Ein längst überfälliges „Zeichen“ mit ambivalentem Start

Kommentar von Richard Werner, Business Consultant

Im Dezember kündigte das BSI den Start des IT-Sicherheitskennzeichens an und eröffnete damit erst einmal Herstellern von Breitbandroutern und Anbietern von E-Mail-Diensten die Möglichkeit, ihre Produkte damit zu bewerben. Um das Kennzeichen zu erhalten, muss sich der Anbieter verpflichten (basierend auf der Geräte-, bzw. Servicekategorie), Minimumstandards der IT-Sicherheit einzuhalten. Gefordert wird dabei eine Bestätigung, dass der Hersteller alles dafür getan hat, einen sicheren Einsatz des Geräts zu ermöglichen. Für Hersteller ein attraktives Angebot, denn der dahinterstehende Prozess ist nicht besonders kompliziert, und zudem ist durchaus anzunehmen, dass die meisten Anbieter der nun zur Ausschreibung stehenden Dienste in Deutschland diese Standards ohnehin erfüllen. Also, warum sehen wir dann noch keine Werbeaktionen mit dem Kennzeichen, wo doch der „Erste“ durchaus auch medial wahrgenommen werden würde? Nun, es bleibt zu hoffen, dass dies nur damit zu tun hat, dass der Zeitpunkt der Ankündigung (Anfang Dezember) für viele Anbieter ungünstig war. Aber das ist möglicherweise nicht der einzige Grund.

Ist ein Sicherheitskennzeichen überhaupt nötig?

Die kurze Antwort ist: Ja. Die lange: Es ist längst überfällig. Das Handy ist schon ständiger Begleiter, aber auch das Auto, die Uhr, der Fernseher und viele weitere Gegenstände des täglichen Gebrauches sind heute IT-bezogen. Oft fehlen dabei grundsätzliche Schutzvorkehrungen im Sinne der IT-Security. Dieser Mangel zeigt sich noch deutlicher, wenn auch Sicherheitslücken gefunden und vom Hersteller nicht gepatcht werden. Je billiger das IoT-Gadget, desto höher die Wahrscheinlichkeit von Fehlern. Und eine Webcam, die via Schwachstelle von einem Hacker übernommen wird, ist kein Spaß.

Ein IT-Sicherheitskennzeichen einzuführen, welches Hersteller beispielsweise dazu verpflichtet, bei gefundener Lücke einen Patch zu liefern, wäre schon ein riesiger Fortschritt, denn gerade in „kleinen“ IoT-Geräten steckt enormes Potenzial für Cyberangriffe. Ob der vom BSI gewählte Weg richtig ist, wird sich zeigen. Mit Breitbandroutern und Maildiensten sind zwei Branchen angesprochen, die ein eigenes Interesse daran haben, als „sicher“ zu gelten und die geforderten Minimumstandards in der Regel zu erfüllen. Damit sollte es hoffentlich gelingen, schnelle Erfolge zu erzielen und auch das Kennzeichen populär machen. Ob das Kennzeichen als reine „Marketingaussage“ für einen Anbieter von Wert ist, wird von seiner Popularität und der Menge an Firmen abhängen, die sich daran beteiligen.

Kein Selbstläufer

Doch IT-Sicherheit ist kein triviales Thema und die Verunsicherung bei Konsumenten groß. Sagt nun das Kennzeichen aus, dass ein Gerät oder Dienst sicher ist? Antwort: nicht im Sinne der Verteidigung gegen Cyberangriffe.

Wie in jeder Branche gab es auch in der IT-Sicherheit immer wieder Ansätze für aussagekräftige Zertifizierungen, aber diese konnten sich selten durchsetzen. Anders als in anderen Branchen, in denen Produktionsverfahren Geräteeigenschaften definieren, die dann beispielsweise mit einer CE-Kennzeichnung versehen werden, fällt das in der Softwarebranche schwer. Zwar können auch hier Verfahren und Serviceleistungen zertifiziert werden (z.B. ISO 2700x oder Common Criteria) aber dies bezieht sich auf bereitgestellte Methodiken und Prozesse, um mit Cyberattacken umzugehen. Bei laut BSI durchschnittlich 394.000 neuen Schadprogrammen täglich ist das anders gar nicht mehr abbildbar.

