Emerald – das EU-Projekt für sichere und souveräne Cloud-Dienste

Shownotes

Cyberangriffe, Datenschutzverletzungen und neue Regulierungen: Die Anforderungen an Cloud-Anbieter in Europa steigen kontinuierlich. Das EU-Projekt „Emerald“ setzt genau hier an – mit einem Zertifizierungsframework, das Sicherheit und Compliance stärkt. Im Rahmen der Cybersecurity-Schwerpunktwoche diskutierte Eva Komarek im Expertentalk mit Björn Fanta, Geschäftsführer der Fabasoft Research GmbH, über die Bedeutung dieses Projekts.

„Emerald“ zielt darauf ab, Vertrauen in Cloud-Anbieter und -Dienste zu schaffen und die digitale Souveränität Europas zu stärken. „Das Framework bringt sehr hohe Zertifizierungsstandards auch in jene Unternehmen, die nicht über Dutzende Mitarbeiter für das Thema verfügen“, betont Fanta. Es gehe um die Reduktion von Komplexität, die Unterstützung bei Cybersecurity-Zertifizierungen, die Vereinheitlichung technischer Mechanismen – und letztlich darum, alle europäischen Anbieter mitzunehmen.

Unterstützung entlang des gesamten Auditprozesses

Ein zentrales Ziel von „Emerald“ ist es, einen benutzerfreundlichen Rahmen für die kontinuierliche Auditierung zu schaffen und gleichzeitig Sicherheit sowie Effizienz bei der Nutzung von Cloud-Diensten zu steigern. Alle Beteiligten – Compliance- bzw. Zertifizierungsverantwortliche in Unternehmen sowie Auditor:innen – werden entlang des gesamten Auditprozesses eingebunden und unterstützt.

Fabasoft beleuchtet in einem internationalen Forschungsprojekt konkrete Fragen zur praktischen Umsetzung, darunter: Wie teilt man Aufgaben sinnvoll auf? Wer ist für welche Zertifizierungsschritte zuständig? „Das reicht bis zur richtigen Implementierung einer technischen Kontrolle“, so Fanta.

Transparenz als Vertrauensbasis

Darüber hinaus soll „Emerald“ auch als Vertrauenssiegel für Endnutzer:innen dienen, indem es Prozesse nachvollziehbar und transparent macht. Nur wer Risiken einschätzen und verstehen kann – und diese in einem digital abgebildeten Auditprozess kontrolliert –, schafft die Basis für Vertrauen. Gleichzeitig versteht sich „Emerald“ als europäische Antwort auf die enormen Investitionsvolumina amerikanischer Hyperscaler. „Es braucht alle Stakeholder, um ein solches Projekt zu realisieren“, erklärt Fanta. Fabasoft sei dabei nicht nur mit einem konkreten Anwendungsfall vertreten, sondern auch als Technologiepartner aktiv. Seine Prognose: „In fünf Jahren wird sich die Herangehensweise an traditionelle Audits und an das Serviceangebot von Auditor:innen grundlegend ändern. Es wird möglich sein, den gesamten Auditprozess zu automatisieren und kontinuierliche Compliance sicherzustellen.“

Information: Alle Expert:innengespräche zur Themenwoche „Cybersecurity“ sind nachzusehen unter diepresse.com/cybersecurity. Dieser Inhalt wurde von der „Presse“-Redaktion in Unabhängigkeit gestaltet. Er wurde mit finanzieller Unterstützung von Fabasoft ermöglicht.

Transkript anzeigen

00:00:00: Dieser Inhalt wurde von der Presse in redaktioneller Unabhängigkeit gestaltet.

00:00:04: Er ist mit finanzieller Unterstützung unseres Kooperationspartners entstanden.

00:00:08: Cyberangriffe, Datenschutzverletzungen, neue Regulierungen.

00:00:17: Die Anforderungen an Cloud-Anbieter in Europa nehmen kontinuierlich zu.

00:00:21: Genau hier setzt das EU-Projekt Emerald an.

00:00:26: Mit einem innovativen Zertifizierungsframework soll es Sicherheitsstandards und Compliance-Prozesse deutlich effizienter machen.

00:00:33: Im Rahmen der Cybersecurity-Schwerpunktwoche spricht Eva Komarek im Presse-Studio mit Björn Fanta,

00:00:40: Geschäftsführer der Fabersoft Research GmbH,

00:00:43: über die Ziele von Emerald und über Wege, wie digitale Sicherheit in Europa zukunftsfähig gestaltet werden kann.

