhang ein essenzieller Baustein. Dies gilt insbesondere, da in Cloud-Angeboten für die Speicherung dieser Informationen die Ressourcen Dritter verwendet werden. Bei diesem Einsatz muss sichergestellt werden, dass heute verschlüsselte Daten auch in Zukunft sicher sind. Dies beugt der Gefahr vor, dass Daten verschlüsselt abgegriffen und in Zukunft dann entschlüsselt werden (store now, decrypt later).
Bei der Entwicklung, Auswahl und Konfiguration kryptografischer Verfahren müssen daher vorhersehbare technologische Entwicklungen und damit eventuell neu entstehende Bedrohungen berücksichtigt werden. Hierunter fällt einerseits die sukzessive Verbesserung der Leistungsfähigkeit klassischer Hardware, aber auch die potenzielle Entwicklung von Quantencomputern. Aus Ersterer folgt, dass Schlüssellängen so gewählt werden müssen, dass Verschlüsselungen auch in naher und mittlerer Zukunft Brute-Force-Angriffen standhalten können. Aus Letzterer folgt die Notwendigkeit von Post-Quanten-Kryptographie, d. h. der Einsatz von Verfahren, welche auch mit Quantencomputern nicht effizient angegriffen werden können.
Im Interesse der langfristigen Informationssicherheit untersucht das BSI daher in Angeboten insbesondere die eingesetzten kryptografischen Verfahren, um deren Tauglichkeit und Konformität zu nationalen Anforderungen bewerten zu können. Eine geeignete Ausgestaltung der Sicherheitsarchitektur einschließlich Verschlüsselung und externem Schlüsselmanagement kann darüber hinaus den Klartextzugriff durch den Cloud Service Provider selbst unterbinden. In diesem Falle wären Daten beispielsweise auch gegenüber Anfragen auf Basis des Cloud Act geschützt, da dem Cloud Service Provider technisch die Möglichkeit entzogen ist, sich Zugang zu den geforderten Daten zu verschaffen.
Mit den Kooperationsvereinbarungen werden keine Vergabe- oder Implementierungsentscheidungen getroffen – diese liegen außerhalb der Zuständigkeit des BSI. Das BSI verfolgt das Ziel, ein breites Spektrum an sicheren technologischen Angeboten zu prüfen, aus denen Bedarfsträger wählen können.