Der primäre Grund dafür ist, dass wir mit unserer Technologie schnell auf neue Angriffsszenarien reagieren müssen, und das bedeutet, dass sich unsere Produkte quasi ständig in einem Wandel befinden. Eine Zertifizierung jedoch wird für einen fixen Zustand definiert. Bei Abweichungen davon ist eine Rezertifizierung nötig. Dadurch wird der Wirkungsgrad einer zertifizierten Security-Lösung mit der Zeit geringer. Hersteller und Zertifizierer befinden sich dann praktisch in derselben Dauerschleife von Anpassungen an Verfahren, die letztlich keinem nützt, weil dies nicht nur fortlaufend Kosten erzeugt, sondern vor allem Kunden in Gefahr laufen, gerade mit zertifizierten Sicherheitslösungen schnell nicht mehr aktuell zu sein. Die Sicherheitsindustrie selber ist deshalb sehr zurückhaltend, was neue Zertifikatangebote angeht.

Der richtige Name?

Der Anspruch des BSI-Kennzeichens ist nicht, Security-Technologie auf den Schutz vor Angriffsszenarien zu bewerten und dann als sicher zu zertifizieren, sondern es geht um den sicheren Einsatz eines Geräts/Dienstes. Nehmen wir das Beispiel E-Mail Dienst. Was zertifiziert wird, ist der sichere Zustellungsweg, nicht der Inhalt einer Mail — kleine, aber feine Unterschiede. Natürlich ist eine sichere Zustellung vertrauensbildend und etwas, was kein Konsument wirklich selbst überprüfen könnte. Es ist daher völlig korrekt, dass das BSI diese Verfahren sozusagen zertifiziert. Nur ist die sichere Zustellung eben nur die eine Seite der Medaille. Die andere ist der Inhalt der Post, die wir bekommen.

Das Problem aber besteht gerade darin dass Verbraucher nicht richtig zuordnen können, was Security bzw. Sicherheit bedeutet. Nur mit IT-Sicherheit im Sinne der Abwehr von Cyberkriminellen hat das nichts zu tun. Dies wird nicht explizit geprüft und auch die Funktionalität in ihrer Wirkungsweise nicht beurteilt. Es bedeutet auch nicht, dass ein E-Mail-Dienst mit Prüfsiegel alle Malware bereinigt hat und man deshalb bedenkenlos jede URL und jeden Anhang öffnen kann. Dennoch werden Anwender genau das erwarten.

Hier liegt die eigentliche Herausforderung des Namens!

Eine Lösung für dieses Dilemma könnte darin bestehen, das derzeit freiwillige Kennzeichen zur Verpflichtung zu machen (ähnlich dem CE-Kennzeichen bei anderen Waren). Dann müsste sich kein Benutzer mehr darüber Gedanken machen, was das Kennzeichen bedeutet. Oder denken Sie noch darüber nach, was das CE zertifiziert? Als nationaler Alleingang in Deutschland ist dies natürlich nicht umsetzbar und ergibt auch keinen Sinn.

Fazit

Damit sich das IT-Sicherheitskennzeichen nicht als Bärendienst für alle Beteiligten erweist, sind klare Aussagen entscheidend: Denn das IT-SK prüft keine Schutzfunktionen, benötigt also auch die langen Rezertifizierungsprozesse nicht. Die größte Herausforderung liegt darin, den Anwendern den Wert eines IT-Sicherheitskennzeichens zu erklären und Missverständnisse im Umgang auszuräumen!

Es stimmt zwar, dass ein zertifiziertes Gerät oder ein Dienst „vom BSI geprüfte Sicherheit“ liefert. Doch ist der Begriff „Sicherheit“ nicht eindeutig definiert. So versteht das BSI darunter z.B. eine E-Mail, die TLS-verschlüsselt übermittelt wird, und prüft diese. Die meisten Verbraucher werden mit dem Begriff nichts anfangen können. Die verstehen unter Sicherheit eben den Bereich Antivirus oder Antispam. Das aber prüft das BSI gar nicht. Nutzer müssen sich auch weiterhin schützen und mögliche Fehlerquellen vermeiden.

Hier liegt aber auch für Anbieter die Gefahr. „Infiziert trotz Sicherheitskennzeichen“ möchte keiner als Schlagzeile mit seinem Produkt verbinden, auch wenn für jeden Experten klar ist, dass beides nichts miteinander zu tun hat. Trotzdem geht ein anbietendes Unternehmen das Risiko ein, dass sich die Marketingaussage ins Gegenteil verkehrt. Und auch dafür wäre ein verpflichtendes IT-Sicherheitskennzeichen, das für den Verbraucher zur Selbstverständlichkeit wird, eine Lösung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.