IT-Sicherheit vs. Lauschangriffe von Geheimdiensten

IT-Sicherheit vs. Lauschangriffe von Geheimdiensten

In den letzten Wochen und Monaten wurde viel über die Aktivitäten der Geheim­dienste berichtet. Fast täglich gelangen neue Informationen an die Öffentlichkeit. Eine Aufklärung seitens der verantwortlichen Stellen bleibt jedoch weitgehend aus, dementsprechend groß sind die Verunsicherung und der Vertrauensschaden. Natürlich werden auch an uns als Hersteller von IT-Sicherheitsprodukten täglich Fragen herangetragen. Im Folgenden haben wir wichtige Fragen und Antworten zusammengestellt.

Im Folgenden haben wir wichtige Fragen und Antworten zusammengestellt:

Frage: Sind die Produkte von genua sicher?

Antwort: Nach bestem Wissen und Gewissen sagen wir hier ja!
Unser Entwicklungsprozess beinhaltet ein 6-Augenprinzip, das die bös­willige Manipulation von Software unterbindet: Jede Zeile Code eines Ent­wicklers wird von einem Reviewer geprüft, bevor sie über einen Integrator ins Produkt gelangt.

Wir nutzen nach wie vor als sicher geltende Kryptoverfahren, die im Rahmen von Zulassungen und Zertifizierungen auf Korrektheit und Robust­heit geprüft werden. Die Robustheit der Algorithmen wird durch die Nut­zung von externen Smartcards für die VS-NfD-Verschlüsselung ergänzt.

Die Firewall genugate ist nach EAL4+ AVA_VAN.5 zertifiziert. Das bedeu­tet, dass die Firewall selbst gegen Angriffe highly resistant ist. Zur Sicherstellung dieser Eigenschaft haben wir einen Prozess etabliert, in dem permanent auf allen gängigen Kanälen Fehler-Reports zu verwende­ten Produktkomponenten von Drittherstellern ausgewertet werden. Sind unsere Produkte betroffen, werden die Schwachstellen unmittelbar beseitigt. Dabei gibt es eine enge Kooperation mit dem CERT des Bundes.

Bei genua gibt es ein mehrstufiges Qualitätsmanagement, das unter anderem in einem ISO 9001-Zertifizierungsverfahren dokumentiert und auditiert wurde. Die Qualitätssicherung (QS) wird in der Produktentwick­lung durch ein 6-Augenprinzip gewährleistet sowie durch eine separate, unabhängige QS-Abteilung, in der die Produkte manuell und automatisch getestet werden. Abschließend führen Integratoren spezielle Produkttests durch, bei denen Kundenszenarien nachgestellt werden.

Zusätzliche Sicherheit ergibt sich aus der Verwendung von OpenBSD als Basisbetriebssystem. Bei dessen Entwicklung wird höchster Wert auf Sicherheit gelegt und ebenfalls ein Peer-Review-Verfahren für Commits verwendet. Zudem handelt es sich dabei um ein Open Source-Betriebs­system, dessen Quellen jeder prüfen kann. genua beschäftigt Spezialisten für OpenBSD, die sich aktiv in das Projekt einbringen.

Unsere Kernkompetenz ist IT-Sicherheit. Daher ist Sicherheit die zentrale Eigenschaft unserer Produkte, die im Zweifel immer Vorrang vor Bequem­lichkeit und Funktionalität bekommt.

Auf Nachfrage sind wir bereit, Kunden gegenüber den kompletten Quell­code unserer Produkte offenzulegen.

Wir haben keine Verpflichtungen gegenüber Geheimdiensten. Dafür gibt es in Deutschland keine Rechtsgrundlage und keinen Auftrag an die Dienste.

Unsere Mitarbeiter werden alle für die Geheimhaltungsstufe VS-NfD (VERSCHLUSSSACHE – NUR FÜR DEN DIENSTGEBRAUCH) belehrt. Eine großer Teil der technischen Mitarbeiter ist zudem in der hohen Stufe Ü2 Geheimschutz-überprüft, einige bis zur höchsten Stufe Ü3. Generell achten wir bei der Einstellung von Mitarbeitern auf deren Hintergründe.

Frage: Gibt es Restrisiken bei genua?