00:00:51: Alle Beiträge zur Themenwoche finden Sie unter depresse.com/cybersecurity.

00:00:56: Herr Fanta, das EU-Projekt Emerald klingt nach einem recht technischen Begriff.

00:01:02: Was steckt denn dahinter und warum ist denn gerade jetzt so relevant für Cloud-Anbieter in Europa?

00:01:08: Natürlich ist es ein technisches Projekt, das stimmt.

00:01:10: Es ist auch ein Innovationsprojekt auf EU-Ebene,

00:01:13: wo wir verschiedene Nachweise automatisieren wollen, standardisieren wollen,

00:01:18: aber mal von diesen ganzen technischen Aspekten weg ist der Zeitpunkt, sich mit solchen Themen auseinanderzusetzen,

00:01:25: gerade jetzt in der ganzen Diskussion über Vertrauen, Souveränität von europäischen Cloud-Anbietern oder Cloud-Diensten sehr zentral.

00:01:33: Es gibt sehr viel, was sich dort bei uns ändert, wo man drüber nachdenkt,

00:01:37: inwiefern man laut Anbieter in Europa unterstützt, sichere Dienste anzubieten.

00:01:43: Und dort ist ein Projekt, wie Emerald, genau im Zentrum drin, um eben sehr hohe Zertifizierungsstandards,

00:01:51: sehr hohe Sicherheit auch zu Unternehmen zu bringen, die eventuell nicht 20, 30 Mannabteilungen auf dieses Thema ansetzen können.

00:01:59: Das heißt, es geht darum, Komplexität zu reduzieren,

00:02:02: Anwendungen in der Cybersecurity Zertifizierung zu unterstützen

00:02:06: und dort Dinge zu vereinheitlichen und möglich zu machen und eben alle Anbieter und alle Unternehmen, die wir in Europa in diesem Bereich haben, auch mitzunehmen.

00:02:15: Vielleicht können Sie ein bisschen detaillierter auf diesen Ansatz eingehen,

00:02:19: wie konkret hilft den Unternehmern jetzt, ich sage mal, auch Zeit, Geld und Ressourcen bei der Einhaltung von so Sicherheitsstandards einzusparen?

00:02:26: Da gibt es mehrere Ansätze, ich würde glaube ich mal zwei für dieses Gespräch herausgreifen, die dort zielführend sind.

00:02:33: Und zwar einerseits die Vereinheitlichung von Anforderungen und Standards, wie ich sie kurz angesprochen hatte,

00:02:39: dass man eben sagt, inwiefern kann ich bestimmte Sicherheitsanforderungen und Risikoabschätzungen schon mal so beschreiben,

00:02:49: dass sie für mich verständlich und greifbar werden, dass ich also nicht vor einer großen Mauer und Herausforderung stehe, was muss ich eigentlich tun?

00:02:57: Das andere ist, den Anwender, den Nutzer auf unterschiedlichen Ebenen zu begleiten.

00:03:03: Das ist das, was das Emerald Framework mit der digitalisierten Lösung dort anstrebt,

00:03:09: den gesamten Auditprozess für Compliance Verantwortliche, aber auch Implementierungsverantwortliche in einem Unternehmen mitzunehmen

00:03:20: und auch die Auditoren auf dieser ganzen Auditprozessreise mitzunehmen.

00:03:25: Und dieses also in jedem Prozessschritt zu unterstützen.

00:03:28: Können Sie uns vielleicht ein bisschen skizzieren, wie so ein digital unterstützter Zertifizierungsprozess technisch funktioniert

00:03:36: und was macht Ihnen so besonders?

00:03:38: Wir haben uns dafür mit Forschungspartnern, in dem Fall tatsächlich einem österreichischen Forschungspartnern im europäischen Projekt,

00:03:45: den Auditprozess eines traditionellen Audits angeschaut.

00:03:48: Das heißt, wir haben in Firmen, die in diesem Projekt dabei sind, Fabersoft, Aionos oder CloudFaro oder auch die Keischer Bank aus Spanien beispielsweise,

00:03:56: angesehen, wie startet man mit einem gewünschten Zertifizierungsrahmen, wie fängt man an, diese Dinge aufzuteilen,

00:04:04: zu delegieren und zu schauen, wer ist für welchen Prozessschritt verantwortlich,

00:04:08: bis hin zur richtigen Implementierung einer technischen Kontrolle, also ganz runter.

00:04:13: Und dort dann auch zu sehen, wie werden diese Implementierungen und Fertigstellungen wieder zurück auf die Startebene gehoben.

