Moderne Enterprise-Anwendungen wie zum Beispiel Industrie-4.0-Applikationen erfordern eine sichere Cloud-Infrastruktur – und das heißt auch: rechtssicheren Umgang mit sensiblen und personenbezogenen Daten. Vor diesem Hintergrund liefert die TÜV-Süd-Tochter Uniscon mit ihrer Sealed Platform eine Cloud-Umgebung für sicherheitskritische Anwendungen: Sie bietet eine „versiegelte“ – also mit technischen Maßnahmen vollständig gekapselte – Cloud-Umgebung und ermöglicht dadurch die DSGVO-konforme Datenverarbeitung. Laut Uniscon ist dies die bislang einzige produktiv einsetzbare Lösung mit diesem Schutzniveau.

Die Sealed Platform basiert auf der Sealed-Cloud-Technik, entwickelt 2011 im Auftrag des BMWi von einem Konsortium, dem neben Uniscon auch das Fraunhofer-Institut AISEC und SecureNet angehörten. Sealed-Cloud-Technik sorgt dafür, dass man Daten in einer Cloud-Umgebung verarbeiten kann, ohne dass der Cloud-Betreiber auf die Daten Zugriff erhält (LANline berichtete). Dadurch eignet sich das Verfahren als Grundlage für den Betrieb von Applikationen, die sensible einschließlich personenbezogener Daten verarbeiten. Denn Kompromittierungen durch organisatorische Lücken, etwa bestochene Administratoren, sind damit ausgeschlossen.

Uniscon – seit 2017 TÜV-Süd-Tochter – nutzt diese Technik für die hauseigene Lösung IDgard, der Aachener Provider Regio IT für seine Ucloud und die Deutsche Telekom vermarktet sie als „Versiegelte Cloud“. Der TÜV Süd will nun auf der Uniscon-Plattform weitere SaaS-Lösungen hosten, um sich als vertrauenswürdiger Provider für die Industrie – nicht zuletzt die Automobilindustrie – zu positionieren.

Die Sealed Platform soll dabei für Private, Hybrid oder Public Clouds verwendbar sein. Sie erweitert Uniscons Portfolio, bestehend aus dem SaaS-Dienst für sichere Zusammenarbeit IDguard, Sealed Freeze für sicheres Speichern von Daten (etwa Vorratsdaten) sowie Sealed Analytics (für die Big-Data-Analyse mit nachweislicher Anonymisierung, etwa für die Patientenakte). Als Einsatzbeispiel nannte Dr. Hubert Jäger, Geschäftsführer und CTO von Uniscon, im Gespräch mit LANline das sichere Hosting einer „Driving Style App“, die für eine KFZ-Versicherung Daten zum Fahrverhalten der Versicherungsnehmer sammelt.

Die Plattform schließt den Cloud-Betreiber vom Zugriff auf Daten und Metadaten aus – während der Speicherung ebenso wie während der Verarbeitung: Der Betreiber und dessen Administratoren erhalten keinen privilegierten Zugriff. Uniscon setzt auf verteilte Schlüsselgewalt. Das Booten der Systeme muss vertrauenswürdig erfolgen, die Betreiber der verschiedenen Knoten auditieren sich dabei laut Jäger gegenseitig mit kryptografisch erzwungenem Secret Sharing. Der Schlüssel-Service laufe auf einem Netz aus mehreren Knoten (Data Cleanup Areas).

Physisch werden die RZ-Administratoren durch Kapselung der Server ausgesperrt: mittels Schlüssel, Bolzen, Sensoren am Schrank, Lichtvorhang etc. Laut Uniscon-Chef Jäger ist damit kein Einbruch möglich, ohne Alarm auszulösen. In einem solchen Fall erfolge automatisch ein Data Cleanup: Das betroffene Segment wird vorübergehend stromlos gesetzt, sodass die Daten nur noch gespiegelt in anderen, nicht vom Einbruch betroffenen Arealen vorliegen. Gleiches gelte für den Fall, dass Heartbeats zwischen Sensoren ausbleiben. Damit, so Jäger, wende man quasi das Verfahren, das der US-Standard FIPS 140-2 für einzelne Karten fordert, auf komplette Systeme im RZ an.

Fernzugriffe ermögliche Uniscon über Web-basierte Interfaces mit reduziertem Befehlssatz, also Whitelisting der möglichen Kommandos. Für gesetzlich vorgeschriebene Zugriffe von Staatsseite erlaube es das Sealed-Freeze-Verfahren, je nach nationalem Recht Regelwerke für die Datenexfiltration einzurichten.

Im Zusammenspiel mit signierter Software, auditiertem Booten und dem Data Cleanup sei das Gesamtsystem manipulationssicher, so Jäger. Der Betrieb der Umgebungen erfolgt in angemietetem RZ-Platz von Contabo in München und Nürnberg. Da sich die Umgebung hierarchisch gestalten lasse, eigne sie sich für den Betrieb beliebig vieler Encapsulation Areas. Die Uniscon-Mutter TÜV Süd könne somit als „Trust Anchor“ (vertrauenswürdiger Provider) für die deutsche und europäische Industrie auftreten, für den Betrieb der Umgebung sorge Uniscon. Als Zielgruppe nannte Jäger Behörden, Kritis-Betreiber, Unternehmen der Gesundheitsbranche sowie alle weiteren Unternehmen und Institutionen, die mit Daten der Schutzklasse 3 zu tun haben.

Weitere Informationen finden sich unter www.uniscon.de.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.