Backdoors schaffen Misstrauen

Vertrauen in Sicherheits-Technologien steigern

| Autor / Redakteur: Matthieu Bonenfant / Peter Schmitz

Vertrauen in Sicherheitstechnologien lässt sich nur durch Zusammenarbeit und Kooperation aller Beteiligten im Cyber-Ökosystem erreichen.
Vertrauen in Sicherheitstechnologien lässt sich nur durch Zusammenarbeit und Kooperation aller Beteiligten im Cyber-Ökosystem erreichen. (Bild: Pixabay / CC0)

Vertrauen in die Sicherheit im Internet ist ein dringendes Anliegen. Was können Anbieter tun, damit Kunden den Technologien vertrauen? Diese Frage ist von zentraler Bedeutung und wird dennoch von IT-Cybersicherheits-Firmen und -entwicklern selten diskutiert. Betrachtet man das Thema genauer, dann lässt sich die Tragweite der strategischen Auswirkungen besser verstehen.

Sicherheitslösungen geraten schnell unter Beschuss, sobald ihre Wirksamkeit oder Zuverlässigkeit auch nur geringfügig angezweifelt wird. Die Snowden-Affäre enthüllte der Welt die Existenz des ANT-Katalogs, der Implantate und andere Backdoors auflistet, die in Netzwerksicherheitslösungen zum Schutz und zur Verteidigung der Interessen der USA zum Einsatz kommen. Obwohl dies nicht völlig überraschend kommt, wurde diese Information nun der Öffentlichkeit bekanntgegeben. Vielleicht wurden die „Hintertüren“ für technische Zwecke nur ungeschickt eingesetzt oder waren Zero-Day-Exploits ausgesetzt. Viele der beteiligten Anbieter behaupteten, sie hätten ihre Lösungen nicht absichtlich geschwächt. Es liegt nicht an uns, hierüber ein Urteil zu fällen.

Doch neben den möglichen Auswirkungen auf die nationale Souveränität können Backdoors andere dramatische Folgen haben. Durch die katastrophalen Folgen der von den Shadow Brokers enthüllten Lecks wurden mehrere MS Windows-Schwachstellen aufgedeckt, die die NSA als potenzielle Backdoors nutzen konnte. Ransomware wie Wannacry, NotPetya und Bad Rabbit konnten sich wegen solcher Mängel schnell verbreiten.

Tausende Computer durch NSA-Hackertools infiziert

Leaks der Shadow Broker

Tausende Computer durch NSA-Hackertools infiziert

03.05.17 - Die von den Shadow Brokers veröffentlichten Hacking-Tools und Zero-Day-Schwachstellen aus dem Fundus der NSA sind inzwischen weit verbreitet. Kriminelle Hacker nutzen sie aktiv für Attacken, gleichzeigt suchen Sicherheitsexperten fieberhaft nach Gegenmaßnahmen. lesen

Diese Situation stellt Anbieter von Cybersicherheitslösungen vor eine große Herausforderung. Technologien manipulieren und inspizieren sensible Dateien, verarbeiten und speichern personenbezogene Daten. Sie verschlüsseln vertrauliche Informationen, greifen auf Ressourcen zu mit geregelten Berechtigungen, verwalten digitale Identitäten, analysieren den Traffic und das Verhalten etc. Wie können wir den Kunden und dem Ökosystem garantieren, dass diese ganzen Prozesse zuverlässig sind? Wie können wir die Souveränität respektieren mit allen internationalen politischen Spannungen? Die digitale Wirtschaft kann sich nur in einem vertrauensvollen Umfeld weiterentwickeln. Viele dieser Fragen bleiben unbeantwortet.

Für Anbieter von Netzwerksicherheitslösungen sind diese Fragen besonders wichtig, da die Verschlüsselung des Traffic einer der Grundpfeiler eines zuverlässigen digitalen Accounts ist. Laut Gartner werden bis 2019 rund 80 Prozent des Unternehmens-Traffic im Internet verschlüsselt sein. Dies bedeutet aber gleichzeitig, dass immer mehr Angriffe durch Schadprogramme (Ransomware inbegriffen) über HTTPS erfolgen, um die Infektion anfänglich zu verbergen und die Kontrolle über die Kommunikation zu übernehmen. Angesichts dieser Situation empfiehlt Gartner Unternehmen und Organisationen die Entwicklung eines Mehrjahresplans zur Implementierung von HTTPS-Entschlüsselungslösungen und eines Prüfprogramms. Diese SSL-Prüftechnik basiert auf der Man-in-the-Middle-Methode, durch die in der Konsequenz eine mögliche neue Angriffsstelle in der Kommunikation und im sicheren Austausch entsteht. Eine Schwachstelle in den Produkten, die die Entschlüsselung und SSL-Prüfung durchführen, könnte dann zum Zusammenbruch der gesamten Vertrauenskette führen.

