:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Vertrauensvorschuss Zertifizierungen für Antivirus-Produkte
Welches Security-Produkt ist für meine Zwecke das Beste? Hilfestellung bieten Testberichte, Diskussionsforen oder auch Produkt-Zertifizierungen durch unabhängige Experten. Diese bietet nun auch EICAR an – eine Organisation, die in der Vergangenheit den Fokus auf Antivirus setzte.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Zertifikate und Prüfsiegel sind allgegenwärtig – beinahe jedes Elektrogerät verfügt über einen Aufkleber, der die Einhaltung gewisser Normen und Vorschriften bestätigt. Zertifizierungen sind aber keine neue Erfindung, sondern bereits seit gut 150 Jahren etabliert.
Selbst die bunten TÜV-Plaketten von PKWs sind im Wesentlichen nichts anders als Zertifikate, welche die Verkehrstauglichkeit des Fahrzeugs bestätigt. Die Wurzeln des TÜV gehen auf die Überprüfung von Dampfkesseln zurück, ebenso wie die des amerikanischen Spezialversicherers HSB (Hartford Steam Boiler Inspection and Insurance Company).
Zertifikate für Security-Produkte
Für zentrale Security-Themen und Security-Personal gibt es eine Vielzahl unterschiedlicher Zertifikate. Die Anzahl der Zertifikate für Security-Produkte, speziell Antivirus, ist dagegen deutlich weniger umfangreich. Zu nennen ist hier beispielsweise:
- CC (Common Criteria), welches in der Version 3.1 durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) vergeben wird.
- ITSMIG (IT Security made in Germany) eine Initiative des Bundesministeriums des Innern (BMI), des Bundesministeriums für Wirtschaft und Technologie (BMWi) sowie Vertretern der deutschen IT-Sicherheitswirtschaft.
- „EICAR Minimum Standard“ (EICAR trusted IT-security), ein Security-Standard für Anti-Malware-Produkte und in der Zukunft auch von Netzwerksicherheitsprodukten
- ICSA Labs ist ein unabhängiger Geschäftsbereich von Verizon Business und bietet herstellerunabhängige Tests und Zertifizierungen von Sicherheitsprodukten.
Auch der TÜV bietet in diesem Umfeld eine generelle Prüfung der Software-Qualität an, die nicht auf Security-Tools beschränkt ist. Eine Übersicht der geprüften Software-Produkte liefert die Zertifikatsdatenbank.
CC ist ein komplexer Standard, dessen Überprüfung mit Zeit und Kosten verbunden ist. Daher wird dieser Standard bevorzugt für Produkte genutzt, für die eine CC-Zertifizierung erforderlich ist oder die eine längere „Lebensdauer“ aufweisen. Ein Übersicht der zertifizierten Produkte nach Anwendungsgruppen (Betriebssysteme, Digitale Signatur, Digitaler Tachograph ...) findet man auf der Webseite des BSI.
Was sagt nun aber eine Zertifizierung nach ITSMIG, EICAR oder ICSA aus? Wie sind die jeweiligen Prüfkriterien definiert, wie werden sie überprüft und was bedeute dies für den Käufer?
ITSMIG
Die Initiative des BMI und BMWI geht zurück auf das Jahr 2005 und hat heute eine breite Nutzungsbasis. Für ITSMIG gilt ‚Nomen est omen‘, denn das erste Kriterium der ITSMIG-Zertifizierung lautet, dass sich der Unternehmenshauptsitz in Deutschland befinden muss. Über 130 Unternehmen folgen der Selbstverpflichtung und sind berechtigt, das ITSMIG-Zertifikat zu führen, darunter auch klassische Anti-Malware-Hersteller wie AVIRA und G Data (Übersicht Zeichenträger).
Das Zertifikat erlangt man auf Antrag, der für Nicht-TeleTrusT-Mitglieder kostenpflichtig ist. ITSMIG-Aktivitäten erfolgen unter dem Dach des TeleTrusT in einer eigenständigen Arbeitsgruppe. Die Kriterien, die ein Unternehmen erfüllen muss, sind dabei auf Deutschland fokussiert.
- 1. Der Unternehmenshauptsitz muss in Deutschland sein.
- 2. Das Unternehmen muss vertrauenswürdige IT-Sicherheitslösungen anbieten.
- 3. Die angebotenen Produkte dürfen keine versteckten Zugänge enthalten (keine „Backdoors“).
- 4. Die IT-Sicherheitsforschung und -entwicklung des Unternehmens muss in Deutschland stattfinden.
