Prüflabore: Wo das Knacken von IT-Sicherheit Alltag ist
Die Mitarbeiter in einem IT-Prüflabor hebeln die Sicherheitssysteme in Chips, Prozessoren, Smartphones und Autos aus. Auf der Suche nach dem sicheren System zerstören sie Geräte, legen Chips unter Elektromikroskope und traktieren Prozessoren mit zu hohen Spannungen. Und irgendwann lösen sie die aus ihrer Sicht “sehr interessante Denkaufgabe” immer.
Das Urteil der Prüflabore ist ernüchternd: Die meisten IT-Systeme sind nicht sicher und sollen es auch gar nicht sicher sein. Beispielsweise sind Smartphones als offene Architektur angelegt, Sicherheit ist per se nicht möglich. Ein Grund ist, dass für viele Wirtschaftsunternehmen Sicherheit eine betriebswirtschaftliche Kalkulation ist. Und einer der Kostenfaktoren ist der Imageschaden des Unternehmens, falls Hacker einen erfolgreichen Angriff melden.
Die Kundschaft der Labore ist ebenso sensibel, wie die von den Mitarbeitern durchgeführten Tests und deren Ergebnisse. Bei einem Besuch in einem der großen europäischen Prüflabore erklärt dessen Leiter, dass er seit fast 20 Jahren im Auftrag von Regierungen Prozessoren oder Netzwerkkomponenten prüfe, Ausweise testiere, Militärtechnik zertifiziere und Verschlüsselungen, Telefone oder Gesundheitskarten aufbreche. Regierungsstellen verlangten häufig einen Nachweis der hundertprozentigen Sicherheit.
Dagegen ticken die Interessenten aus der Wirtschaft ganz anders: Hier ist die Sicherheit eher eine Frage des Risikomanagements. Die Verantwortlichen etwa in der Finanzindustrie verstehen IT-Sicherheit als eine betriebswirtschaftliche Kalkulation. Deren Parameter sind der Grad der Sicherheit, der mögliche Imageschaden und eine akzeptable Schadenshöhe.
In Europa gibt es wenige IT-Prüflabore. Eine Recherche zeigt, dass sie häufig in die IT-Abteilungen großer Konzerne integriert sind. Andere Prüflabore sind Ausgründungen von Forschungsinstituten oder Universitäten, manche sind als staatliche Behörden organisiert. Außerdem statten die großen IT-Hersteller ihre Forschungsabteilungen und das Qualitätsmanagement mit eigenen Prüflaboren aus. Hier nehmen die Forscher nicht nur die eigenen Produkte auseinander, sondern befassen sich auch intensiv mit den Geräten oder Komponenten der Mitbewerber.
Neben diesem grauen Bereich gibt es unbestritten auch die dunkle Seite. Das sind kriminelle Hacker, die mit ähnlich ausgestatteten Laboren mit ähnlichem Instrumentarium arbeiten, um deren Sicherheit auszuhebeln.
Immer ist das Hacken das bestimmende Konzept. Nach eigener Darstellung sei es die Aufgabe eines Prüflabors, die Sicherheit der Systeme und Produkte zu prüfen, indem die Mitarbeiter sie knacken. Und dafür seien alle Mittel recht – und es gelänge “bei fast jedem Produkt”. Nach Darstellung des Laborleiters sei dies in erster Linie keine technische Herausforderung, sondern eher “eine sehr interessante Denkaufgabe”.
Natürlich ist der Konflikt vorprogrammiert. Ingenieure halten sich bei der Konstruktion und Fertigung an vorgegebene Spezifikationen. Eine Chipkarte sollte typischerweise zwischen null und 45 Grad Celsius funktionieren. Die Ingenieure können nicht sagen, ob eine Chipkarte auch bei minus 70 Grad oder bei plus 120 Grad sicher ist. Wenn ein Chip auf drei Volt Spannung ausgelegt ist, wird der Hersteller keine Aussagen darüber machen, wie sich der Chip bei sieben oder zehn Volt verhält. Deshalb ist es die Aufgabe des Prüflabors über die Grenzen der Spezifikationen hinaus zu gehen und zu prüfen, wie und wann Sicherheit und Zuverlässigkeit nachlassen.
Interessenten aus allen Branchen stehen bei den Prüflaboren Schlange
Die gilt natürlich auch für Verschlüsslung und die kryptografischen Methoden – und dazu gehören nicht nur die technischen Fragen, sondern auch die Analyse von Design und Fertigung. Wenn die Schlüsselgenerierung ein Teil des Prozesses ist, prüft das Labor den gesamten Prozess. Bei Unternehmen, die die Schlüssel institutionell erzeugen, wäre dies ein Thema eines eigenen Zulassungsverfahrens.
Vor dreißig Jahren waren Geldinstitute die ersten Unternehmen, die Interesse an der Arbeit der Prüflabore zeigten. Heute stehen Interessenten aus allen Branchen Schlange: Zum Beispiel Pay-TV, Video on Demand, Autoindustrie, Chiphersteller, Telefonanbieter, Internetanbieter, Energieversorger, Regierung und Militär.
Der nächste Wachstumsmarkt könnte der Automobilmarkt sein. Denn mit vernetzten Fahrzeugen und Elektromobilität häufen sich in der Automotive-Branche die Sicherheitsfragen. Viele Hersteller erzeugen inzwischen in ihren eigenen PKIs eigene Softwareschlüssel. Denn ohne Verschlüsslungen und ohne ausgefeilte Sicherheitssysteme wird es keine vernetzten Fahrzeuge, keine Elektromobilität, keine neuen Mobilitätskonzepte und auch kein Car-Sharing geben können.
Deshalb bauen die Autohersteller einen physischen Punkt in ihre Fahrzeuge, der sicher ist. Konkret ist das ein Prozessor, der die Schlüssel sicher aufbewahren kann und der kryptografische Protokolle abarbeitet. Die Ingenieure konstruieren zunächst so einen Punkt und die Aufgabe des Prüflabors ist zu testen, ob und wie sicher dieser Punkt tatsächlich ist – um dann den Grad der Sicherheit zu zertifizieren.
Bedenklich ist, dass es genau diesen Prozess – die Konstruktion eines “sicheren Punktes” – bei den Smartphone-Herstellern nie gegeben hat. Deshalb sind Smartphone-Architekturen per se “offen”, ein perfektes Sicherheitssystem nicht möglich. Doch es gibt eine gute Nachricht, die ich aus dem Prüflabor mit nach Hause nehme: Die Hersteller der Smartphones denken darüber nach, ihre Produkte abzusichern. Nicht, weil sie das selbst für nötig halten. Vielmehr werden sie von verschiedenen Wirtschaftszweigen dazu getrieben. Beispielsweise fordern die Video-on-Demand-Anbieter Sicherheit für ihr Geschäftsmodell für bezahlte Inhalte.