Computersicherheit Für Datenschutz und gegen Hintertüren

Ein neues Siegel der EICAR soll das Vertrauen zwischen Herstellern und Nutzern von IT-Sicherheitsprodukten stärken. Die EICAR will einen Minimalstandard definieren, was ein Testlabor an Mängeln zu finden hat. Es geht dabei nicht nur um den Vergleich, wie viele Viren erkannt werden, und wie oft ein Update erfolgt, sondern auch, ob ganz gezielt bestimmte Dinge nicht erkannt werden.

Anbieter zum Thema

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Vor kurzem stellte die EICAR (European Expert Group for IT-Security) in München ein neues Konzept vor, um das Vertrauen von Anbietern und Nutzern zu stärken, und gleichzeitig die IT-Sicherheit zu erhöhen. Innerhalb von wenigen Monaten sollen Standards entwickelt werden, mit deren Hilfe dann Testinstitute Anti-Malware-Produkte analysieren können. Das Gütesiegel „EICAR trusted IT security“ wird dann an Produkte vergeben, die den Schutz der Privatsphäre achten und keinerlei Hintertüren beinhalten. Die Idee zu dem Siegel stammt von den Herstellern selbst. Ziel ist es unter anderem, den Einfluss von Firmeninteressen auf Testresultate zu minimieren, und zugleich das wegen der Snowden-Affäre und den Wikileaks-Enthüllungen gestörte Vertrauensverhältnis innerhalb der IT zu verbessern.

"Wir wollen einen Minimalstandard definieren, was ein Testlabor an Mängeln zu finden hat. Es geht also nicht nur um den üblichen Vergleich, wie viele Viren erkannt werden, und wie oft ein Update erfolgt, sondern auch, ob ganz gezielt bestimmte Dinge nicht erkannt werden", sagt Rainer Fahs, Chairman of the Board von EICAR. Fahs hat seine Erfahrungen beim Schutz von NATO Einrichtungen gegen Malware und Cyber-Attacken gesammelt. Seit dem kämpft er gegen jede Form der Manipulation von IT-Systemen, die den Zugriff auf fremde Rechner ermöglicht. Doch nicht immer ist dieser Wunsch auf Kriminelle beschränkt. Ein Beispiel den Bundestrojaner, oder seine Geschwister jenseits des großen Teichs. Daraus erwächst der Wunsch, diese Angriffswerkzeuge von Sicherheitsprodukten „übersehen“ zu lassen. Genau das lehnt die EICAR ab. Das Testprozedere soll jeden Unterschleif verhindern. Neben den eigentlichen Kriterien gehören auch Überprüfungsmethoden zum Maßnahmenkatalog, um die Tester und ihre Ergebnisse zu überprüfen. Am Ende soll es so etwas wie zertifizierte Malware-Tester geben.

Die Anti-Viren-Anbieter Trend Micro, F-Secure, G-Data und Kaspersky Labs unterstützen die EICAR Initiative vom Start weg, und waren auch bei der Pressekonferenz persönlich anwesend. Viele andere Anbieter, die ebenfalls eingeladen worden waren, fehlten. Es ist offensichtlich, das nicht alle AV-Anbieter begeistert von dem Gedanken sind, es bald mit einer unabhängigen Institution und einem Siegel zu tun zu bekommen.

Zu den Absenden zählt McAfee, und andere Hersteller aus den USA, fehlen. Die Gründe könnten in der US-Gesetzgebung liegen. Denn auch AV-Produkte beinhalten Kryptografische Elemente. Zum einen, damit sich Update-Server und AV-Produkt sicher gegeneinander identifizieren, zum anderen sind die AV-Signaturen selbst verschlüsselt, damit nicht manipulierte Signaturen aufgespielt werden können. "Es ist bekannt, dass Anbieter aus den USA binnen zwei Jahren der US-Regierung eine Hintertür in ihr Produkt öffnen müssen, das gilt für AV-Produkte genauso wie für Verschlüsselungstools“, sagt Rainer Fahs, "das Wirtschaftsministerium wünscht dies, und Empfänger der Informationen ist die NSA. Der einzige Weg dies zu umgehen, ist der Verkauf des Produktes ins Ausland, wie dies zum Beispiel bei dem Verschlüsselungsprodukt PGP passiert ist, das nun von Holland aus vertrieben wird."

