print logo

CeBIT 2014: erfolgreiches Projektende von MimoSecco zur Cloudsicherheit

Zur diesjährigen CeBIT präsentiert das Projekt-Konsortium (CAS Software AG, KIT und Wibu-Systems AG) die Ergebnisse des Forschungsprojekts MimoSecco.
CAS Software AG | 04.03.2014
©
 
MimoSecco steht für „Middleware for Mobile and Secure Cloud Computing“ und wird vom Bundesministerium für Wirtschaft und Energie gefördert. Vor dem Projektende am 31. Mai 2014 können sich die CeBIT-Besucher an den Messestände von CAS Software und Wibu-Systems informieren, wie Unternehmen ihre Daten in der mobilen Cloud kontrollieren können. Zusätzlich stehen zwei Demonstratoren am Stand des Bundesministeriums für Wirtschaft und Energie.

Da Unternehmen nicht wissen, wie Cloud-Anbieter potentielle Angriffe abwehren, wurde im Projekt MimoSecco eine praxistaugliche Lösung entwickelt, wie die Daten sicher in der Cloud verarbeitet werden können. Das Konsortium hat daher ein 3-Zonen-Modell für die Nutzung, Verarbeitung und Speicherung der Daten in der Cloud entwickelt. In der ersten Zone werden die Daten genutzt – sie wird als „voll vertrauenswürdig“ bezeichnet. Als „halb vertrauenswürdig“ gilt die zweite Zone, denn das Unternehmen kennt weder die konkreten Sicherheitsmaßnahmen des Cloud-Anbieters noch dessen einzelne Mitarbeiter. Deshalb werden die Daten hier nur kurzzeitig im Klartext verarbeitet, aber nicht gespeichert. Zur Speicherung werden die Daten verschlüsselt und fragmentiert an organisatorisch und geographisch getrennte dritte Anbieter weitergereicht. Die dritte Zone wird als „unbekannt vertrauenswürdig“ bezeichnet, denn bei welchem Cloud-Anbieter die Daten gespeichert werden, ist nicht zwingend bekannt.

Gleich zwei Demonstratoren zeigen Datenschutz und Verschlüsselung in der Cloud. Der erste Demonstrator visualisiert das 3-Zonen-Modell. Nur der Dateneigentümer mit persönlichem Schüssel auf seinem zertifizierten Hardware-Token, von Wibu-Systems geliefert, kann die Daten nutzen. Muss der Cloud-Anbieter Daten verarbeiten, dann benötigt er gleichfalls einen entsprechenden Schlüssel vom Dateneigentümer, damit er diese Daten entschlüsseln kann. Die gesamten Daten befinden sich voll verschlüsselt in einer Datenbank; der Zugriff erfolgt über einen sicheren Datenbankadapter, entwickelt vom KIT.

Im zweiten Beispiel geht es um die Datenerfassung einer Solaranlage. Die Akteure dabei sind die Solaranlage, die Daten erzeugt, und der Partner, der diese Daten für die Wartung der Solaranlagen benötigt. Die Rohdaten werden über eine gesicherte Verbindung in das webbasierte CRM-System „CAS PIA“ von CAS Software übertragen. Mit Hilfe des Datenbankadapters werden die Daten verschlüsselt und in der Cloud gespeichert. Auch hier dient der Hardware-Token als Sicherheitselement mit dem Schlüssel zur Ver- und Entschlüsselung. Aus den Rohdaten wird ein zentraler Kennwert über den Zustand der Solaranlage berechnet, sodass der Partner den Zustand der Anlage erkennen und bei Bedarf mit der Wartung beginnen kann.
Oliver Winzenried, Vorstand und Mitgründer von Wibu-Systems, freut sich: „Bei MimoSecco haben drei Experten hervorragend zusammengearbeitet und ihre Kenntnisse in einer Lösung für die Praxis gebündelt. Die Akzeptanz, Daten in der Cloud zu nutzen, kann nur entstehen, wenn ein ausgereiftes Sicherheitskonzept diese Daten schützt. Wir können MimoSecco mit ausgezeichneten Ergebnissen abschließen, was die Demonstratoren sehr gut zeigen.“

Matthias Gabel vom KIT betont: „Mit MimoSecco ist es dem Konsortium gelungen, ein neuartiges Verschlüsselungsschema für Datenbanken zu entwickeln und in der Praxis anzuwenden. Der Kompromiss zwischen Sicherheit und Anwendbarkeit garantiert eine exzellente Praxistauglichkeit bei höchstmöglicher Sicherheit.“ Und Gunther Schiefer vom KIT ergänzt: „Mit der Aufteilung in die drei Zonen „Nutzen – Verarbeiten – Speichern“ und der Unterstützung durch die kontextabhängige Zugriffskontrolle kann Cloud Computing überall und mobil mit angemessener Sicherheit eingesetzt werden.“

Für Spiros Alexakis, Mitglied der Geschäftsleitung von CAS Software, ist die Vermeidung der Rekonstruktion wertvoller Unternehmensdaten nach einem Cyber-Diebstahl von besonderer Bedeutung: „Unser primäres Ziel ist, durch geschickte Aufteilung und Verschlüsselung der Datenbestände zu verhindern, dass im Falle eines erfolgreichen Angriffs die entwendeten Daten genutzt werden können.“

Messestände zur CeBIT 2014:
Bundesministerium für Wirtschaft und Energie: H9, E24
CAS Software AG: H6, C16
KIT Karlsruhe Institut für Technologie: H9, D13
WIBU-Systems AG: H12, B77