- 5. Das Unternehmen muss sich verpflichten, den Anforderungen des deutschen Datenschutzes zu genügen.
Ergänzende Informationen darüber, wie und in welcher Häufigkeiten die Einhaltung der Kriterien überprüft werden, lässt sich über die Webseite nicht ermitteln. Aber der Hinweis „Bei nachträglicher Nichterfüllung eines oder mehrerer Kriterien kann die Zeichennutzung durch TeleTrusT untersagt werden.“ spricht für die Existenz einer geeigneten Verifikation.
Vor allem der Punkt 4 dürfte dabei kritisch hinterfragt werden, denn Europa wächst zusammen und eine Auslagerung von Software-Aktivitäten ins preiswerte Ausland ist heutzutage durchaus üblich. Ebenso wäre eine nach Schärfung des Begriffes „Backdoor“ nachzudenken, denn auch versteckte (z.B. nicht für den Anwender dokumentierte) Funktionen, die nicht der Backdoor-Definition entsprechen, stellen eine Gefährdung dar.
ICSA LABS
Im amerikanischen Sprachraum sind die Zertifizierungen der ICSA Labs ein fester Faktor für das Marketing. Anti-Malware-Produkte bekannter AV-Hersteller wie Avast, Symantec, Trend Micro, Sophos und McAfee/Intel (u.a.) nutzen die ICSA Labs zur Überprüfung Ihrer Produkte (Liste der zertifizierten Anti-Virus-Tools).
Die Aktivitäten der ICSA Labs im Umfeld Anti-Malware entsprechen dabei weitestgehend denen, die im DACH-Umfeld von Unternehmen wie AV-Test und AV-Comparatives erbracht werden – die Qualitätsprüfung von Virenscannern und deren Erkennungsraten. ICSA behält es sich vor, mehrmals im Jahr, unangekündigt, das Produkt zu testen. Wobei die primären Test Module (Kriterien) im Vordergrund stehen. Dabei handelt es sich um:
- 1. Detect Malware on-demand
- 2. Detect and prevent the replication of viruses on-access
- 3. Report no false positives
- 4. Log the results of malware detection attempts
- 5. Perform necessary administrative functions
Bezüglich der Kosten hält man sich bedeckt und informiert auf Anfrage den Auftraggeber direkt. Für die Sparte Antivirus-Produkte ist die Überprüfung via ICSA Labs gleichzusetzen mit den Ergebnissen der bereits genannten AV-Test-Labore. Hinsichtlich der anderen Prüfthemen wie IoT-Komponenten, Firewall-Systemen, Netzwerk-IPS oder Anti-Spyware-Programme bietet der Service eine Zertifizierung, die man als Käufer durchaus betrachten sollte.
EICAR
Im Rahmen der „EICAR Trustworthiness Strategy“ ist man bei EICAR bemüht, für mehr Sicherheit, Vertrauen und Transparenz zu sorgen. Dazu stellte man Mitte 2015 den „EICAR Minimum Standard für Anti-Malware-Produkte“ der Öffentlichkeit vor, der nachfolgendes Ziel hat:
- Die Einhaltung von Datenschutzbestimmungen,
- Transparenz über die Kommunikation der Produkte zu den Herstellern sowie
- eine Versicherung, dass die Produkte nicht manipuliert sind.
Aktuell ist dies nur auf Basis einer Selbstverpflichtung möglich, da die entsprechenden Verifikationsmöglichkeiten noch nicht existieren. Man agiert bei EICAR nach einem mehrstufigen Plan, der in der dritten „Ausbaustufe“ Testprozeduren bereitstellen/definieren wird. Mit dem Test-Labor AV Comparatives konnte im November 2015 der erste Test-Partner gewonnen werden. Man darf daher annehmen, dass der dritte Punkt der „Minimum Standards“ aber zeitnah umgesetzt wird.
Die Security-Company Trend Micro hat sich als erste dazu bekannt, den Minimu- Standard einzuhalten und dies für drei ihrer Produkte (OfficeScan, Deep Security und Deep Discovery) bestätigt. In einer Pressemeldung von Raimund Genes, CTO von Trend Micro, über die positiven Einflüsse der EICAR-Aktivität findet sich auch ein Link, der die EICAR-Kriterien auflistet.
Aktuell beschreiben 16 Anforderungen, was ein Anti-Malware-Programm zu tun hat und was nicht. Diese Festlegung ist derzeit durchaus richtungsweisend!
So hat man z.B. das Risiko „Backdoors“ besser abgegrenzt und für den Käufer klarer definiert, was er erwarten kann bzw. wovor er geschützt ist.
