Digitale Produkte gehören heute zur kritischen Infrastruktur, sagt der Verband. Ein Dialog zu Normen und Tests sei zwingend.
Autos werden geprüft, bevor sie auf unsere Strassen dürfen. Flugzeuge werde geprüft, Arzneimittel werden geprüft, Pestizide, Chemikalien und und und. Für ICT-Produkte gibt es aber weder Sicherheits- oder Qualitätsnormen noch werden sie von einer unabhängigen Instanz getestet.
Der Dachverband ICTswitzerland findet diese Situation nicht mehr haltbar. Unter anderem, so argumentiert der Verband, sei die heutige Sicherheit der Lieferkette oft unzulänglich und untergrabe bestehende Sicherheitsvorkehrungen. Versteckte Schwachstellen, aber auch absichtlich implantierte Backdoors und Fehlfunktionen würden drohen.
ICTswitzerland geht es aber nicht nur um mögliche "Supply Chain Hacks" sondern auch um Security-Schwachstellen, die durch schlichte Schlamperei bei der Entwicklung von Produkten entstehen.
Und weil transparente Informationen über die Vertrauenswürdigkeit der Produkte fehlten, könnten Verantwortliche sowie Konsumentinnen und Konsumenten bei digitalen Produkten kaum zuverlässige Beschaffungs- und Einsatzentscheidungen treffen. "Wenn nicht genügend geprüfte Produkte beispielsweise in kritischen Infrastrukturen zum Einsatz kommen, können Bedrohungen flächendeckend werden und die Versorgung der Gesellschaft in den Bereichen Elektrizität, Medizin, Mobilität und physischer Schutz gefährden."
"Die heutige Situation ist alarmierend. Die zunehmende Digitalisierung in der Industrie, bei Behörden, der Polizei und der Armee führt zu immer grösseren Risiken, die auf den Einsatz nicht vertrauenswürdiger digitaler Produkte zurückzuführen sind. Deshalb fordern wir die Schaffung eines nationalen Cybertesting Labs in Partnerschaft mit Industrie, Akademie und Behörden".
Und gleichzeitig, so der Verband, müssten verbindliche Qualitätsnormen für digitale Produkte geschaffen werden. Es sei an der Zeit, dass die Gesellschaft, die Industrie und die Politik solche Normen diskutieren. Dabei müssten verschiedene Fragen geklärt werden: Was sind die Minimalanforderungen? Für wen und was sollen sie gelten? Und wie wird ihre Einhaltung überprüft?
Neue Klauseln für Verträge
In einem
White Paper (PDF) begründet die Arbeitsgruppe Supply Chain Security diese Forderungen und präsentiert auch einige Ideen für konkrete Massnahmen. So könnte man zum Beispiel sektorspezifische Vorlagen für Standard-Sicherheitsklauseln in Verträgen erarbeiten. Diese sollten folgende Minimalforderungen enthalten:
- "Der Hersteller verpflichtet sich zu Coordinated Disclosure (ISO 29147) zur Handhabung von gemeldeten Schwachstellen. Er dokumentiert die Umsetzung des Prozesses, die Ansprechpartner und Bearbeitungsdauer."
"Der Hersteller verpflichtet sich zur vollständigen und abschliessenden Dokumentation aller im Produkt eingebauten Default Accounts, Passwörter, Zertifikate und Schlüssel."
- "Der Hersteller räumt dem Kunden das Recht ein, die Hard- und Software des Produktes auf Integrität und Sicherheit zu prüfen (Reverse Engineering)."
Wenn dann später beispielsweise doch Schwachstellen oder nicht offen gelegte Backdoors entdeckt würden, könnte der Hersteller so als Urheber in die Pflicht genommen werden. Er hätte nicht mehr die Möglichkeit, die eigene Verantwortung einfach von sich zu weisen. Dies ist ein wichtiger Punkt für die Arbeitsgruppe: Die Hemmschwelle würde erhöht. "Fehlverhalten könnte Konsequenzen haben und schlimmstenfalls den Ausschluss vom Markt zur Folge haben".
Nationales Cybertesting Lab
Normen beziehungsweise Vertragsklauseln seien aber "zahnlos" ohne eine Möglichkeit, ihre Einhaltung zu überprüfen, sagte Stefan Frei, Head der Arbeitsgruppe Supply Chain Security, im Gespräch mit inside-it.ch. Und hier käme das nationale Test-Laboratorium ins Spiel.
Gemäss den Vorstellungen müsste dieses mit der notwendigen High-Tech-Ausrüstung und ausgebildeten Spezialisten ausgestattet werden. Auch soll es enge Kontakte zur Industrie, zu akademischen Kreisen und zur Security Community pflegen. Es würde nicht routinemässig alle Produkte überprüfen. Ähnlich wie beispielsweise das Chemielabor in Spiez soll es dann in Aktion treten, wenn es konkrete Aufträge erhält. Diese könnten von der Industrie, Behörden nationalen oder internationalen Organisationen aus der ganzen Welt kommen. Denn, so glaubt die Arbeitsgruppe, die Schweiz könnte ein idealer Standort für so ein Labor sein, dessen Arbeit auch international anerkannt werden würde.
Die Arbeitsgruppe Supply Chain Security der Kommission Cybersecurity von ICTswitzerland besteht aus nahmhaften Security Experten aus Schweizer Bundesbehörden, der ICT-Branche und der Wirtschaft. (Hans Jörg Maron)