"Generell lehnen wir es ab, Malware und Schwachstellen nicht erkennen zu lassen, nur weil staatliche Institutionen sie nutzen wollen", erläutert Raimund Genes, Chief Technology Officer beim IT-Sicherheitsanbieter Trend Micro die Position seiner Firma, „als Unternehmen nach japanischem Recht haben wir keine Probleme mit den US-Gesetzen." In Deutschland gibt es ebenfalls keine Gesetze wie in den USA, aber trotzdem ähnliche Überwachungswünsche. Teilweise realisiert mit Produkten aus dunklen Quellen und Deutschland steht in Europa nicht allein. "Die Praxis europäischer Staaten über dubiose Firmen wie das "Hacking Team" für sechsstellige Beträge "Exploits", also Sicherheitslücken, auf dem schwarzen Markt aufkaufen zu lassen, oder diese selber zu suchen, kritisieren wir scharf. Werden Sicherheistlücken ausgenutzt, so verbreiten sich die Angriffswerkzeuge mehr oder weniger schnell im Netz und gefährden so weltweit alle Computersysteme. Auch Stuxnet ist bis heute weltweit aktiv, obwohl dieser Wurm speziell zur Beschädigung von iranischen Atomanlagen entwickelt wurde. Wenn einem Staat die IT-Sicherheit am Herzen liegt, dann sollte er solche Monster weder finanzieren noch nutzen. Erhält er Kenntnis von einer Sicherheitslücke, sollte er sie sofort an die Hersteller von Schutzprogrammen weitergeben. Das wäre ein wirklicher Beitrag zur IT-Sicherheit und eigentlich eine Selbstverständlichkeit für staatliche Institutionen“, so Raimund Genes.

Interessant, das mit Kaspersky auch ein russischer Anbieter mit an Bord ist. "Auch in Russland gibt es keine Gesetze wie in den USA“, Rainer Fahs, „was natürlich nicht ausschließt, das es andere Wege der Einflussnahme geben könnte.“.

An den Regeln arbeiten neben Praktikern der EICAR auch Wissenschaftler europäischer Universitäten. Dazu zählen das Testlabor der Universität Mannheim „AV Comparatives“ mit Prof. Sachar Paulus, sowie Prof. Nikolaus Forgo vom Institut für Rechtsinformatik der Universität Hannover und der Kryptologe Prof. Bart Preneel von der Universität Leuven in Belgien.

"Wir beabsichtigen, das Regelwerk noch in diesem Jahr zu erstellen, dann könnten schon im nächsten Jahr AV-Produkte auf den Markt kommen, die von Testinstitutionen zertifiziert wurden, die nach unseren Regeln arbeiten. Das Siegel auf der Packung wird die Kunden darüber informieren. Pro Produkt werden dafür ca. 5000 Euro fällig, denn auch die "EICAR" benötigt Einnahmen, um ihren Betrieb zu finanzieren", erläutert Rainer Fahs.

Neben Hintertüren und "Third Party Access" steht auch der Datenschutz im Brennpunkt des Interesses. "AV-Programme greifen tief in das Betriebssystem eines Computers und eines IT-Systems ein, erläutert", Rainer Fahs, "sie können sich daher auch massiv an den dort gespeicherten privaten Daten bedienen, und sie verschlüsselt zum Hersteller schicken. Dem einzelnen Anwender wird dies kaum auffallen, ein solches Verhalten lässt sich bei einer ausführlichen Begutachtung aber feststellen. Wir haben zum Ziel, das nur solche Produkte den Test bestehen, die sich auf den technisch sinnvollen Teil der Informationen beschränken, und so wenig wie möglich Daten abschöpfen. Außerdem sollte die Kommunikation transparent erfolgen. Es ist vollkommen OK, wenn ein AV Produkt eine verdächtige Datei zum Hersteller schickt um sie dort näher überprüfen zu lassen, nur sollte der Anwender das eben wissen und gegebenenfalls verhindern können."

Läuft alles nach Plan, wird es nächstes Jahr die ersten Produkte mit dem Siegel "EICAR trutesd IT-security" auf dem Markt geben. Dabei soll es aber nicht bleiben. Auch Firewalls und Intrusion-Detection-Systeme sollen nach denselben Grundsätzen getestet werden. Sogar einen besonders schweren Brocken hat man sich aufgeladen. EICAR möchte nämlich auch Verschlüsselungsprodukte zertifizieren. Da ein Beweis der mathematischen Sicherheit von Kryptoverfahren bislang nicht gelang.

(ID:43534475)