00:04:21: Um dort zu sehen, bin ich mit meinem Zertifizierungsstatus fertig.

00:04:25: Das ist einfach mal ganz oberflächlich der Prozessablauf.

00:04:30: Und dort sitzen ganz viele kleine Teilschritte drin, von technischer Seite automatisiert werden können.

00:04:36: Das ist nicht immer die große Herausforderung, das schon technisch zu machen.

00:04:41: Man muss allerdings Ansätze neu denken.

00:04:44: Und was ich dort herausgreifen möchte, ist der Einsatz von Methoden der künstlichen Intelligenz,

00:04:51: um beispielsweise zu sehen, wie ich ganz große Datenmengen in Dokumenten überblicken kann

00:04:57: und einem Compliance verantwortlichen und einem Auditoren beispielsweise Vorschläge zu geben.

00:05:04: Stehen hier die Informationen drin, die gesucht werden?

00:05:08: Und wo habe ich diese Informationen gefunden, damit diese Aussage von dem System auch vertraut werden kann?

00:05:14: Sie haben jetzt vorher gerade unter anderem als Pilotanwendung die Keischer Bank erwähnt.

00:05:18: Welche konkreten Learnings gibt es denn aus dieser Zusammenarbeit?

00:05:21: Und wie hat das jetzt auch bei der DORA Verordnung geholfen?

00:05:24: Also der Digital Operational Resilience Act, also sozusagen für die Finanzdienstleistung ein relevanter Standard?

00:05:31: Ja, auf jeden Fall auch ein relevantes Vorhaben zum Thema Souveränität wieder, die DORA Initiative.

00:05:37: Inwiefern hat das geholfen? Das ist eine sehr gute Frage, denn was man dort in erster Linie gesehen hat,

00:05:42: ist, dass wir in all diesen Bereichen sehr individuell sind.

00:05:46: Die EU versucht seit einiger Zeit einen harmonisierten einheitlichen Standard, den EU-Defizit.

00:05:52: CES aufzustellen und umzusetzen. Den gibt es auch in den Entwurfsphasen. Er ist aber noch nicht operativ.

00:05:58: In dieser Zusammenarbeit in dem Emerald Projekt wollten wir den aufgreifen. Wir haben mit der

00:06:03: Kaischer Bank gesehen, wenn man im Finanzsektor nach dem Dora-Standard komplement sein möchte,

00:06:10: muss man sich bestimmte Anforderungen für die Softwarefirmen und Hard-Befirmen, mit denen man

00:06:17: arbeitet, selber aufstellen und Dora-konform definieren. Man ist also in einem Rahmen unterwegs,

00:06:25: der ganz speziell diesen Finanzsektor trifft. Zurückgespielt zu Emerald bedeutet das, wir mussten

00:06:31: sehen, dass eine Firma wie die Kaischer Bank eigene Inhalte von Sicherheitskontrollen erstellen

00:06:38: kann und sich quasi einen eigenen Sicherheitskatalog erstellt, der dann in dem System aufgegriffen

00:06:44: werden kann und einen Anbieter wie die Fabersoft oder Cloud Ferro in dem Projekt Dienste nach diesem

00:06:51: Anforderungskatalog zertifizieren könnten, also compliant dazu sind, ist das bessere Wort. Und

00:06:57: das ist dann eben losgelöst von einem EUCS oder einem BSI C5, dem deutschen Standard beispielsweise.

00:07:03: Inwiefern trägt denn das Projekt auch dazu bei, bei den europäischen Datenschutzstandards, also

00:07:08: Stichwort GVO, dazu bei, das in technische Prozesse oder Tools zu übersetzen? Also einerseits ist die

00:07:16: DSGVO ein Punkt, der, glaube ich, schon vor einigen Jahren die ganze Souveränität-Debatte, ich würde

00:07:25: mal sagen, neu angefacht und neu belebt hat. Und ich bin der Überzeugung, dass das eine sehr gute

00:07:33: Sache ist, da wir in Europa sehr stark darauf fokussiert sind, das Individuum und die persönlichen

00:07:39: Daten eines Individuums zu schützen. Das ist eines der Kernprinzipien, worauf dann auch weitere

00:07:45: Ideen und Wert und Überlegungen für Vertrauen eben basieren. Wenn ich also einen System wie Emerald

00:07:52: habe und dort all diese Inhalte, die auch in einem Anforderungskatalog wie dem BSI C5 oder dem EUCS

