ICTswitzerland fordert nationales Testlabor für ICT-Produkte

26. September 2019, 13:00
  • security
image

Digitale Produkte gehören heute zur kritischen Infrastruktur, sagt der Verband. Ein Dialog zu Normen und Tests sei zwingend.

Digitale Produkte gehören heute zur kritischen Infrastruktur, sagt der Verband. Ein Dialog zu Normen und Tests sei zwingend.
Autos werden geprüft, bevor sie auf unsere Strassen dürfen. Flugzeuge werde geprüft, Arzneimittel werden geprüft, Pestizide, Chemikalien und und und. Für ICT-Produkte gibt es aber weder Sicherheits- oder Qualitätsnormen noch werden sie von einer unabhängigen Instanz getestet.
Der Dachverband ICTswitzerland findet diese Situation nicht mehr haltbar. Unter anderem, so argumentiert der Verband, sei die heutige Sicherheit der Lieferkette oft unzulänglich und untergrabe bestehende Sicherheitsvorkehrungen. Versteckte Schwachstellen, aber auch absichtlich implantierte Backdoors und Fehlfunktionen würden drohen.
ICTswitzerland geht es aber nicht nur um mögliche "Supply Chain Hacks" sondern auch um Security-Schwachstellen, die durch schlichte Schlamperei bei der Entwicklung von Produkten entstehen.
Und weil transparente Informationen über die Vertrauenswürdigkeit der Produkte fehlten, könnten Verantwortliche sowie Konsumentinnen und Konsumenten bei digitalen Produkten kaum zuverlässige Beschaffungs- und Einsatzentscheidungen treffen. "Wenn nicht genügend geprüfte Produkte beispielsweise in kritischen Infrastrukturen zum Einsatz kommen, können Bedrohungen flächendeckend werden und die Versorgung der Gesellschaft in den Bereichen Elektrizität, Medizin, Mobilität und physischer Schutz gefährden."
"Die heutige Situation ist alarmierend. Die zunehmende Digitalisierung in der Industrie, bei Behörden, der Polizei und der Armee führt zu immer grösseren Risiken, die auf den Einsatz nicht vertrauenswürdiger digitaler Produkte zurückzuführen sind. Deshalb fordern wir die Schaffung eines nationalen Cybertesting Labs in Partnerschaft mit Industrie, Akademie und Behörden".
Und gleichzeitig, so der Verband, müssten verbindliche Qualitätsnormen für digitale Produkte geschaffen werden. Es sei an der Zeit, dass die Gesellschaft, die Industrie und die Politik solche Normen diskutieren. Dabei müssten verschiedene Fragen geklärt werden: Was sind die Minimalanforderungen? Für wen und was sollen sie gelten? Und wie wird ihre Einhaltung überprüft?
Neue Klauseln für Verträge
In einem White Paper (PDF) begründet die Arbeitsgruppe Supply Chain Security diese Forderungen und präsentiert auch einige Ideen für konkrete Massnahmen. So könnte man zum Beispiel sektorspezifische Vorlagen für Standard-Sicherheitsklauseln in Verträgen erarbeiten. Diese sollten folgende Minimalforderungen enthalten:
- "Der Hersteller verpflichtet sich zu Coordinated Disclosure (ISO 29147) zur Handhabung von gemeldeten Schwachstellen. Er dokumentiert die Umsetzung des Prozesses, die Ansprechpartner und Bearbeitungsdauer."
"Der Hersteller verpflichtet sich zur vollständigen und abschliessenden Dokumentation aller im Produkt eingebauten Default Accounts, Passwörter, Zertifikate und Schlüssel."
- "Der Hersteller räumt dem Kunden das Recht ein, die Hard- und Software des Produktes auf Integrität und Sicherheit zu prüfen (Reverse Engineering)."
Wenn dann später beispielsweise doch Schwachstellen oder nicht offen gelegte Backdoors entdeckt würden, könnte der Hersteller so als Urheber in die Pflicht genommen werden. Er hätte nicht mehr die Möglichkeit, die eigene Verantwortung einfach von sich zu weisen. Dies ist ein wichtiger Punkt für die Arbeitsgruppe: Die Hemmschwelle würde erhöht. "Fehlverhalten könnte Konsequenzen haben und schlimmstenfalls den Ausschluss vom Markt zur Folge haben".
Nationales Cybertesting Lab
Normen beziehungsweise Vertragsklauseln seien aber "zahnlos" ohne eine Möglichkeit, ihre Einhaltung zu überprüfen, sagte Stefan Frei, Head der Arbeitsgruppe Supply Chain Security, im Gespräch mit inside-it.ch. Und hier käme das nationale Test-Laboratorium ins Spiel.
Gemäss den Vorstellungen müsste dieses mit der notwendigen High-Tech-Ausrüstung und ausgebildeten Spezialisten ausgestattet werden. Auch soll es enge Kontakte zur Industrie, zu akademischen Kreisen und zur Security Community pflegen. Es würde nicht routinemässig alle Produkte überprüfen. Ähnlich wie beispielsweise das Chemielabor in Spiez soll es dann in Aktion treten, wenn es konkrete Aufträge erhält. Diese könnten von der Industrie, Behörden nationalen oder internationalen Organisationen aus der ganzen Welt kommen. Denn, so glaubt die Arbeitsgruppe, die Schweiz könnte ein idealer Standort für so ein Labor sein, dessen Arbeit auch international anerkannt werden würde.
Die Arbeitsgruppe Supply Chain Security der Kommission Cybersecurity von ICTswitzerland besteht aus nahmhaften Security Experten aus Schweizer Bundesbehörden, der ICT-Branche und der Wirtschaft. (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Ransomware-Bande Conti gibts nicht mehr

Die Bande griff die Universität Neuenburg oder den Storenbauer Griesser an. Aber zu früh freuen sollte man sich über den "Rücktritt" nicht, die Kriminellen haben noch ein Ass im Ärmel.

publiziert am 20.5.2022
image

Online-Ads: Nutzer-Daten werden Milliarden Mal pro Tag verarbeitet

Eigentlich weiss man es: Beim Besuch einer Website werden eine Menge Informationen verfolgt und geteilt. Ein Bericht verdeutlicht nun, wie häufig dies geschieht und stellt die Frage: Ist das legal?

publiziert am 20.5.2022
image

Hacker nehmen VMware- und F5-Sicherheitslücken aufs Korn

Die US-Cyberbehörde CISA warnt, dass die kürzlich bekannt gewordenen Lücken aktiv angegriffen werden, vermutlich von staatlich unterstützten Gruppierungen.

publiziert am 19.5.2022