Sinn und Unsinn von Zertifikaten für Security-Software


In Zeiten von massiv zunehmenden Ransomware-Attacken und immer häufiger beobachteten Versuchen, Unternehmen oder politische Institutionen auszuspähen, gibt es in der Industrie und bei den staatlichen Stellen eine verstärkte Nachfrage nach Sicherheitsprodukten insbesondere in Form von Software. Dem steht ein ebenfalls wachsendes Angebot an Produkten entgegen, die versprechen, die neuen Bedrohungen wirksam abwehren zu können, wie auch gerade bei der it-sa zu beobachten war. Soweit wäre also alles gut, die Marktmechanismen funktionieren. Doch sind diese Applikationen mittlerweile ebenso komplex wie die Angriffsmethoden, vor denen sie schützen sollen, weshalb die Einarbeitung in die Konzepte der verschiedenen, miteinander konkurrierenden Produkte immer mehr Zeit in Anspruch nimmt und im schlimmsten Fall sogar zu mehr Unsicherheit führen kann.

Kunden verlangen nun zunehmend Zertifizierungen als Garant, dass eine Software oder ein Service das versprochene Sicherheitslevel auch bieten kann.

In Deutschland sind in Hinblick auf die Sicherheit vor allem zwei Arten von Zertifikaten wichtig: Der ITSEC-Standard (PDF) und die Common-Criteria-Zertifizierung stellen Kriterien für die Funktionalität und Qualität von Software-Produkten auf. Der IT-Grundschutz hingegen beschreibt eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte, insbesondere durch die aktuelle Überarbeitung an die internationale Norm ISO/IEC 27001 angeglichene Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen Informationstechnik. Diese Zertifizierung bezieht sich also auf einen IT-Verbund, beziehungsweise auf den definierten Ausschnitt der zu prüfenden IT-Umgebung. Alle genannten Zertifikate werden vom BSI ausgestellt. Die Kriterien sind transparent, die Prüfungen durch einen akkreditierten Auditor objektiv.

Langwierige Zertifzierungsprozesse

Doch ist ein Unternehmen tatsächlich auf der sicheren Seite, wenn es nach Möglichkeit nur zertifizierte Produkte einsetzt? Das ist leider zweifelhaft. Denn die Zertifizierungsprozesse dauern Wochen, Monate, manchmal auch Jahre, bedingt durch den intensiven Austausch zwischen dem Anbieter und dem Auditor. In dieser Zeit sind oft schon wieder völlig neue Bedrohungen entstanden, kriminelle Hacker haben neue Methoden und Schwachstellen gefunden, um in Firmennetze einzudringen, unzählige neue Viren wurden verbreitet. Und auch die Security-Software selbst sieht nach einem Jahr anders aus, die Entwickler haben neue Funktionen hinzugefügt und auf die neuen Bedrohungsformen reagiert. Auf eine solche neue, aktualisierte Version oder auch ein Update zu verzichten, weil die Software noch nicht zertifiziert wurde, wäre unklug. Diese Situation stellt eine große Herausforderung dar, eine Lösung dieses Dilemmas ist jedoch noch nicht in Sicht.

Zum anderen sollten CIOs genau hinschauen, was zertifiziert wurde. Da ein Zertifizierungsprozess viel Zeit in Anspruch nimmt und die Hersteller viel Geld kostet, wird oft nicht das gesamte Produkt für die Prüfung angemeldet, stattdessen lassen die Firmen lediglich ein oder mehrere Grundfunktionen testen.

Ein weiterer Punkt ist wie angedeutet die Konfiguration und Administration des Produktes: Allein ein Zertifikat schützt den Kunden nicht vor Fehler in der Anwendung und in Folge vor Sicherheitslücken, die ausgenutzt werden können.

Dem BSI ist kein Vorwurf zu machen, sorgfältige Zertifizierungsprozesse brauchen einfach Zeit, und die will investiert und auch bezahlt werden. Doch sollten sich die Verantwortlichen in den Unternehmen bewusst sein, dass blindes Vertrauen in Zertifikate nicht angebracht ist. Eigene Recherche, kompetente Beratung, auch durch Dritte, und eine intensive Beschäftigung mit dem Produkt können sie nicht ersetzen. Zudem muss sich jedoch auch der Zertifizierungsprozess an sich an die aktuelle Geschwindigkeit anpassen. Hier gilt es noch, Lösungen zu finden.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)

Skip to main content