Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und STACKIT, der Cloud-Provider von Schwarz Digits aus dem baden-württembergischen Neckarsulm, streben eine strategische Kooperation an. Ziel ist unter anderem die gemeinsame Entwicklung souveräner Cloud-Lösungen, die auch für den Einsatz in der Bundesverwaltung nutzbar gemacht werden können. Für eine moderne und digitale Verwaltung ist die Nutzung von Cloud-Angeboten unumgänglich. Um dabei auch den mit Cloud Computing verbundenen Risiken sowie aktuellen geopolitischen Entwicklungen Rechnung zu tragen, hat das BSI eine Cloud-Strategie entwickelt. Diese sieht zum einen vor, nationale und europäische Cloud-Strukturen konkurrenzfähig zu gestalten, und zum anderen zu analysieren, inwieweit die Public Clouds der “Hyperscaler” (Vorhalter einer Distributed Computing Environment – DCE -, die auf besonders hohe Skalierbarkeit für ebensolche Workloads ausgelegt ist) aktiv und sicher in Deutschland nutzbar gemacht werden können.
Um die Cloud-Lösungen der Anbieter eingehend und in der notwendigen Sorgfalt prüfen zu können, bedient sich das BSI des Mittels der Kooperationsvereinbarungen: Sie bilden einen verbindlichen Rechtsrahmen, um auch hoch vertrauliche Informationen auszutauschen und in der Tiefe technische Analysen und Bewertungen durchführen zu können. Zum aktuellen Zeitpunkt hat das BSI entsprechende Kooperationen mit den Cloud Service Providern SAP, Oracle und Google Cloud vereinbart; neben der Partnerschaft mit STACKIT ist auch eine Kooperation mit dem US-amerikanischen Anbieter Amazon Web Services (AWS) geplant.
Im Rahmen der Kooperationen führt das BSI Risiko- und Bedrohungsanalysen durch, um davon technische und strukturelle Sicherheitsanforderungen und -maßnahmen abzuleiten, die standortunabhängig für alle Cloud Service Provider gelten sollen. Der Einsatz kryptographischer Schutzmechanismen, konkret die Verschlüsselung von Daten während ihrer Übertragung in Netzen und beim Speichern, ist in diesem Zusammenhang ein essentieller Baustein. Dies gilt insbesondere, da in Cloud-Angeboten für die Speicherung dieser Informationen die Ressourcen Dritter verwendet werden. Bei diesem Einsatz muss sichergestellt werden, dass heute verschlüsselte Daten auch in Zukunft sicher sind. Dies beugt der Gefahr vor, dass Daten verschlüsselt abgegriffen und in Zukunft dann entschlüsselt werden (“store now, decrypt later”). Bei der Entwicklung, Auswahl und Konfiguration kryptographischer Verfahren müssen daher vorhersehbare technologische Entwicklungen und damit eventuell neu entstehende Bedrohungen berücksichtigt werden. Hierunter fällt einerseits die sukzessive Verbesserung der Leistungsfähigkeit klassischer Hardware, aber auch die potentielle Entwicklung von Quantencomputern. Aus ersterer folgt, dass Schlüssellängen so gewählt werden müssen, dass Verschlüsselungen auch in naher und mittlerer Zukunft Brute-Force-Angriffen standhalten können. Aus letzterer folgt die Notwendigkeit von Post-Quanten-Kryptographie, d.h. der Einsatz von Verfahren, welche auch mit Quantencomputern nicht effizient angegriffen werden können.
Mit den heute bekanntgegebenen Kooperationsvereinbarungen werden keine Vergabe- oder Implementierungsentscheidungen getroffen.
