Meinung

Zertifizierung für Security-Software – theoretisch gut aber praktisch nicht machbar

Vor der Gründung von EgoSecure im Jahr 2007, war der Diplom-Informatiker Sergej Schlotthauer über 10 Jahre bei großen deutschen Software- und Dienst­leistungs­unternehmen der Medien­branche in führenden Management­positionen tätig. Heute organisiert der Unternehmer und Familienvater als alleiniger Geschäfts­führer den Ausbau der EgoSecure GmbH zum Marktführer im Bereich des Endpoint-Managements.

Schlotthauer schreibt in erster Linie zu den Themen IT-Sicherheit, Datensicherheit und Datenschutz. In den letzten Jahren veröffentliche er zahlreiche Fachbeiträge in verschiedenen Fachmagazinen. Außerdem unterhält er mit „Egosecure Expert“ einen eigenen Blog.
Die Gefahrenlage in der Cyberwelt hat sich verändert und Sicherheitsanbieter fluten den Markt mit neuen Sicherheitslösungen. Zertifizierungen von Produkten sollten Organisationen zur Orientierung bei der Evaluierung der Angebote dienen. In der Praxis kann dies aber nicht funktionieren, da die Lösungen sich viel zu dynamisch entwickeln müssen.

Im Alltag sind Normen und Zertifikate oft hilfreich - unabhängige oder staatliche Institutionen zeigen dem Käufer, dass gewisse Standards erfüllt sind. Sie schaffen Vertrauen und schützen vor Unsicherheit. Leider funktionieren entsprechende Mechanismen nur sehr eingeschränkt im Bereich Software und Hardware. Wenn man genau versteht, was wirklich zertifiziert wird, können entsprechende Verfahren durchaus sinnvoll sein, allerdings gibt es zwei Gründe, warum im IT-Bereich Zertifizierungen in der Praxis nur schwer umzusetzen sind.

Software-Zertifizierungen bieten nur scheinbar eine Garantie.
Software-Zertifizierungen bieten nur scheinbar eine Garantie.
Foto: Tatiana Popova - shutterstock.com
  • Grund Nummer 1: Es existiert praktisch kein einziges komplett zertifiziertes Produkt, das mehr als nur einige wenige Grundfunktionen anbietet. Die Zertifizierung ist unglaublich aufwendig und teuer. Die Mehrheit der Anbieter zertifiziert deshalb meistens nur eine Funktion oder eine Teilkomponente. Dies genügt, um ein Zertifikat vorweisen zu können, die Details werden dann meistens einfach nicht erwähnt. Das hat bei einem Router oder bei Hardware-Komponenten durchaus Sinn - bei einer Software weniger, denn böswillige Backdoors oder einfach ungewollte Schwachstellen können überall versteckt sein. Die meisten Zertifizierungen sind deshalb leider nur fürs Marketing gut.

  • Grund Nummer 2: Der zeitliche Aufwand ist nicht mit den heutigen Anforderungen an IT-Sicherheit vereinbar. Es ist nicht realistisch, eine Zertifizierung schneller als in einem Jahr zu bekommen, häufig dauert es zwei oder mehr Jahre. Bei einer Security-Software ist es absolut sinnfrei, denn in dieser Zeit sind ganz neue Bedrohungen aufgekommen und jede Security-Software muss permanent weiterentwickelt und mehrere Male pro Jahr upgedatet werden.

Bis eine Version eines Produktes fertig zertifiziert ist, gibt es bereits mehrere Weiterentwicklungen. 99 Prozent der Kunden greifen lieber auf eine neue Version ohne Zertifikat zurück, anstatt bei einer veralteten Version zu bleiben. Denn sonst können sie auch keine Patches einspielen, Bug Fixing ist auch nicht mehr möglich, denn bei jeder auch noch so kleinen Änderung wird die Zertifizierung zerstört. Deswegen gibt es viel zertifizierte Hardware und praktisch keine komplett zertifizierte Software. Und wenn, dann wird nur eine Teilkomponente zertifiziert und aus Marketinggründen vergisst man, es zu erwähnen.

Extreme Dynamik der Cyberbedrohungen

Die stetige Weiterentwicklung von Sicherheitslösungen ist absolut notwendig und Anwender sollten in keinem Fall bei alten Versionen bleiben, nur um gewisse Zertifizierungen zu erhalten. Die Angriffe mit Ransomware seit Oktober 2015 sind nur ein Beispiel für die veränderte Gefahrenlage. Bis zum Februar 2016 hat sich laut BSI die Anzahl der Angriffe mit Ransomware in Deutschland innerhalb von fünf Monaten verzehnfacht. Deutschland war in 2016 ein besonders beliebtes Ziel. Weltweit kam es ebenfalls zu einer Zunahme der Angriffe, diese war aber deutlich schwächer.

Durch eine versteifte Fokussierung auf Zertifizierungen verpassen Organisationen leicht die richtige Reaktion auf die echten Bedrohungen. Besorgniserregend ist unter anderem die zunehmend organisierte Cyberkriminalität. In seinem aktuellen Bericht zum Thema Cybercrime warnt das BKA, dass sich zunehmend kriminelle Gruppierungen bilden, die sich größtenteils oder ausschließlich auf Verbrechen in der digitalen Welt spezialisiert haben. Lag die Zahl der registrierten Gruppen 2013 noch bei sechs, wurden 2015 bereits 22 Organisationen registriert. Die Attacken, die Hintermänner und die eingesetzten Schädlinge zeugen von einer zunehmenden Professionalisierung von Angriffen in der Bundesrepublik.

Fazit

Es gibt entsprechende Sicherheitskonzepte, um sich bestmöglich vor jeglicher Art von Attacken zu schützen. Wichtig ist, dass man nicht in Panik verfällt und besonnen mit der Situation umgeht. Oft werden Zertifikate als Götzen verehrt, die den Nutzern ein falsches Sicherheitsgefühl vermitteln. In der Tat können Zertifikate als Argument für Sicherheit dienen, allerdings nur für bereits bekannte Bedrohungen, längere Zeit nach deren Entdeckung. Dies ist ungefähr so, wie der Verzehr von einem Jahr alter Milch: Sie war bestimmt einmal frisch und man kann vielleicht sogar noch bestimmen, wann die Milch genießbar war. Zum jetzigen Zeitpunkt ist sie aber nicht mehr brauchbar und sollte durch eine neue Version ersetzt werden.

Zertifikate garantieren keine absolute Sicherheit, sondern sind vor allem Marketingwerkzeuge. Anstatt blind auf Labels zu vertrauen, sollten Organisationen den Kontakt zu Sicherheitsunternehmen vor Ort suchen. Je näher am Kunden und am Markt ein Anbieter ist, desto besser kann er sich auf die Situation in einer Organisation einstellen. Standardlösungen passen oft nur unzureichend, besonders wenn sie aus dem Ausland kommen. Dann müssen zusätzliche deutsche Richtlinien und Industriestandards noch implementiert werden. (haf)