"Wer heute noch eine Blackbox verkauft, ist verdächtig"

14. Februar 2020, 13:24
  • security
  • channel
  • datenschutz
image

Wir haben uns an den Swiss Cyber Security Days bei Security-Profis umgehört, was sie von den Enthüllungen in der Affäre Crypto AG halten.

Rund 2700 Personen nahmen an den zweiten Swiss Cyber Security Days teil. Entsprechend viel Wissen, Geschäftssinn und Erfahrung aus der Security-Szene versammelte sich in Fribourg. Abseits der Keynotes und Tech-Präsentationen dominierte ein Thema den Anlass: Die Enthüllungen zur Crypto AG.
Zu spüren bekamen das auch Infoguard und CyOne – beide verbandelt mit der Crypto AG – die zu den 120 Ausstellern zählten. Verlangsamte Schritte, leises Getuschel und heimliche Blicke registrierten die Manager vor Ort. Offen angesprochen wurden sie nicht, das Thema ist ein heisses Eisen. Gegenüber inside-channels.ch zeigten sich Schweizer Security-Experten deutlich offenherziger – allerdings auf das Versprechen hin, namentlich nicht genannt zu werden.

Einigkeit gibt es nur in einem Punkt

Im Gespräch mit rund einem Dutzend Profis aus der Schweizer Security-Welt, vom Berater über den SOC-Spezialisten bis zum Hardware-Anbieter, zeichnete sich ein buntes Stimmungsbild. Einig waren sie sich nur in einem Punkt: Eine Überraschung sind die Enthüllungen nicht.
Die Recherchen förderten zwar viel Konkretes zu Tage, das noch nicht bekannt war, die Verstrickungen der Crypto AG waren aber ein nur schlecht gehütetes Geheimnis, so die Einschätzung. Ein Security-Dienstleister erklärte, dass selbst Mitarbeiter der damaligen Crypto hinter vorgehaltener Hand über die verdächtigen Vorkommnisse bei ihrem Arbeitgeber gesprochen hätten.
Ab Mitte der 1990er-Jahren gab es mehr als einen Medienbericht zum Fall. Zudem, so die vorherrschende Meinung unter den Gesprächspartnern, sei die Enthüllung schon angesichts des damals herrschenden Kalten Krieges und den Finanzmitteln der Geheimdienste nicht wahnsinnig überraschend.

Schaden oder gar Chance für die Branche?

Darüber hinaus gingen die Meinungen aber weit auseinander. So meinten einige Security-Profis, dass die Enthüllungen kaum Einfluss auf die hiesige Branche und wenig Auswirkung auf die Reputation des Schweizer Staates haben würden. Eine Einschätzung in Sachen Neutralität seitens des Militärs, das in Fribourg deutlich Präsenz zeigte, war nicht einzuholen. Dort war offiziell die Weisung "No comment!" ausgegeben worden.
"In einigen Wochen ist der Rauch verflogen", sagte derweil ein Security-Manager. Ein anderer meinte gar, dass es eine Chance sei, um den Zero-Trust-Ansatz zu stärken. Der Mann arbeitet notabene bei einem Anbieter, der den Ansatz verfolgt.
Aber auch weitere Gesprächspartner wiesen darauf hin, dass die Affäre eine Chance bieten könne, wenn etwa die Kunden ihre Anbieter überprüfen würden. So gab ein leitender Angestellter eines Security-Dienstleisters zu bedenken, dass bei Crypto neben dem deutschen vor allem der amerikanische Geheimdienst involviert war. Dies würde den Diskurs über Backdoors in US-Produkten weiter befeuern.
Dies könnte teilweise Zweckoptimismus sein, aber für manchen Herausforderer im Markt könnte sich vielleicht die eine oder andere Tür öffnen. Andere Gesprächspartner schätzten die Auswirkungen deutlich weniger optimistisch ein: International sei das Verkaufsargument "Schweiz" wichtig und auch hierzulande stehe das Vertrauen der Kunden an oberster Stelle. Beides habe mit der Affäre empfindlich gelitten. Ein Weltuntergang zeichnete sich für keinen ab, aber eine Delle in der Reputation befürchtet man mancherorts.

Wie stellt man die Reputation wieder her?

Bei jener Gruppe geht es nun darum, den guten Ruf wiederherzustellen. Doch was sind die Mittel dafür? Auch hier zeigte sich eine grosse Bandbreite an Meinungen. So meinten einige, man müsse die Besitzstrukturen von Security-Firmen offenlegen und Mitarbeitende prüfen. Das hätte im Falle von Crypto allerdings erst ab dem Verkauf an CIA und BND gefruchtet – wenn überhaupt.
Eine Hand voll Manager ging deutlich weiter: Man könne heute im Crypto-Bereich keine Blackboxen mehr verkaufen, sagte etwa ein Security-Berater deutlich. "Ich rede nicht unbedingt von Open-Source, aber Kunden müssen den Code einsehen können". Es sei verdächtig, wenn man keine Einsicht in diese sensiblen Lösungen gewähre.
Allerdings sei dies eine Gratwanderung der Security-Industrie zwischen Transparenz und der notwendigen Verschwiegenheit sowie dem Anspruch auf proprietäre Lösungen, war häufig zu hören. 

Loading

Mehr zum Thema

image

RZ-Betreiber NorthC endgültig in der Schweiz angekommen

Die Übernahme der Netrics-RZs in Münchenstein und Biel ist abgeschlossen.

publiziert am 16.8.2022
image

Eine Zeroday-Lücke lebte bei Microsoft zwei Jahre unbehelligt

Microsoft anerkennt die Schwachstelle "Dogwalk" nach zwei Jahren als Gefahr und veröffentlicht einen Patch. Sie wird bereits ausgenutzt.

publiziert am 16.8.2022
image

Adesso steigert Umsatz, aber verdient weniger

Der IT-Dienstleister hat im ersten Halbjahr 2022 den Umsatz um 28% gesteigert, gleichzeitig ist das EBITDA um ein Drittel gesunken.

publiziert am 16.8.2022
image

Zuger Gastro-Startup Menu wird amerikanisch

Der US-Spezialist für Gastro-Software PAR übernimmt den Anbieter einer Omnichannel-Bestelllösung für Restaurants.

publiziert am 15.8.2022