Keine Sicherheit für IT-Geräte

In einem IT-Prüflabor arbeiten staatlich bezahlte Hacker: Im Auftrag der Regierung brechen sie die Sicherheitssysteme in Chips, Prozessoren oder auch in Smartphones oder Autos. Immer auf der Suche nach dem sicheren IT-System zerstören sie die Geräte, schauen mit Elektromikroskopen in Chips und traktieren Prozessoren mit viel zu hohen Spannungen. Schließlich kommen sie zu dem ernüchternden Ergebnis: Kein System ist wirklich sicher, das Brechen der Sicherheit lediglich eine „sehr interessante Denkaufgabe“.

Das Urteil der Prüflabore ist ernüchternd: Die meisten IT-Systeme sind nicht sicher und sollen auch gar nicht sicher sein. Beispielsweise sind Smartphones als offene Architektur angelegt, Sicherheit ist per se nicht möglich. Ein Grund ist, dass für viele Wirtschaftsunternehmen Sicherheit eine betriebswirtschaftliche Kalkulation ist. Und einer der Kostenfaktoren ist der Imageschaden des Unternehmens, falls Hacker einen erfolgreichen Angriff melden.

Vielleicht ist deshalb die Berichterstattung über Prüflabore schwierig. Die Aussage „Smartphones sind per se nicht sicher“ wurde als erstes von der Pressestelle aus dem Interview gestrichen. Dann zogen die Verantwortlichen das zunächst freigegebene Interview zurück. Und schließlich untersagten sie die zuvor vereinbarte Veröffentlichung der Fotoaufnahmen aus dem Labor.

Keine Frage: Die Kundschaft der Labore ist ebenso sensibel, wie die von den Mitarbeitern durchgeführten Tests und deren Ergebnisse. Bei einem Besuch in einem der großen europäischen Prüflabore erklärt dessen Leiter, dass er seit fast 20 Jahren im Auftrag von Regierungen Prozessoren oder Netzwerkkomponenten prüfe, Ausweise testiere, Militärtechnik zertifiziere und Verschlüsselungen, Telefone oder Gesundheitskarten aufbreche. Regierungsstellen verlangten häufig einen Nachweis der hundertprozentigen Sicherheit.

Dagegen ticken die Interessenten aus der Wirtschaft ganz anders: Hier ist die Sicherheit eher eine Frage des Risikomanagements. Die Verantwortlichen etwa in der Finanzindustrie verstehen IT-Sicherheit als eine betriebswirtschaftliche Kalkulation. Deren Parameter sind der Grad der Sicherheit, der mögliche Imageschaden und eine akzeptable Schadenshöhe.

In Europa gibt es wenige IT-Prüflabore. Eine Recherche zeigt, dass sie häufig in die IT-Abteilungen großer Konzerne integriert sind. Andere Prüflabore sind Ausgründungen von Forschungsinstituten oder Universitäten, manche sind als staatliche Behörden organisiert. Außerdem statten die großen IT-Hersteller ihre Forschungsabteilungen und das Qualitätsmanagement mit eigenen Prüflaboren aus. Hier nehmen die Forscher nicht nur die eigenen Produkte auseinander, sondern befassen sich auch intensiv mit den Geräten oder Komponenten der Mitbewerber. Neben diesem grauen Bereich gibt es unbestritten auch die dunkle Seite. Das sind kriminelle Hacker, die mit ähnlich ausgestatteten Laboren mit ähnlichem Instrumentarium arbeiten um deren Sicherheit auszuhebeln.

Immer ist das Hacken das bestimmende Konzept. Nach eigener Darstellung sei es die Aufgabe eines Prüflabors die Sicherheit der Systeme und Produkte zu prüfen, indem die Mitarbeiter sie knacken. Und dafür seien alle Mittel recht – und es gelänge „bei fast jedem Produkt“. Nach Darstellung des Laborleiters sei dies in erster Linie keine technische Herausforderung, sondern „eine sehr interessante Denkaufgabe“.

Natürlich ist der Konflikt vorprogrammiert. Ingenieure halten sich bei der Konstruktion und Fertigung an vorgegebene Spezifikationen. Eine Chipkarte sollte typischerweise zwischen null und 45 Grad Celsius funktionieren. Die Ingenieure können nicht sagen, ob eine Chipkarte auch bei minus 70 Grad oder bei plus 120 Grad sicher ist. Wenn ein Chip auf drei Volt Spannung ausgelegt ist, wird der Hersteller keine Aussagen darüber machen, wie sich der Chip bei sieben oder zehn Volt verhält. Deshalb ist es die Aufgabe des Prüflabors über die Grenzen der Spezifikationen hinaus zu gehen und zu prüfen, wie und wann Sicherheit und Zuverlässigkeit nachlassen.

Die gilt natürlich auch für Verschlüsslung und die kryptografischen Methoden – und dazu gehören nicht nur die technischen Fragen, sondern auch die Analyse von Design und Fertigung. Wenn die Schlüsselgenerierung ein Teil des Prozesses ist, prüft das Labor den gesamten Prozess. Bei Unternehmen, die die Schlüssel institutionell erzeugen, wäre dies ein Thema eines eigenen Zulassungsverfahrens.

Vor dreißig Jahren waren Geldinstitute die ersten Unternehmen, die Interesse an der Arbeit der Prüflabors zeigten. Heute stehen Interessenten aus allen Industrien Schlange: Zum Beispiel Pay-TV, Video on Demand, Autoindustrie, Chiphersteller, Telefonanbieter, Internetanbieter, Energieversorger, Regierung und Militär.

Der nächste Wachstumsmarkt könnte der Automobilmarkt sein. Denn mit vernetzten Fahrzeugen und Elektromobilität häufen sich in der Automotivindustrie die Sicherheitsfragen. Viele Hersteller erzeugen inzwischen in ihren eigenen PKIs eigene Softwareschlüssel. Denn ohne Verschlüsslungen und ohne ausgefeilte Sicherheitssysteme wird es keine vernetzten Fahrzeuge, keine Elektromobilität, keine neuen Mobilitätskonzepte und auch kein Car-Sharing geben können.

Deshalb bauen die Autohersteller einen physischen Punkt in ihre Fahrzeuge, der sicher ist. Konkret ist das ein Prozessor, der die Schlüssel sicher aufbewahren kann und der kryptografische Protokolle abarbeitet. Die Ingenieure konstruieren zunächst so einen Punkt und die Aufgabe des Prüflabors ist zu testen, ob und wie sicher dieser Punkt tatsächlich ist – um dann den Grad der Sicherheit zu zertifizieren.

Bedenklich ist, dass es genau diesen Prozess – die Konstruktion eines „Sicheren Punktes“ – bei den Smartphone-Herstellern nie gegeben hat. Deshalb sind Smartphone-Architekturen per se „offen“, ein Sicherheitssystem nicht möglich. Doch es gibt eine gute Nachricht, die ich aus dem Prüflabor mit nach Hause nehme ist: Die Hersteller der Smartphones denken darüber nach, ihre Produkte abzusichern. Nicht, weil sie das selbst für nötig halten. Vielmehr werden sie von verschiedenen Wirtschaftszweigen dazu getrieben. Beispielsweise fordern die Video-on-Demand-Anbieter Sicherheit für ihr Geschäftsmodell für bezahlte Inhalte.

Christian Raum

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s