Mit ecsec und „AUDITOR“ zur Europäischen Datenschutz-Zertifizierung für Cloud-Dienste

[Michelau, 29.11.2017] Für die nachweisliche Erfüllung der vielfältigen Anforderungen der ab Mai 2018 in ganz Europa gültigen Datenschutz-Grundverordnung (DSGVO) werden geeignete Zertifizierungsverfahren benötigt. Gestützt auf langjährige, internationale Erfahrungen in den Bereichen Datenschutz, Sicherheit, Zertifizierung und Cloud Computing unterstützen ausgewählte Experten der ecsec GmbH das kürzlich gestartete AUDITOR-Projekt (www.auditor-cert.de) bei der Entwicklung eines für Cloud-Dienste geeigneten Verfahrens für die Europäische Datenschutz-Zertifizierung.

AUDITOR entwickelt Verfahren für die Europäische Datenschutz-Zertifizierung

Die Cloud-Nutzung boomt weltweit und mit ihr die Fülle an Cloud-Diensten und Zertifizierungsverfahren. Der gegenwärtige Markt gleicht einem kaum überschaubaren Dschungel an Angeboten und Zertifizierungen. Gleichzeitig ergeben sich neue Anforderungen durch das Inkrafttreten der neuen EU-Datenschutz-Grundverordnung, die bislang von den existierenden Zertifizierungsverfahren im Bereich der Informationssicherheit oder Cloud Computing oft nicht ausreichend berücksichtigt wurden. Das vom Bundesministerium für Wirtschaft und Energie (BMWi) unterstützte Forschungsprojekt „AUDITOR“ will hier deshalb Klarheit und mehr Rechtssicherheit schaffen und gestützt auf Vorarbeiten aus dem „Trusted Cloud“ Technologieprogramm (https://trusted-cloud.de) eine europaweit einheitliche Zertifizierung unter Einbindung der etablierten Normung entwickeln. ecsec ist Teil des speziell zu diesem Zweck etablierten, interdisziplinären Teams aus akademischen und industriellen Experten, das auf Basis internationaler Standards ein EU-weit gültiges Verfahren zur Datenschutz-Zertifizierung von Cloud-Diensten entwickeln wird, durch das die Erfüllung der Anforderungen der EU-Datenschutz-Grundverordnung gegenüber den Betroffenen, den Aufsichtsbehörden oder Dritten nachgewiesen werden kann.

Zertifizierung gemäß Artikel 42 DSGVO für nachweisliche Erfüllung der Anforderungen

Ziel des „AUDITOR“-Projektes ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung für Cloud-Dienste. Die Zertifizierung gemäß Artikel 42 DSGVO ist im Interesse aller Beteiligten: der Cloud-Kunden, die nur mit solchen Cloud-Anbietern zusammenarbeiten dürfen, die hinreichende Garantien zur Einhaltung des Datenschutzes vorweisen können, der Cloud-Anbieter, die mit einer Zertifizierung ebendiese Sicherheit bieten können, der Prüf- und Zertifizierungsstellen, für deren Geschäftsfeld die DSGVO zwingende Regeln vorsieht, und der potentiell durch die Datenverwendungen betroffenen Endverbraucher, deren Schutz personenbezogener Daten im Mittelpunkt der Zertifizierung von Cloud-Diensten steht.

Kriterienkatalog und Zertifizierungsschema als Basis für internationale Normung

Um eine nachhaltige Datenschutzzertifizierung zu konzipieren, wird im AUDITOR-Projekt zunächst ein Kriterienkatalog für die Zertifizierung von Cloud-Diensten nach der DSGVO entwickelt und eine entsprechende Standardisierung in Form einer DIN-Spezifikation angestrebt. Diese DIN-Spezifikation bildet die Grundlage für die Europäische Normung und die Entwicklung eines EU-weit anerkannten Datenschutz-Zertifizierungsschemas. Dies ist vor dem Hintergrund des europäischen Binnenmarkts sehr wichtig und Deutschland kann sich mit diesem Projekt und der DIN-Spezifikation entsprechend positionieren. Außerdem werden geeignete Organisationsstrukturen und Verfahren zur Durchführung der hier beabsichtigten Zertifizierung konzipiert. Hierzu zählt insbesondere auch die Spezifikation von modularen Zertifizierungs- und Auditierungsprozessen unter Berücksichtigung internationaler Standards. Um eine nachhaltige Verwendung und weitreichende Verbreitung von AUDITOR sicherzustellen, werden schließlich Geschäftsmodelle für ein nachhaltig erfolgreiches AUDITOR-Verfahren untersucht. Das erarbeitete Zertifizierungsverfahren und die im AUDITOR-Projekt erarbeiteten und für eine Standardisierung vorbereiteten Kriterien sollen sodann bereits während des Projektzeitraums in der Praxis erprobt und validiert werden.

