SATW insights: Wie ein Institut IT-Security prüfen kann

29. September 2020, 08:30
  • kolumne
  • security
  • lücke
  • schweiz
  • channel
image

Auf Initiative des Kantons Zug haben Experten ein Konzept für ein Institut zur Prüfung vernetzter Geräte erarbeitet. Raphael Reischuk, Leiter der Expertengruppe, erklärt, warum.

Die fortschreitende Digitalisierung bringt nicht nur zahlreiche Annehmlichkeiten mit sich, es entstehen auch neuen Risiken, unter anderem im Hinblick auf die Souveränität der Schweizer Gesellschaft und die informationelle Selbstbestimmung der Bürgerinnen und Bürger. Insbesondere wachsen die kritischen Abhängigkeiten in der Informationstechnologie hinsichtlich des Einsatzes von Hard- und Software sowie IT-nahen Dienstleistungen. Wird berücksichtigt, dass durchschnittlich zwischen 1 und 100 Schwachstellen in 2000 Zeilen Programmcode enthalten sind (vgl. Studie, S. 7, PDF), so führt der steigende Vernetzungsgrad von IT-Komponenten unweigerlich dazu, dass Angreifer aus der Ferne eine reale Bedrohung mit teils erheblichem Schadpotenzial für die Gesellschaft darstellen.

Undurchsichtige Lieferketten

Oder etwas provokanter formuliert: Unsere Gesellschaft hat ein Software-Problem. In nahezu jeden Winkel unseres Lebens hat sich Software ausgebreitet: Uhren stehen in ständigem Kontakt mit Milliarden von vernetzten Geräten im Internet, Kampfflugzeuge haben mehr Programmcode als Computer-Betriebssysteme und nahezu alle Organisationen weltweit verlassen sich auf Software, um ihre Prozesse zu regeln. Software steuert den Betrieb komplexer Stromerzeuger, medizinischer Komponenten wie Herzschrittmacher und Insulinpumpen sowie sicherheitskritischer Komponenten wie Bremspedale und Lichtsignale. Etwa so beschreibt der kürzlich veröffentlichte Supply Chain Report des Atlantic Council das Problem der Software-Lieferketten und ihrer Abhängigkeiten als ein wesentlicher Grund für nationale Sicherheitsrisiken in öffentlichen und privaten Organisationen.
Software besteht heute aus einer Vielzahl Komponenten mit teils unbekannten Quellen und wird häufig in sehr kurzen Abständen aktualisiert. Mit jeder Aktualisierung besteht das Risiko, dass bekannte und neue Schwachstellen in Umlauf gebracht werden. Denn jede Software hat Fehler. Zwar sind nicht alle Fehler bösartigen Ursprungs, jedoch können viele davon von Kriminellen missbraucht werden. Mit dem zunehmenden Trend der Vernetzung operieren Kriminelle scheinbar unbemerkt aus der Ferne, wodurch ernstzunehmende Gefahren für Wirtschaft und Gesellschaft drohen.
Umso wichtiger wird es in Zukunft sein, ein aussagekräftiges Lagebild zur tatsächlichen Bedrohung zu entwickeln, welches von Schwachstellen in unzureichend gesicherten IT-Komponenten und Diensten ausgeht. Es steht nicht die Zertifizierung zugunsten der Produkthersteller im Vordergrund, sondern eine unabhängige Identifikation von Schwachstellen zugunsten der Betreiber und Anwender.
Es ist aus Sicht der geopolitischen, gesellschaftlichen und wirtschaftlichen Stabilität der Schweiz inakzeptabel, dass Einkäufer und Betreiber von kritischen Komponenten keine Möglichkeit haben, die Qualität der einzusetzenden Produkte hinsichtlich der Cybersicherheit durch eine offiziell mandatierte Institution zu evaluieren!

