Sicherheit für persönliche Daten in der Cloud

Nie war die Nachfrage nach Cloud-Diensten so groß wie jetzt. Damit tritt auch das Thema Datenschutz stärker auf den Plan. Wissenschaftler*innen vom Softwaretechnik-Institut paluno der Universität Duisburg-Essen haben im Projekt RestAssured erforscht, wie Cloud-Anbieter die persönlichen Daten ihrer Kunden besser schützen können.

Cloud Computing gilt als Schlüsseltechnologie der Digitalisierung. Doch aus Sicht des Datenschutzes gibt es einiges zu beachten, wenn IT-Leistungen wie Software, Speicherplatz oder Rechenleistung über das Internet angeboten werden. Die europäische Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass Dienstleister die persönlichen Daten ihrer Kunden ausreichend schützen müssen. Weil Cloud-Systeme sehr flexibel und untereinander vernetzt sind, ist dies nicht einfach zu gewährleisten. Das wird am Beispiel Cloud-Migration deutlich: Wenn sich vormittags viele Nutzer in Videokonferenzen versammeln, erlaubt die Cloud, Lastspitzen abzufedern, indem die Datenverarbeitung in andere Rechenzentren ausgelagert wird. Aber nach DSGVO dürfen die persönlichen Daten von EU-Bürger*innen nicht ohne Weiteres ins außereuropäische Ausland verschoben werden. Wie lässt sich verhindern, dass Anbieter versehentlich gegen solche Regeln verstoßen?

Im EU-Horizon2020-Projekt RestAssured haben die paluno-Arbeitsgruppen von Prof. Maritta Heisel und Prof. Klaus Pohl mit Partnern wie IBM, Thales und der Universität Southampton Sicherheitsmechanismen für den Datenschutz in Cloudumgebungen entwickelt. Kürzlich wurde die hohe Relevanz der Ergebnisse von EU-Fachgutachtern bestätigt.

Das Besondere an den RestAssured-Lösungen ist die Kombination von neuartigen Techniken, die eine durchgängige Sicherheit der Daten über ihren gesamten Lebenszyklus gewährleisten. Dazu zählen Hardware-Enklaven mit neuen Verschlüsselungstechnologien, die selbst vor potentiellen Insider-Angriffen beim Cloud-Anbieter schützen. Ein weiteres Mittel sind sogenannte Sticky Policies; Datenschutzregeln, die Datensätzen angeheftet werden und immer mit ihnen verbunden bleiben, auch wenn die Datensätze weiterwandern. Ein besonderer Schwerpunkt der Wissenschaftler*innen von paluno lag auf Risiko-Analysen sowie dynamischen System-Anpassungen. Damit können die Systeme automatisch auf sich ändernde Datenschutz-Risiken reagieren. Einige dieser Mechanismen haben schnell ihren Weg in die Praxis gefunden (z.B. die Verschlüsselung „Parquet Modular Encryption“ für das Speicherformat Apache Parquet). Des Weiteren werden auf Basis der RestAssured-Lösungen Werkzeuge entwickelt, mit denen auch klein- und mittelständische Unternehmen ohne eigene IT-Sicherheitsabteilung ihre Cloud-Dienste absichern können.

paluno war technischer Koordinator von RestAssured und verantwortlich für die Architektur des Gesamtprojektes. Die Ergebnisse werden über Standards und neue Produkte ihren Weg in die europäische Digitalwirtschaft finden. Bei paluno bauen neue Projekte, wie das im Januar gestartete Projekt FogProtect, auf den Ergebnissen von RestAssured auf. Auch in der Lehre hatte das Projekt einen festen Platz. Zahlreiche Studierende haben sich in Abschluss-, Seminar- und Projektarbeiten mit Fragestellungen von RestAssured auseinandergesetzt und viel über den Datenschutz in Cloudumgebungen gelernt.

Weitere Informationen:

RestAssured wurde von der EU von 2017 bis 2019 mit knapp 5 Mio. Euro gefördert; rund 650.000 Euro gingen an die UDE.

zur Website

Ansprechpartner:

Prof. Dr. Maritta Heisel, Dr. Zoltán Mann

Ausgewählte Publikationen:

Nazila Gol Mohammadi, Ludger Goeke, Maritta Heisel, Mike Surridge: Systematic Risk Assessment of Cloud Computing Systems using a Combined Model-based Approach.Proceedings of the 22nd International Conference on Enterprise Information Systems - Volume 2: ICEIS, ISBN 978-989-758-423-7, pages 53-66. DOI: 10.5220/0009342700530066, 2020

Florian Kunz, Zoltán Ádám Mann: Finding risk patterns in cloud system models. Proceedings of the IEEE 12th International Conference on Cloud Computing (IEEE CLOUD), pp. 251-255, 2019

Nazila Gol Mohammadi, Zoltán Ádám Mann, Andreas Metzger, Maritta Heisel, James Greig: Towards an end-to-end architecture for run-time data protection in the cloud.Proceedings of the 44th Euromicro Conference on Software Engineering and Advanced Applications (SEAA), pp. 514-518, 2018

Zoltán Ádám Mann, Andreas Metzger: Optimized Cloud Deployment of Multi-tenant Software Considering Data Protection Concerns. Proceedings of theIEEE/ACM 17th International Symposium on Cluster, Cloud and Grid Computing (CCGrid), pp. 609-618, 2017

Die Hauptinnovationsfelder von RestAssured