Sie sind hier: HomeTelekommunikation

Security by Design: IT-Sicherheit schon auf dem Reißbrett

"Made in Germany" ist immer noch eine Marke für Qualität, die Vertrauen schafft. Wenn es um Informationstechnik geht, gelingt das aber nur, wenn die Hersteller das Risiko von im Ausland gefertigten Komponenten adäquat behandeln. Möglich ist das beispielsweise mit dem Konzept "Security by Design".

Komplexe Daten ordnen. Bildquelle: © frankie's | Shutterstock.com

Nur wenn Sicherheit zum zentralen Baustein von IT-Systemen wird, bleibt "Made in Germany" auch im Umfeld der IT eine vertrauensvolle Marke.

Immer mehr deutsche Unternehmen denken darüber nach, keine IT-Lösungen ausländischer Hersteller mehr für kritische Anwendungsfälle zu nutzen. Sie wollen damit möglichen Sicherheitsrisiken entgegentreten. Stattdessen wird verstärkt auf Lösungen deutscher Unternehmen gesetzt. Denn in Deutschland gefertigte IT-Produkte unterliegen unter anderem strengen Datenschutzanforderungen und sie werden ohne staatliche Vorgaben in Bezug auf versteckte Zugänge produziert.

Wenn IT-Sicherheitsanbieter in Deutschland auf solche Hintertüren verzichten und sich an einen entsprechenden Kriterienkatalog halten, werden sie mit dem Siegel „IT-Security Made in Germany“ des IT-Sicherheitsverbandes TeleTrust belohnt. „Made in Germany“ schafft also auch die Basis für vertrauenswürdige IT-Produkte. Doch wie realistisch ist es, IT vollständig mit in Deutschland entwickelten und gefertigten Komponenten herzustellen?

Der Markt für Betriebssysteme, Halbleiter oder Kommunikationssysteme wird von internationalen Anbietern dominiert. Um ein leistungsfähiges IT-System herzustellen, werden daher Lösungen von Intel, Huawei, Microsoft oder anderen Marktführern benötigt. Hinzu kommt: Die Lieferketten sind heutzutage so komplex, dass nicht immer nachvollziehbar ist, wo und wie eine Teilkomponente gefertigt wurde. Selbst wenn ein Unternehmen also seine wesentliche Wertschöpfung nach Deutschland verlagert, kann es nicht zu 100 Prozent auf im Ausland gefertigte Anteile verzichten.

Sichere Architektur von Anfang an
Wird IT-Security „Made in Germany“ damit zu einem stumpfen Schwert? Nicht unbedingt. Wer bereits bei der Planung seines Produktes das Risiko von nicht in Deutschland hergestellten oder programmierten Komponenten im Blick hat, kann wirksame Vorkehrungen treffen und das Produktdesign grundlegend nach hohen Sicherheitsstandards auslegen. Diese Vorgehensweise folgt dem Prinzip „Security by Design“. Der Ansatz denkt IT-Sicherheit bereits auf dem Reißbrett mit. Produkten wird die Sicherheit nicht im Nachhinein übergestülpt. Sie verfügen stattdessen bereits über eine sichere Architektur – von der Hardware bis zur Anwendung an der Nutzerschnittstelle.

Eine umfassende Risikoanalyse und ein kontinuierliches Risikomanagement, das den gesamten Lebenszyklus eines Produktes oder eines Services umfasst, sind entscheidende Bestandteile dieses Vorgehens. Dabei sollen alle potenziellen Schwachstellen aufgedeckt werden. Das kann beispielsweise ein bestimmter Chip eines ausländischen Herstellers sein oder eine nicht vertrauenswürdige beziehungsweise nicht einschätzbare Software-Komponente. Gibt es keine Alternative zu diesen Komponenten, wird das Design des Produktes so angelegt, dass möglichen Angriffsvektoren, die auf diese Komponenten abzielen, an anderer Stelle die Grundlage entzogen wird. Gewisse Schwachstellen in Prozessoren lassen sich oft nur dann von Angreifern nutzen, wenn diese beispielsweise über das Betriebssystem angesteuert werden können. Kommen in kritischen Umgebungen Betriebssysteme zum Einsatz, die auf wesentliche Funktionen beschränkt sind und ein auf Sicherheit ausgerichtetes Design haben, ist das tatsächliche Risiko, das von der Schwachstelle im Prozessor ausgeht, deutlich geringer. Ein Beispiel für ein solches sicheres Betriebssystem ist der Ansatz von Mikrokern-Betriebssystemen. Dieses Beispiel zeigt, wie sich durch einen ganzheitlichen und von Anfang an mitgedachten Sicherheitsansatz Qualität und Vertrauenswürdigkeit erhöhen lassen.

Mit Security by Design gewinnt „Made in Germany“ mehr Schlagkraft. Und für Anbieter ist das Konzept ein wichtiger Wettbewerbsvorteil. Denn nur, wenn Sicherheit zum zentralen Baustein von IT-Systemen wird, bleibt „Made in Germany“ auch im Umfeld der IT eine vertrauensvolle Marke.

Marc Akkermann ist Head of Berlin Office and Head of Business Development bei Infodas, einem Beratungsunternehmen für IT-Sicherheit in Deutschland