Antwort: 100 % sicher kann es nicht geben. Gründe:

Software kann nie vollkommen fehlerfrei sein. Wir benutzen jedoch Ent­wicklungsverfahren, die verbindlich ein hohes Maß an Qualitätssicherung beinhalten.

genua verwendet Standard-Hardware für die Produkte, die heutzutage in wesentlichen Teilen außerhalb der Kontrolle der Hersteller und Lieferanten produziert wird. Hardware kann bewusst manipuliert werden, was sehr schwer zu erkennen ist. Risiken, die sich daraus ergeben, versuchen wir so weit wie möglich auszuschließen.

So verzichten wir im VS-NfD-Bereich bewusst auf die Nutzung einer Hard­ware-Beschleunigung von Kryptografie, da sonst über manipulierte Main­boards und Prozessoren verhältnismäßig leicht Zugriff auf die Schlüssel erlangt werden könnte.
Stattdessen führen wir im Hochsicherheitsumfeld die Verschlüsselung in Software auf handelsüblichen Prozessoren durch. Diese verarbeiten  große Datenmengen, so dass die Kryptoschlüssel praktisch kaum mehr abgefischt werden können.

Display FernwartungZiel von Lauschangriffen und Cyber-Kriminalität: High-Tech-Standort Deutschland

 

Frage: Lohnt sich Verschlüsselung überhaupt noch, wenn die NSA doch alles abhören kann?

Antwort: Sicherheitsbewusstsein lohnt sich weiterhin. Gründe:

IT-Sicherheit dient nicht nur dem Schutz vor Geheimdiensten. Auch Krimi­nelle oder Mitbewerber dürfen keinen Zugriff auf vertrauliche Informationen erlangen.

Sauber implementierte Kryptografie gilt nach wie vor als sicher. Experten wie Edward Snowden und Bruce Schneier bestätigen weiterhin die Sicher­heit starker kryptografischer Verfahren.

Der Aufwand zum Brechen von Kryptografie, soweit möglich, ist sehr hoch. Selbst wenn ein Kryptografieverfahren gebrochen werden kann, sollte man es jedem so schwer wie möglich machen.

Frage: Wie reagiert genua auf die NSA-Affäre?

Antwort: Wir handeln. genua widmet der Frage der internen Sicherheit im Unternehmen schon immer sehr viel Aufmerksamkeit. Nachdem sich nun viele Verdachts­momente und Vermutungen über die Aktivitäten, Fähigkeiten und Motive der NSA und anderer Geheimdienste bestätigt haben, messen wir dem Thema eine noch höhere strategische Bedeutung zu und beschäftigen uns auf allen Ebenen damit, unser eigenes Sicherheitsniveau und die Produkte für unsere Kunden noch weiter zu verbessern. Das heißt, dass wir z. B. auch ohne konkrete Hinweise auf Schwachstellen die Entropie-Eigenschaften (Zufäl­ligkeit) der von uns genutzten Smartcards gesondert überprüfen.

Frage: Einige Produkte von genua sind vom BSI zertifiziert und/oder zugelassen. Arbeitet das BSI nicht selbst mit Geheimdiensten zusammen?

Antwort: Das BSI tauscht sich im Rahmen seiner auf Prävention ausgerichteten Aufgaben regelmäßig mit anderen Behörden in der EU und außerhalb der EU zu technischen Fragestellungen der IT- und Internet-Sicherheit aus. Auch Behörden in Deutschland stellt das BSI auf Anfrage technische Expertise und Beratung zur Verfügung. Im Kontext der Bündnispartnerschaft NATO arbeitet das BSI auch mit der NSA zusammen. Diese Zusammenarbeit umfasst jedoch ausschließlich präventive Aspekte der IT- und Cyber-Sicherheit entsprechend den Aufgaben und Befugnissen gemäß BSI-Gesetz.

Das BSI gibt überdies keinerlei Informationen über zertifizierte IT-Produkte und -Dienstleistungen oder im Rahmen des Zertifizierungsprozesses gewonnene Erkenntnisse über diese Produkte und Dienstleistungen an andere Behörden, Nachrichtendienste oder sonstige Dritte weiter.

Weitere Informationen: Was zeichnet IT-Security Made in Germany aus?

 

Bildquelle: © Spiber, snapfoto105 - Fotolia.com


Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.