Fehlende rechtliche Grundlage

Abgesehen vom Datenschutz gibt es im Cyberbereich kaum verbindliche und rechtsgültige Normen, welche die Sicherheit und Integrität von Produkten gesetzlich regeln. Anders ist es in kritischen Industriesektoren wie der Medizintechnik, wo Qualitätsprüfungen durch unabhängige Stellen fester Bestandteil der Produktzulassung sind. Der Bedarf für unabhängige und effektive Prüfungen digitaler Produkte dürfte künftig sowohl in der Industrie, als auch bei Behörden, der Polizei und der Armee steigen.
Der Blick über die Landesgrenzen zeigt, dass in anderen Ländern bereits gesetzliche Regelungen zur Cybersicherheitsüberprüfung erarbeitet werden. Insbesondere in der Europäischen Union wird im Zuge des Cybersecurity Acts offen über die Prüfung und Zertifizierung von IT-Komponenten und -Systemen debattiert.

Ein nationales Prüfinstitut für vernetzte Geräte

Auf Initiative des Kantons Zug hat nun eine Expertengruppe mit Fachleuten aus Politik, Verwaltung, Wirtschaft und Wissenschaft ein Konzeptpapier für die Schaffung eines Prüfinstituts für vernetzte Geräte erarbeitet. Diese Organisation soll eine nationale Ausrichtung und – über die Zeit – eine internationale Ausstrahlung erreichen. Sie soll den Prüfbedarf innerhalb der Schweiz eruieren und anhand konkreter Stichproben befriedigen, insbesondere um dem Problem des Prüfstandsmodus zu begegnen.
Weiter soll die Organisation eine adäquate Verhandlungspartnerin (organisatorisch wie fachlich) für zukünftige bilaterale Abkommen mit dem Ausland sein. Das Zuger Konzeptpapier zeigt auf, wie eine solche Organisation eingerichtet und betrieben werden könnte; es werden das organisatorische und regulatorische Umfeld in der Schweiz diskutiert und die entsprechenden Prüforganisationen in verschiedenen Ländern skizziert.
Die Expertengruppe ging zudem den Fragen nach, wer mögliche Kunden eines Prüfinstituts sind und welche Produkte wie geprüft werden sollen. Das angedachte Prüfinstitut würde sich in Kooperation unter anderem mit dem Nationalen Zentrum für Cybersicherheit NCSC und dem Dachverband ICTswitzerland für die Bedürfnisse der Wirtschaft und die Souveränität der Gesellschaft einsetzen.

Über den Autor:

Dr. Raphael M. Reischuk ist Head of Cyber Security Services und Consultant bei Zühlke, Mitglied des Advisory Board Cybersecurity der SATW und Vizepräsident der Cybersecurity Kommision von ICTswitzerland. Raphael Reischuk hat am CISPA und an der Cornell University in Informationssicherheit doktoriert. An der ETH Zürich hat er an sicheren Internet-Architekturen geforscht und unter anderem die Internetarchitektur SCION mitentwickelt.

Zur SATW:

Die Schweizerische Akademie der Technischen Wissenschaften SATW ist das bedeutendste Expertennetzwerk im Bereich Technikwissenschaften in der Schweiz und steht im Kontakt mit den höchsten Schweizer Gremien für Wissenschaft, Politik und Industrie. Das Netzwerk besteht aus 350 gewählten Einzelmitgliedern, 55 Mitgliedsgesellschaften sowie Expertinnen und Experten.

Zu dieser Kolumne:

SATW insights: Unter diesem Titel berichten Mitglieder der Schweizerischen Akademie der Technischen Wissenschaften SATW regelmässig für unsere Leser über relevante, aktuelle Schweizer Technologie-Fragen. Die Meinung der Autoren muss sich nicht mit derjenigen von inside-it.ch/inside-channels.ch decken.

Loading

Mehr zum Thema

image

Gartner: Nachfrageschwäche für PCs hält an

Sowohl Unternehmen als auch Consumer werden dieses Jahr weiterhin Ausgaben scheuen und ihre alten Geräte länger benutzen, anstatt neue zu kaufen, sagt der Marktforscher.

publiziert am 1.2.2023
image

Basel führt Pflichtfach Medien und Informatik in der Sek ein

Bislang wurden die Themenbereiche Medien und Informatik in anderen Fächern zusammen gebündelt. Ab dem Schuljahr 2024/2025 will Basel-Stadt das ändern.

publiziert am 1.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023
image

Opentext: Nach der Übernahme kommen die Entlassungen

Nach dem Merger mit Micro Focus sollen rund 8% der Stellen gestrichen werden.

publiziert am 1.2.2023