Original-URL des Artikels: https://www.golem.de/news/it-sicherheit-bsi-chef-haelt-trotz-infinion-panne-an-guetesiegel-fest-1711-131050.html    Veröffentlicht: 09.11.2017 11:05    Kurz-URL: https://glm.io/131050

IT-Sicherheit

BSI-Chef hält trotz Infineon-Panne an Gütesiegel fest

Das Bundesamt für Sicherheit in der Informationstechnik will im kommenden Frühjahr eine technische Richtlinie für Heimrouter vorstellen. Nach Ansicht des Innenministers ist ein gehackter Router gefährlicher als abgefahrene Reifen.

Die Bundesregierung will sich nicht nur auf Appelle an Software- und Hardwarehersteller verlassen, um Nutzer besser vor Gefahren beim Kauf von IT-Produkten im Netz zu schützen. Sie will ein Gütesiegel entwickeln, das Nutzer bei der Kaufentscheidung unterstützt. Nach Angaben von Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), arbeitet seine Behörde intensiv an einem solchen Siegel für Heimrouter. Bis Mitte kommenden Jahres solle dieses veröffentlicht werden, sagte er anlässlich der Vorstellung des diesjährigen Lageberichts zur IT-Sicherheit am Mittwoch in Berlin. Doch was können sich Nutzer von einem solchen "Gütesiegel" versprechen?

Die jüngst bekanntgewordene Panne mit einem Sicherheitszertifikat für ein Kryptomodul des Münchner Herstellers Infineon hat deutlich gemacht: Verlassen können sich Nutzer auf solche Zertifikate im Zweifel nicht. Der BSI-Chef räumte am Mittwoch ein, dass solche Zertifikate oder Siegel im Grunde nur eine Momentaufnahme darstellten. "Wenn Sie eine Zertifizierung ausstellen, dann gilt die natürlich immer zu dem Zeitpunkt, mit den Stand-der-Technik-Angriffen, die wir eben damals auch festgelegt haben", sagte Schönbohm.

Rezertifizierung könnte scheitern

Mit anderen Worten: Ein Gütesiegel wiegt Nutzer in einer trügerischen Sicherheit, die im Grunde nicht gewährleistet werden kann. Nutzer könnten dazu verleitet werden, bei einem Heimrouter mit Gütesiegel zu leichtsinnig mit ihren vernetzten Geräten und den darauf befindlichen Daten umzugehen. Wenn dann doch eine Sicherheitslücke bekannt wird, könnte es für ein Update zu spät sein. Selbst bei so bewährten Protokollen wie dem WLAN-Sicherheitsstandard WPA2 ist vor kurzem eine Schwachstelle entdeckt worden.

Da hilft es auch wenig, wenn es, wie es Schönbohm formulierte, "Rezertifizierungsschemata" gebe. Diese könnten am Ende dazu führen, dass die Zertifizierung nicht mehr erfüllt werden kann, wenn neue Angriffe auf eine Sicherheitstechnik bekanntwürden. Im Falle von Infineon scheint das BSI den vom Unternehmen selbst entwickelten und offenbar fehlerhaften Schlüsselerzeugungsalgorithmus aber von Anfang an nicht ausreichend geprüft zu haben.

BSI steht laut Schönbohm für Qualitätssiegel

Schönbohm verteidigte dennoch die Pläne. "Wir glauben schon, dass wir dementsprechend einen sehr hohen Standard haben", sagte er. Es gebe keine Behörde weltweit, die mehr Sicherheitszertifikate ausstelle als das BSI, sagte der Behördenchef. Laut Schönbohm bedeuten die BSI-Zertifikate auch für ausländische Anbieter ein "Qualitätssiegel". Von daher gehe er davon aus, "dass wir gut aufgestellt sind". Allerdings spricht die schiere Menge an erteilten Zertifikaten nicht automatisch dafür, dass das die versprochene Sicherheit auch tatsächlich gewährleistet.

Für Bundesinnenminister Thomas de Maizière (CDU) sind nicht nur Hersteller und Behörden in der Pflicht. "Das Bewusstsein für IT-Sicherheit ist zwar gestiegen in der Bevölkerung, das begrüßen wir, aber sie ist noch nicht auf dem Niveau so wie wir uns das wünschen", sagte er bei der Vorstellung des BSI-Lageberichts und fügte hinzu: "Wir brauchen bei der IT-Sicherheit mindestens das gleiche Sicherheitsbewusstsein wie bei der Verkehrssicherheit. Dann wären wir einen großen Schritt vorangekommen."