AUDITOR schafft Transparenz und Rechtssicherheit

Das Projekt AUDITOR soll die Vergleichbarkeit von Cloud-Diensten, die vonseiten der Unternehmen aus unterschiedlichen EU-Mitgliedstaaten angeboten werden, verbessern und damit Transparenz schaffen. Dies kommt vor allem den kleinen und mittelständischen Unternehmen aber auch größeren Unternehmen zugute, da durch eine nachhaltig anwendbare EU-weite Datenschutzzertifizierung von Cloud-Diensten nach Maßgabe der DSGVO neue Marktpotenziale erschlossen werden können. Wir arbeiten quasi im Interesse aller am Markt beteiligten Akteure an einer Weiterentwicklung, die maßgebliche Verbesserungen im Bereich der Zertifizierung von Cloud-Diensten mit sich bringt.“, berichtet Prof. Dr. Ali Sunyaev (Direktor am wissenschaftlichen Zentrum für Informationstechnikgestaltung (ITeG) der Universität Kassel). Das Projekt AUDITOR mit einem Gesamtvolumen von 1,7 Mio. Euro hat eine Laufzeit von zwei Jahren und ist am 01.11.2017 offiziell gestartet. Eine erste interne Kick-Off Veranstaltung wurde bereits am 08.11.2017 unter großer Beteiligung aller Projektpartner im Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel abgehalten. Die folgenden Institutionen und Organisationen sind direkt an dem Projekt beteiligt:

  • Universität Kassel, Fachgebiet Wirtschaftsinformatik und Systementwicklung (Verbundkoordination)
  • CLOUD&HEAT Technologies GmbH
  • datenschutz cert GmbH
  • DIN-Normenausschuss Informationstechnik und Anwendungen (NIA), DIN e.V.
  • ecsec GmbH
  • EuroCloud Deutschland_eco e.V., eco – Verband der Internetwirtschaft
  • Universität Kassel, Fachgebiet Öffentliches Recht mit Schwerpunkt Recht der Technik und des Umweltschutzes, Projektgruppe verfassungsverträgliche Technikgestaltung (provet)

Darüber hinaus wird das AUDITOR-Projekt von einer wachsenden Anzahl assoziierter Partner begleitet:

  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Fabasoft Austria GmbH
  • Hornetsecurity GmbH
  • PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft
  • SCOPE Europe b.v.b.a/s.p.r.l.
  • Kompetenznetzwerk Trusted Cloud e.V.
  • TÜV Informationstechnik GmbH
  • Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
  • VOICE-Bundesverband der IT-Anwender e.V.

Über die ecsec GmbH

ecsec ist ein spezialisierter Anbieter innovativer Lösungen und erfahrener Berater im Bereich Sicherheit in der Informations- und Kommunikationstechnologie, Datenschutz, Sicherheitsmanagement, Chipkartentechnologie, Identity Management, Web Security und elektronischer Signaturtechnologie. Basierend auf Erfahrungen aus mehreren Beratungsprojekten mit internationaler Reichweite zählt die ecsec GmbH zu den führenden Anbietern in diesem Bereich und unterstützt namhafte Kunden bei der Konzeption und Umsetzung maßgeschneiderter Lösungen. Durch die Berücksichtigung des jeweiligen Standes der Wissenschaft und Technik und der aktuellen und zukünftigen internationalen Standards sind eine exzellente Beratungsqualität und der nachhaltige Kundenerfolg garantiert. Zum Beispiel entwickelte ecsec die Open eCard App, welche als erster und einziger Open Source eID-Client vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert wurde und erhielt zahlreiche internationale Auszeichnungen für ihren innovativen SkIDentity Dienst, mit dem „Mobile eID as a Service“ und innovative Signaturdienste gemäß der eIDAS-Verordnung ermöglicht werden.

https://ecsec.de

Anzahl der Wörter: 892

Pressekontakt:

Dr. Detlef Hühnlein

ecsec GmbH

Sudetenstraße 16

96247 Michelau

Telefon: +49 9571-6048014

E-Mail:  info@ecsec.de

Web:     https://ecsec.de

Prof. Dr. Ali Sunyaev

Universität Kassel

Nora-Platiel-Str. 4

34109 Kassel

Telefon: +49 561 804-3450

E-Mail: sunyaev@uni-kassel.de

Web:   https://www.uni-kassel.de

Vollständige Pressemitteilung