Cloud-Dienste bilden heute das Rückgrat digitaler Infrastrukturen. Ihre sichere und regelkonforme Umsetzung ist für Unternehmen, Behörden und kritische Infrastrukturen gleichermaßen von zentraler Bedeutung. Dabei stehen klassische Zertifizierungsverfahren zunehmend unter Druck: Sie erfassen Sicherheitszustände nur punktuell, sind aufwändig und nur begrenzt skalierbar. Gleichzeitig schreitet die technologische Entwicklung rasant voran – zu nennen sind z. B. KI-basierte Dienste und hybride Cloud-Edge-Architekturen.
Vor diesem Hintergrund entwickelt das EU-geförderte Projekt EMERALD (Evidence Management for Continuous Certification as a Service in the Cloud) ein neuartiges Konzept für kontinuierliche Cloud-Zertifizierung. Anstelle statischer Audits tritt ein dynamischer Prozess, der technische, organisatorische und KI-spezifische Sicherheitsnachweise integriert, semantisch modelliert und automatisiert bewertet. Im Zentrum steht ein Knowledge Graph, der als strukturierende und verbindende Instanz sämtliche Evidenzen in einem digitalen Modell zusammenführt.
Komplexität und Fragmentierung in der Cloud-Zertifizierung
Die Sicherheitszertifizierung von Cloud-Diensten wird durch verschiedene Faktoren erschwert. Einerseits ist der Markt durch eine Vielzahl konkurrierender Standards fragmentiert. Internationale Normen wie ISO 27001 stehen nationalen Rahmenwerken wie dem deutschen BSI C5 oder dem spanischen ENS gegenüber. Mit dem European Cybersecurity Certification Scheme for Cloud Services (EUCS) liegt ein vielversprechender europäischer Ansatz vor, der jedoch bislang noch nicht finalisiert ist und keine konkreten Umsetzungsvorgaben für hohe Vertrauensniveaus bietet.
Andererseits mangelt es an technischer Interoperabilität zwischen eingesetzten Tools und Frameworks, was die Automatisierung und Integration von Zertifizierungsprozessen behindert. Hinzu kommt, dass sowohl Cloud-Anbieter als auch -Nutzer oft mit erheblichen Hürden beim Nachweis der Einhaltung von Sicherheitsanforderungen konfrontiert sind – sei es durch begrenzte Ressourcen, mangelnde Transparenz oder fehlende Integration in bestehende Betriebsprozesse. Die zunehmende Integration von KI-Technologien in Cloud-Dienste erschwert die Situation zusätzlich, da hierfür bislang keine ausgereiften und akzeptierten Zertifizierungsverfahren vorliegen.
Architektur und Komponenten des EMERALD-Frameworks
EMERALD adressiert diese Herausforderungen durch eine modulare Plattformarchitektur, die auf einem domänenübergreifenden Wissensgraphen basiert. Ziel ist es, Sicherheitszertifizierungen nicht mehr als einmalige Prüfungen, sondern als kontinuierlichen, datenbasierten Prozess zu realisieren.
Zentrales Element ist ein Repository von Sicherheitsmetriken, das Anforderungen aus verschiedenen Zertifizierungsschemata in maschinenlesbarer Form zusammenführt. Auf dieser Grundlage können Zertifikate automatisch evaluiert und aktualisiert werden. Das System erlaubt es, bestehende Sicherheitskataloge flexibel zu kombinieren. Beispielsweise kann ein Cloud-Dienst gleichzeitig Anforderungen aus dem Cloud Computing Compliance Criteria Catalogue (BSI C5) erfüllen und sich auf Kriterien aus einem KI-spezifischen Kriterienkatalog wie Artificial Intelligence Cloud Service Compliance Criteria Catalogue (AIC4) beziehen. Ein intelligenter Mapping-Assistent (MARI) unterstützt die Auswahl geeigneter Metriken, indem er semantische Ähnlichkeiten zwischen Kontrollvorgaben analysiert und geeignete Verknüpfungen vorschlägt.