Auch die im Dokument aufgeführten Anforderungen hinsichtlich der Qualifizierung und Kenntnis des genutzten Programmcodes („[...] Der Anbieter muss sämtliche Teile des in dem Produkt vorhandenen Codes, ob intern oder extern entwickelt, hinreichend kontrollieren können [...].“) sind echte Herausforderungen.
Diese können z.B. nachhaltig die Nutzung von Open-Source-Code (z.B. OpenSSL) in Security-Programmen verändern!
Für das Security-Unternehmen ist die Zertifizierung kein billiges Vergnügen, denn je Produkt und Jahr sind rund 5.000 Euro zu entrichten. Allerdings ist dies eine Investition, die sich durchaus bezahlt machen kann, denn Zertifikate werden in Zukunft wahrscheinlich stärker das Kaufverhalten beeinflussen.
Rainer Fahs, Chairman von EICAR, berichtete, dass inzwischen auch an der Zertifizierung von „nicht AV-Tools“ gearbeitet wird und man auch hinsichtlich der Zusammenarbeit mit anderen Firmen und Organisationen gute Fortschritte macht. Details dazu werden sicherlich die nächsten Pressemitteilungen genannt.
Der Nutzen für den Käufer?
Wie steht es nun aus mit dem Mehrwert für den Käufer. Bieten zertifizierte Produkte mehr hinsichtlich Qualität, Berücksichtigung von Datenschutzregeln und stärken Sie das Vertrauen des Käufers? Die Antwort darauf ist ein JA, aber aktuell ist das gewünschte Niveau noch nicht erreicht.
ITSMIG: Starker Marktanteil und das Zertifikat ist bekannt. Aber eine Erweiterung der Kriterien bzw. eine Ausarbeitung der Anforderungen wäre aus Käufersicht wünschenswert, da dies dem Wert des Zertifikats steigert.
ICSA Labs: Für den Bereich Antivirus / Anti-Malware nützlich, aber die Stärken liegen auf anderen Produkten. Bzgl. der Scanner-Qualität und anderen Scanner-Eigenschaften sind die Testergebnisse von Test-Laboren detaillierter.
EICAR: Das Zertifikat hat Potential zum neuen Standard zu werden! Aktuell fehlt es aber noch einer korrekten, belegbaren Überprüfbarkeit der Zertifikatskriterien. EICAR muss hier einen Gang zulegen.
Empfehlung
Zertifikate und Gütesiegel gibt es für viele IT Komponenten. Man sollte sich nie vom grafischen Label, den verwendeten Begriffen und Namen beeindrucken lassen, sondern immer selbst überprüfen, was da eigentlich zertifiziert wird und welchen Nutzen die Kriterien bieten.
Einen Einstieg in die Validierung können die folgenden Fragestellungen geben:
- 1. Wer erteilt das Zertifikat mit welcher Befähigung?
- 2. Welche Kriterien werden vorausgesetzt bzw. erwartet?
- 3. Wie lange ist das Zertifikat gültig bzw. wie häufig erfolgt eine Re-Zertifizierung?
- 4. Werden Datenschutz-Themen angesprochen bzw. berührt?
- 5. Welche Ausschluss-Klausen oder Beschränkungen sind genannt?
- 6. Gibt es eine Übersicht der bisherigen Zertifikats-Nutzer?
- 7. Ist die Bestätigung überregional anerkannt bzw. bekannt?
- 8. Wie kann man Verstöße gegen die Kriterien melden?
- 9. Ist das Zertifikat kostenpflichtig?
- 10. Kann der Nutzer einer zertifizierten Leistung die Kriterien (teilweise) selbst validieren?
Zertifikat + Technik
Bei Anti-Malware besteht auch die Möglichkeit, einem Zertifikat durch technische Prüfwerte mehr Gewicht zu verleihen. Produktaussagen bzgl. der Erkennungsqualität, Scan-Geschwindigkeit, Speichernutzung etc. liefern hier Test-Labore wie AV-Comparatives und AV-Test. AV-Comparatives ist als „Trusted IT-Security Testing Lab“ durch EICAR zertifiziert.
(ID:44165528)
:quality(80)/p7i.vogel.de/wcms/c7/50/c75062d08a7ab58c249ee33bcf093fcf/0112707188.jpeg "Die Vorteile von „Security by Design“ sind eine frühzeitige Fehlervermeidung sowie Reduzierung potenzieller Angriffsflächen. (Bild: profit_image - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")