00:07:59: zu finden sind, die mit Datenschutz, Datenkontrolle, Datentransparenz zu tun haben, dann bin ich in

00:08:07: der Lage, als Kunde von einem solchen Cloud Service auch immer die Sicherheit zu haben, ich bin unter

00:08:15: Anwendung solcher Systeme und Inhalte in der Lage DSGVO-konform unterwegs zu sein. Und das ist in der

00:08:24: Geschäftswelt ein sehr großer, wichtiger Faktor in Europa. Das Thema Digitalesouveränität Europas

00:08:30: ist ja jetzt schon mehrfach gefallen, vielleicht ein bisschen breiter gefragt. Wie kann denn Europa

00:08:35: sich in der Selber-Sicherheitsfrage unabhängiger aufstellen? Das ist eine schwierige Frage würde

00:08:42: ich sagen, weil ich denke, es kommt auf jeden Fall auf zwei Aspekte an. Das eine ist mehr Mut haben im

00:08:48: Moment. In der jetzigen geopolitischen Zusammensetzung würde ich tatsächlich sagen, Mut haben, europäische

00:08:56: Champions zu finden und unterstützen und zu fördern. Das ist das eine, was ich auch letzte Woche in

00:09:02: Brüssel sehr stark wieder gesehen und erlebt habe. Man will das, aber man muss schneller zu

00:09:07: umsetzen kommen und damit komme ich zu dem zweiten Aspekt Geschwindigkeit. Ich denke, dass wir noch

00:09:13: etwas Zeit brauchen, über das Thema Vertrauen und Souveränität genauer zu sprechen, weil das

00:09:19: sind so Begriffe, die je nach Kontext etwas anderes bedeuten können. Und wir brauchen schon eine

00:09:25: einheitlichere Linie, würde ich sagen. Und da braucht es trotzdem, auch wenn wir bei dem Punkt sind,

00:09:32: mehr Geschwindigkeit. Vielleicht als letzte Frage werfen wir noch einen Blick in die nähere Zukunft,

00:09:37: wenn wir sagen fünf Jahre zum Beispiel, wie sieht denn eine Cloud-Zertifizierung dann idealerweise

00:09:43: aus und welche Rolle wird denn da Emerald spielen? Emerald in fünf Jahren ist meiner Meinung nach in

00:09:49: der Lage, den gesamten Auditprozess zu automatisieren. Wir sehen jetzt, dass es eine Teilautomatisierung

00:09:56: schon gibt und geben kann. Da gibt es einfache technische Anforderungen und Kontrollen. Da ist

00:10:02: das gar nicht so schwierig, technisch einen Verschlüsselungsprotokoll einer Internetübermittlung

00:10:06: auszulesen. Es gibt welche, da ist es komplizierter, technische Dokumentationen, zum Beispiel Dienstverträge

00:10:12: oder Service Level Agreements und es gibt welche, da ist es nicht unbedingt möglich. Da kann es das

00:10:17: Beispiel von Incident Management bei Türen zum Beispiel geben. Wie wird damit umgegangen

00:10:22: am Unternehmen? Und was ich denke, was in fünf Jahren dort auch ganz wichtig ist, es wird sich ein

00:10:29: wenig die Herangehensweise an traditionelle Audits und an das Service-Angebot von Auditoren

00:10:37: denke ich auch ändern. Das sehen wir gerade ganz stark, dass die großen Audit-Firmen dort auch

00:10:42: in Interesse daran haben, sich mit so etwas auseinanderzusetzen und zu sagen, wie können wir

00:10:47: denn ein automatisiertes, kontinuiertes oder kontinuierliches Audit als Service unterstützen

00:10:55: und anbieten, so dass ich nicht immer einmal im Jahr draufschau und sage, in der Vergangenheit war es

00:11:02: gut, sondern über so ein Modell sagen kann, ja stand jetzt und in der Vergangenheit war es die

00:11:08: ganze Zeit komplizierend. Und das ist ein sehr wichtiger Aspekt, der sich dann auch wieder zum

00:11:12: Bankensektor und der Kascherbank mit Dora schließt. Denn dort sind das die ganz konkreten

00:11:17: Anforderungen aus dem Markt und aus dem Umfeld. Herr van der, vielen Dank für das Gespräch. Sehr gerne.

00:11:22: Das war ein Podcast zur Schwerpunktwoche Cyber Security, veranstaltet von der Presse in

00:11:29: Kooperation mit Farbersoft. Wir bedanken uns fürs Zuhören.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.