Verkehrssicherheit als Vorbild für IT

Als Beispiel gab der Minister an: "Wer Reifen nicht wechselt, gefährdet sich selbst und andere Unfallteilnehmer. Wenn Sie einen Router unsicher betreiben, dann kann der Router gekapert werden, sogar ohne dass Sie das wissen. Und dann kann Ihr Router zum Angriffsobjekt gegen Dritte genutzt werden, ohne dass Sie das wissen." Und er ging sogar noch weiter: "Die Gefahr, die von einer solchen Leichtfertigkeit ausgeht, ist größer als im Straßenverkehr. Weil die Allgemeinheit durch die vielfache Nutzung unserer Schwachstellen gefährdet werden kann."

Das Beispiel des Ministers hinkt allerdings: Während der Autofahrer die Profiltiefe seines Reifens zur Not mit einem Ein-Euro-Stück überprüfen kann, ist das bei der Sicherheit seines Routers nicht so einfach. Ob das sogenannte Gütesiegel dabei hilfreich sein wird, wird sich zeigen. Ein BSI-Sprecher sagte auf Anfrage von Golem.de, dass man sich derzeit auf eine Technische Richtlinie (TR) für Breitbandrouter fokussiere. Eine Arbeitsgruppe gemeinsam mit Herstellern, Betreibern und Verbänden entwickele die entsprechenden Anforderungen.

Anforderungen an Heimrouter noch offen

Diese TR diene dann als Referenz für ein freiwilliges Gütesiegel oder ein Zertifizierungsverfahren. Je nachdem, ob für bestimmte Anwendungsfälle eine Zertifizierungspflicht vorgeschrieben wird. So umfangreich wie im Falle der vernetzten Stromzähler solle die TR jedoch nicht werden. Bereits im ersten Quartal 2018 könnten erste Produkttests erfolgen, so dass bei der derzeit geplanten Veröffentlichung der Richtlinie im Mai 2018 schon Geräte die Anforderungen erfüllen könnten.

Unklar ist allerdings noch, welche Anforderungen tatsächlich an die Geräte gestellt werden. Ob das BSI selbst den Quellcode prüft und umfangreiche Pentests durchführt, ist ebenfalls offen. Einem Spiegel-Bericht zufolge sind in der Behörde weitere Maßnahmen im Gespräch, darunter ein "Mindesthaltbarkeitsdatum" für digitale Geräte, das festlegen soll, bis wann der Hersteller die Software aktualisiert. Ebenfalls könnte es eine gesetzliche Haftung der Hersteller geben, wenn Produkte nicht den aktuellen Sicherheitsstandards genügten.

Haftungsfragen europäisch regeln

Einen deutschen Alleingang auf diesem Gebiet lehnte de Maizière allerdings ab. "Das ist ein dickes Brett, um das es da geht." So stelle sich im Internet die Frage, wer eigentlich wofür hafte. Gerade für Produkte, die aus Deutschland stammten, sei es aber sinnvoller, wenn die Haftungsfragen auf europäischer Ebene geregelt würden, sagte der Minister. Trotz aller Anstrengungen von Politik und Wirtschaft dürfte im nächsten Lagebericht des BSI wie gehabt stehen: "Im Berichtszeitraum Juli 2017 bis Juni 2018 ist die Gefährdungslage weiterhin auf hohem Niveau angespannt. Die bekannten Einfallstore für Cyber-Angriffe bleiben unverändert kritisch bestehen."  (fg)


Verwandte Artikel:
Bundeshack: Hack auf Bundesregierung erfolgte über Lernplattform Ilias   
(08.03.2018, https://glm.io/133227 )
APT28: Behörden untersuchen Angriff auf Regierungsnetzwerk   
(28.02.2018, https://glm.io/133063 )
Spionage: Angriff auf Bundesregierung dauert noch an   
(01.03.2018, https://glm.io/133075 )
Mögliche Jamaika-Koalition: Behörden sollen kritische Sicherheitslücken künftig melden   
(17.11.2017, https://glm.io/131198 )
Arne Schönbohm: BSI-Chef will digitalisierte Wahlen   
(12.09.2017, https://glm.io/130008 )

© 1997–2019 Golem.de, https://www.golem.de/