Lösungsansätze

Es besteht die Möglichkeit, dass man sich auf Tests von externen Unternehmen verlässt, die ihren Fokus auf die Bewertung von Sicherheitstechnologien gelegt haben. Sie sind in der Lage, die Wirksamkeit von Schutzmechanismen zu bewerten. Doch diese Tests können sehr teuer sein und konzentrieren sich letztendlich nicht auf das Sicherheitskonzept an sich.

Als Grundlage könnte außerdem der von den Common Criteria definierte Rahmen dienen, den bereits 26 Länder übernommen haben. Hier bestimmt jedoch der Anbieter den Umfang der Bewertung – das sogenannte Sicherheitsziel. Dieses kann dann auf einen kleinen Teil der geprüften Software beschränkt werden. Leider erfassen nur bestimmte Länder die Bedeutung und bewerten die Relevanz dieses Sicherheitsziels. Hinzu kommt, dass durch die gestiegene Anzahl der Common Criteria-Sicherheitsstufen es dem Kunden schwerfällt, den Überblick zu behalten.

Des Weiteren gibt es Bug-Bounty-Programme, statische Code-Analyse-Software oder unabhängige Kontrollen, die Fehler erkennen und beheben. Diese Initiativen verbessern die technologische Sicherheit effektiv, teilweise bereits in der Entwicklungsphase. Dennoch ist es schwierig, den Benutzern eine uneingeschränkte IT-Sicherheit zu garantieren.

Schließlich spielen offizielle Zertifizierungen eine wichtige Rolle. In Frankreich beispielsweise bewertet ANSSI (die Nationale Agentur für Sicherheit der Informationssysteme) die Zuverlässigkeit von Sicherheitsprodukten anhand eines konkreten Qualifikationsrahmens, der die Common Criteria-Grundsätze erweitert. Dieses Framework legt drei Qualifikationsstufen fest, die auf vordefinierten Sicherheitszielen basieren. So ist es einfacher, diese zu verstehen. Abhängig von der Qualifikationsstufe wird eine unabhängige Codeprüfung an sicherheitskritischen Komponenten wie der Verschlüsselung durchgeführt. Potentielle Mängel werden ebenso bewertet wie die physische Entwicklungsumgebung. Am Ende liefert diese Methode den Beweis, dass Produkte robust sind und keine Sicherheitslücken bestehen, die eine Backdoor öffnen könnten.

NSA veröffentlicht Tools auf GitHub

32 Werkzeuge veröffentlicht

NSA veröffentlicht Tools auf GitHub

03.07.17 - Die NSA hat 32 ihrer Werkzeuge auf dem Code-Portal GitHub freigegeben. Dabei handelt es sich um Programme, mit denen Sicherheitslücken aufgespürt sowie Programme und Kommunikation gesichert werden können. lesen

Allgemeiner Qualifikationsrahmen

Das Problem ist, dass dieser Qualifikationsrahmen aber nur in Frankreich anerkannt ist. Beispielsweise haben Deutschland und UK vom BSI (Bundesamt für Sicherheit in der Informationstechnik) bzw. NCSC (National Cyber Security Centre) jeweils einen eigenen Rahmen. Die aktuelle Situation ist daher für die meisten Anbieter weder skalierbar noch wirtschaftlich akzeptabel, da eine Zertifizierung in jedem Land erforderlich wäre. Um einen einheitlichen digitalen Markt in Europa zu schaffen, der das Vertrauen aufrechterhält und europäische Souveränität garantiert, sind Zertifizierungen erforderlich, die alle europäischen Länder anerkennen. Auch die Europäische Kommission hat nun reagiert. Sie hat kürzlich eine Initiative zur Schaffung eines allgemeinen Zertifizierungsrahmens in Europa gestartet. Diese Maßnahme wird einen großen Fortschritt bedeuten, wenn sie die Erfahrungen und Bewertungskriterien der bereits kundigen Länder einbezieht und die Anforderungen nicht abschwächt, um den anderen entgegenzukommen.

Das Licht am Ende des Tunnels

Letztendlich wird ein Rahmen, der Vertrauen in Sicherheitstechnologien schafft, unweigerlich durch eine bessere Zusammenarbeit und Kooperation aller Beteiligten im Cyber-Ökosystem entwickelt. Ein ständiger Austausch zwischen dem öffentlichen und dem privaten Sektor, die Bildung von Allianzen zwischen Anbietern von Cybersicherheitslösungen und die Einbeziehung der Kunden in den Entwicklungsprozess (kollaboratives Design) wird zweifellos die Zuverlässigkeit und Effektivität der Sicherheitsprodukte erhöhen.

Über den Autor: Matthieu Bonenfant ist Chief Marketing Officer bei ‎Stormshield.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45176224 / Sicherheits-Policies)