Prüflabore: Wo das Knacken von IT-Sicherheit Alltag ist

Das Urteil der Prüflabore ist ernüchternd: Die meisten IT-Systeme sind nicht sicher und sollen es auch gar nicht sicher sein. Beispielsweise sind Smartphones als offene Architektur angelegt, Sicherheit ist per se nicht möglich. Ein Grund ist, dass für viele Wirtschaftsunternehmen Sicherheit eine betriebswirtschaftliche Kalkulation ist. Und einer der Kostenfaktoren ist der Imageschaden des Unternehmens, falls Hacker einen erfolgreichen Angriff melden.

Von Mitarbeiter von Prüflaboren ist das Knacken von Sichehreitsvorkehrungen grundsätzlich immer möglich – es kommt nur auf das aufgwendete Gehirnschmalz an (Bild: Shutterstock / Natalia-Siverina).

Die Kundschaft der Labore ist ebenso sensibel, wie die von den Mitarbeitern durchgeführten Tests und deren Ergebnisse. Bei einem Besuch in einem der großen europäischen Prüflabore erklärt dessen Leiter, dass er seit fast 20 Jahren im Auftrag von Regierungen Prozessoren oder Netzwerkkomponenten prüfe, Ausweise testiere, Militärtechnik zertifiziere und Verschlüsselungen, Telefone oder Gesundheitskarten aufbreche. Regierungsstellen verlangten häufig einen Nachweis der hundertprozentigen Sicherheit.

Dagegen ticken die Interessenten aus der Wirtschaft ganz anders: Hier ist die Sicherheit eher eine Frage des Risikomanagements. Die Verantwortlichen etwa in der Finanzindustrie verstehen IT-Sicherheit als eine betriebswirtschaftliche Kalkulation. Deren Parameter sind der Grad der Sicherheit, der mögliche Imageschaden und eine akzeptable Schadenshöhe.

In Europa gibt es wenige IT-Prüflabore. Eine Recherche zeigt, dass sie häufig in die IT-Abteilungen großer Konzerne integriert sind. Andere Prüflabore sind Ausgründungen von Forschungsinstituten oder Universitäten, manche sind als staatliche Behörden organisiert. Außerdem statten die großen IT-Hersteller ihre Forschungsabteilungen und das Qualitätsmanagement mit eigenen Prüflaboren aus. Hier nehmen die Forscher nicht nur die eigenen Produkte auseinander, sondern befassen sich auch intensiv mit den Geräten oder Komponenten der Mitbewerber.

Wenn es nicht über die Software geht, nehmen sich die Mitarbeiter der Prüflabore eben die Hardware vor – irgndwie ist bestimmt eine Schwachstelle zu finden (Bild: Shutterstock / Mny Jhee).

Neben diesem grauen Bereich gibt es unbestritten auch die dunkle Seite. Das sind kriminelle Hacker, die mit ähnlich ausgestatteten Laboren mit ähnlichem Instrumentarium arbeiten, um deren Sicherheit auszuhebeln.

Immer ist das Hacken das bestimmende Konzept. Nach eigener Darstellung sei es die Aufgabe eines Prüflabors, die Sicherheit der Systeme und Produkte zu prüfen, indem die Mitarbeiter sie knacken. Und dafür seien alle Mittel recht – und es gelänge “bei fast jedem Produkt”. Nach Darstellung des Laborleiters sei dies in erster Linie keine technische Herausforderung, sondern eher “eine sehr interessante Denkaufgabe”.

Natürlich ist der Konflikt vorprogrammiert. Ingenieure halten sich bei der Konstruktion und Fertigung an vorgegebene Spezifikationen. Eine Chipkarte sollte typischerweise zwischen null und 45 Grad Celsius funktionieren. Die Ingenieure können nicht sagen, ob eine Chipkarte auch bei minus 70 Grad oder bei plus 120 Grad sicher ist. Wenn ein Chip auf drei Volt Spannung ausgelegt ist, wird der Hersteller keine Aussagen darüber machen, wie sich der Chip bei sieben oder zehn Volt verhält. Deshalb ist es die Aufgabe des Prüflabors über die Grenzen der Spezifikationen hinaus zu gehen und zu prüfen, wie und wann Sicherheit und Zuverlässigkeit nachlassen.

Interessenten aus allen Branchen stehen bei den Prüflaboren Schlange

Die gilt natürlich auch für Verschlüsslung und die kryptografischen Methoden – und dazu gehören nicht nur die technischen Fragen, sondern auch die Analyse von Design und Fertigung. Wenn die Schlüsselgenerierung ein Teil des Prozesses ist, prüft das Labor den gesamten Prozess. Bei Unternehmen, die die Schlüssel institutionell erzeugen, wäre dies ein Thema eines eigenen Zulassungsverfahrens.

Vor dreißig Jahren waren Geldinstitute die ersten Unternehmen, die Interesse an der Arbeit der Prüflabore zeigten. Heute stehen Interessenten aus allen Branchen Schlange: Zum Beispiel Pay-TV, Video on Demand, Autoindustrie, Chiphersteller, Telefonanbieter, Internetanbieter, Energieversorger, Regierung und Militär.

Der nächste Wachstumsmarkt könnte der Automobilmarkt sein. Denn mit vernetzten Fahrzeugen und Elektromobilität häufen sich in der Automotive-Branche die Sicherheitsfragen. Viele Hersteller erzeugen inzwischen in ihren eigenen PKIs eigene Softwareschlüssel. Denn ohne Verschlüsslungen und ohne ausgefeilte Sicherheitssysteme wird es keine vernetzten Fahrzeuge, keine Elektromobilität, keine neuen Mobilitätskonzepte und auch kein Car-Sharing geben können.

Deshalb bauen die Autohersteller einen physischen Punkt in ihre Fahrzeuge, der sicher ist. Konkret ist das ein Prozessor, der die Schlüssel sicher aufbewahren kann und der kryptografische Protokolle abarbeitet. Die Ingenieure konstruieren zunächst so einen Punkt und die Aufgabe des Prüflabors ist zu testen, ob und wie sicher dieser Punkt tatsächlich ist – um dann den Grad der Sicherheit zu zertifizieren.

Bedenklich ist, dass es genau diesen Prozess – die Konstruktion eines “sicheren Punktes” – bei den Smartphone-Herstellern nie gegeben hat. Deshalb sind Smartphone-Architekturen per se “offen”, ein perfektes Sicherheitssystem nicht möglich. Doch es gibt eine gute Nachricht, die ich aus dem Prüflabor mit nach Hause nehme: Die Hersteller der Smartphones denken darüber nach, ihre Produkte abzusichern. Nicht, weil sie das selbst für nötig halten. Vielmehr werden sie von verschiedenen Wirtschaftszweigen dazu getrieben. Beispielsweise fordern die Video-on-Demand-Anbieter Sicherheit für ihr Geschäftsmodell für bezahlte Inhalte.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago