Edge und Fog Computing sind "Next Generation Cloud Computing-Technologien". Sie ermöglichen das serviceorientierte Anbieten und Nutzen von verteilten Systemen zur Verarbeitung von Daten räumlich nah am Bedarf außerhalb einer Cloud. Edge und Fog Computing können als eigenständige Komponenten oder integriert in Endgeräte oder Netztechnologien eingesetzt werden. Auch die Anwendungsmöglichkeiten sind zahlreich. Sie reichen vom Einsatz im Industrieumfeld über Landwirtschaft und Verkehr bis hin zum Militär.

Das BSI gibt sowohl Anbietern wie auch Anwendern Hilfen an die Hand, damit Edge und Fog Computing sicher angeboten und genutzt werden können.

Grundlagen Edge und Fog Computing

Grundverständnis

Für einige Anwendungsszenarien bietet Cloud Computing zwar einen hohen Nutzen an, ist allerdings nur bedingt für den Einsatz geeignet. Betroffen sind beispielsweise Echtzeitanwendungen oder Anwendungen, bei denen hohe Datenvolumina für die Verarbeitung zum Verarbeitungsort und zurück transportiert werden müssen. Dies ist auf die vergleichsweise hohen Latenzen bzw. hohen Transitkosten zurückzuführen. Lösungen für solche Probleme oder auch Möglichkeiten zur Erfüllung ortsabhängiger Compliance-Vorschriften bieten die Technologieansätze Edge und Fog Computing.

Es gibt verschiedene Anwendungsfälle, in denen diese Technologieansätze genutzt werden können. Diese umfassen ein sehr weites Spektrum beispielsweise aus den Bereichen

• Industrial IoT,
• IoT für die Gesellschaft und
• Datenverarbeitung und Enterprise Security.

Grundannahmen

Im Fachdiskurs und in der Breite des Anwendungsspektrums ist der Begriff Edge Computing nicht eindeutig definiert. Da sehr unterschiedliche Anwendungsfälle unter dem Begriff Edge Computing zusammengefasst werden können, ist es auch nicht einfach, eine allgemeingültige Definition zu finden. Edge Computing ist aus Sicht des BSI eine Weiterentwicklung der 2017 und 2018 durch das National Institute of Standards and Technology (NIST) und das Open Fog Consortium als Quasi-Standard beschriebenen Technologie Fog Computing. Fog-Technologie wird noch als Teil der Cloud oder Ergänzung der Cloud quasi am Rande der Cloud angeboten. Mit Edge Computing rückte die Technologie im Laufe der letzten Jahre noch näher an die Endgeräte, deren Daten in den Komponenten verarbeitetet werden, heran.

Das BSI geht daher zur klaren Abgrenzung zunächst von folgenden Grundannahmen aus, welche in der unten auf der Seite zu findenden "Cybersicherheitsempfehlung für die sichere Nutzung von Edge Computing" noch ausführlicher beschrieben sind.

Fog Computing beschreibt serviceorientiertes Anbieten und Nutzen von verteilten Systemen zur Verarbeitung von Daten räumlich nah am Bedarf am Rande einer Cloud. Mit Fog Computing werden vergleichbar zu Cloud Computing Dienste aus den Bereichen SaaS, PaaS und IaaS angeboten. Der Unterschied zur Cloud ist, dass diese Dienste ortsgebunden angeboten werden, um Latenzen zu reduzieren oder andere geographische Vorteile wie die Einhaltung von Compliance-Vorschriften (wie beispielsweise Datenschutz) an diesem Ort zu ermöglichen.

Edge Computing ist bedarfsnahes, serviceorientiertes Anbieten und Nutzen von verteilten Systemen zur Verarbeitung von Daten außerhalb einer Cloud und räumlich nah am Bedarf. Mit Edge Computing werden vergleichbar zu Fog und Cloud Computing Dienste aus den Bereichen SaaS, PaaS und IaaS angeboten.

In der Praxis wird der Begriff Fog Computing fast gar nicht mehr verwendet. Um eine anwendbare Verwendung des Begriffes bei der sicherheitstechnischen Bewertung der in der Praxis eingesetzten Komponenten zu ermöglichen, wird auch im BSI nur der Begriff Edge Computing verwendet. Hierbei muss unterschieden werden, ob die Technologie im Endgeräte-Netz eingesetzt wird, außerhalb des Endgeräte-Netzes oder direkt in der Netztechnologie wie bei 5G Multi-Access Edge Computing. Zur Differenzierung für die Sicherheitsbetrachtung, werden für diese Cybersicherheitsempfehlung die Begriffe innere und äußere Edge-Ebene verwendet.

Infrastruktur mit Edge-Komponenten

In der folgenden Abbildung wird schematisch dargestellt, wie Edge Computing mit Cloud-Systemen und Endgeräten verbunden ist.

Es wird an dieser Stelle auf eine detaillierte Beschreibung aller möglichen Komponenten verzichtet, da je nach Use Case unterschiedliche Komponenten und Zusammenstellungen verwendet werden. Es soll zunächst ein abstraktes Grundverständnis für die beteiligten Ebenen Cloud, Edge und Endgeräte hergestellt werden. In der Cybersicherheitsempfehlung wird detaillierter erläutert, welche Komponenten und Netztechnologien ganz unterschiedlich bei den verschiedenen Use Cases zum Einsatz kommen. Hier wird modellhaft von einer möglichen Abgrenzung zwischen den Ebenen ausgegangen. In praktischen Use Cases können sich diese Grenzen überschneiden.

In der untersten Ebene befinden sich die Endgeräte. Endgeräte können hier Kameras, Sensoren, Aktoren oder vergleichbar sein. Diese liefern Daten zur Verarbeitung an oder nehmen die Ergebnisse aus der Verarbeitung entgegen. Auch größere Geräte, die wiederum Aktoren oder Sensoren unterschiedlicher Art beinhalten, können Bestandteil dieser Ebene sein. Das sind beispielsweise Autos, landwirtschaftliche Geräte, Laptops, Tablets oder Smartphones. Darüber hinaus gibt es Technologien, bei denen eine Verarbeitung bereits im Endgerät vollzogen wird und zwar in dem Maße, dass von einer Edge-Funktionalität ausgegangen werden kann. Je nach Vernetzungsgrad gibt es dann keine klare Abgrenzung mehr zwischen Endgeräte-Ebene und Edge-Ebene.

Die innere Edge-Ebene befindet sich ebenso wie die Endgeräte im Endgerätenetz. In dieser Ebene werden über verteilte Systeme dynamisch Edge-Dienste zur Verfügung gestellt, die eine schnelle und lokal sehr nahe Verarbeitung der Endgeräte-Daten erfordern. Dies können beispielsweise Sensordaten sein, die für eine zeitkritische Steuerung eines Aktors benötigt werden. Außerdem werden einzelne Daten zur langfristigen Weiterverarbeitung an die äußere Edge- und/oder Cloud-Ebene weitergegeben. Diese Trennung zur Endgeräte-Ebene wird für die Sicherheitsbetrachtung notwendig, wenn beispielsweise fremdadministrierte Edge-Komponenten in das Endgeräte-Netz eingebracht werden. Hier wird eine netztechnische Separation innerhalb des Gesamtnetzes zwischen Endgeräten oder anderen Geräten des Anwenders und Edge-Komponenten notwendig.

In der äußeren Edge-Ebene werden über verteilte Systeme dynamisch Edge-Dienste zur Verfügung gestellt. Sie nehmen Berechnungen für die Cloud-Ebene vor, um beispielsweise Daten für die dortige Verarbeitung zu reduzieren oder ortsabhängige Aufgaben für die innere Edge- und Endgeräte-Ebene zu übernehmen. Da sich diese Edge-Komponenten außerhalb des Endgerätenetzes und der Cloud befinden, wird auch hier modellhaft eine von den anderen Ebenen separierte Ebene eingefügt, um eine methodische Sicherheitsbetrachtung zu ermöglichen.

In der Cloud-Ebene werden in Rechenzentren Cloud-Dienste dynamisch und skalierbar zur Verfügung gestellt, die direkt oder über Edge-Komponenten der inneren oder äußeren Edge-Ebene von Nutzern eingesetzt werden können.

Sicherheitsbetrachtung

Die unterschiedlichen Komponentenarten, die teilweise außergewöhnlichen Einsatzorte und -arten innerhalb der Use Cases sowie der hohe Vernetzungsgrad stellen eine große Herausforderung an die Absicherung der Technologie dar. Das BSI hat aus diesem Grund im Dialog mit Vertreterinnen und Vertretern von verschiedenen Interessengemeinschaften, Behörden und Firmen eine Cybersicherheitsempfehlung zur sicheren Nutzung von Edge und Fog Computing erstellt.

In der 2024 erstmals veröffentlichten Cybersicherheitsempfehlung wird auf diese Herausforderungen eingegangen und ein Leitfaden erstellt, welche Schritte das BSI für die Absicherung von Edge und Fog Computing empfiehlt.