Die Erhebung sicherheitsrelevanter Nachweise erfolgt auf vier verschiedenen Ebenen. Die technische Infrastruktur wird durch Tools wie Clouditor analysiert, welche Konfigurationen, Richtlinien und Zustände der eingesetzten Cloud-Ressourcen auslesen. Auf Anwendungsebene werden Informationen über das Verhalten und die Struktur von Softwarekomponenten verarbeitet. Hier kommen etwa Code Property Graphs oder statische Analysewerkzeuge wie Codyze zum Einsatz, die potenzielle Sicherheitsrisiken identifizieren.
Organisatorische Nachweise – wie Richtlinien, Verfahrensanweisungen oder Prozessbeschreibungen – werden mittels Methoden der natürlichen Sprachverarbeitung extrahiert. Ziel ist es, auch unstrukturierte Dokumente systematisch zu erfassen und in die Zertifizierungsbewertung zu integrieren. Die vierte Ebene bildet schließlich der Umgang mit Daten und KI-Modellen. Hier wird untersucht, ob ein Modell bestimmten Anforderungen an Fairness, Robustheit oder Angreifbarkeit genügt.
Alle gesammelten Evidenzen werden in einem zentralen Graphen semantisch strukturiert. Dieser bildet das Fundament für die automatisierte Auswertung. Ein zentraler Dienst koordiniert die Bewertung der Metriken, und trifft auf dieser Basis Entscheidungen über den Zertifizierungsstatus.
Implementierung und Pilotierung im Anwendungskontext
Die EMERALD-Plattform wird als verteiltes System umgesetzt, wobei die einzelnen Komponenten als Microservices mit standardisierten Schnittstellen (REST/gRPC) realisiert sind. Der Quellcode ist offen zugänglich und ermöglicht die Weiterentwicklung durch externe Partner.
Zur Validierung wurden vier Pilotprojekte konzipiert, die reale Anwendungsszenarien abbilden. Drei dieser Piloten zielen auf die Zertifizierung von privaten Cloud-Diensten in den Ausprägungen Infrastructure-as-a-Service, Platform-as-a-Service und Software-as-a-Service. Sie greifen auf die im Vorgängerprojekt MEDINA erarbeiteten Grundlagen zurück und streben die Konformität mit dem EUCS-Level „hoch“ an.
Ein vierter Pilot bezieht sich auf hybride Cloud-Edge-Infrastrukturen im Finanzsektor. In dieser besonders regulierten Domäne ist eine kontinuierliche Zertifizierung von besonderer Relevanz – nicht zuletzt im Hinblick auf den Digital Operational Resilience Act (DORA). EMERALD wird hier als Plattform zur Echtzeitbewertung eingesetzt, die sowohl zentrale als auch dezentrale Dienste auf Einhaltung ihrer Sicherheitsanforderungen überprüft. Der Fokus liegt auf Transparenz, Nachvollziehbarkeit und der sicheren Integration externer Anbieter in bestehende Systeme.
Ein Schritt in Richtung dynamischer Cybersicherheitszertifizierung
EMERALD trägt dazu bei, die Cloud-Zertifizierung auf eine neue methodische und technologische Grundlage zu stellen. Die Verbindung von semantisch strukturiertem Evidenzmanagement, automatisierter Bewertung und integritätsgesicherten Nachweisen eröffnet neue Perspektiven für Sicherheitsprüfungen in dynamischen Systemlandschaften.
Noch bestehen offene Fragen, etwa zur Standardisierung der zugrundeliegenden Metriken, zur Harmonisierung der Verfahren über Ländergrenzen hinweg oder zur vollständigen Integration von KI-spezifischen Anforderungen. Dennoch zeigt die Pilotierung, dass der Ansatz grundsätzlich tragfähig ist und reale Herausforderungen adressiert.
Fraunhofer AISEC lädt interessierte Akteure aus Industrie, Forschung und Verwaltung ein, sich mit den entwickelten Konzepten vertraut zu machen, sie zu evaluieren und gemeinsam weiterzuentwickeln. Die Zukunft der Cloud-Zertifizierung wird dynamisch, datenbasiert und interoperabel sein – EMERALD ist ein Beitrag auf diesem Weg.
Author
Kontakt: christian.banse@aisec.fraunhofer.de
