Prüflabore: Wo das Knacken von IT-Sicherheit Alltag ist

Das Urteil der Prüflabore ist ernüchternd: Die meisten IT-Systeme sind nicht sicher und sollen es auch gar nicht sicher sein. Beispielsweise sind Smartphones als offene Architektur angelegt, Sicherheit ist per se nicht möglich. Ein Grund ist, dass für viele Wirtschaftsunternehmen Sicherheit eine betriebswirtschaftliche Kalkulation ist. Und einer der Kostenfaktoren ist der Imageschaden des Unternehmens, falls Hacker einen erfolgreichen Angriff melden.

Von Mitarbeiter von Prüflaboren ist das Knacken von Sichehreitsvorkehrungen grundsätzlich immer möglich – es kommt nur auf das aufgwendete Gehirnschmalz an (Bild: Shutterstock / Natalia-Siverina).

Die Kundschaft der Labore ist ebenso sensibel, wie die von den Mitarbeitern durchgeführten Tests und deren Ergebnisse. Bei einem Besuch in einem der großen europäischen Prüflabore erklärt dessen Leiter, dass er seit fast 20 Jahren im Auftrag von Regierungen Prozessoren oder Netzwerkkomponenten prüfe, Ausweise testiere, Militärtechnik zertifiziere und Verschlüsselungen, Telefone oder Gesundheitskarten aufbreche. Regierungsstellen verlangten häufig einen Nachweis der hundertprozentigen Sicherheit.

Dagegen ticken die Interessenten aus der Wirtschaft ganz anders: Hier ist die Sicherheit eher eine Frage des Risikomanagements. Die Verantwortlichen etwa in der Finanzindustrie verstehen IT-Sicherheit als eine betriebswirtschaftliche Kalkulation. Deren Parameter sind der Grad der Sicherheit, der mögliche Imageschaden und eine akzeptable Schadenshöhe.

In Europa gibt es wenige IT-Prüflabore. Eine Recherche zeigt, dass sie häufig in die IT-Abteilungen großer Konzerne integriert sind. Andere Prüflabore sind Ausgründungen von Forschungsinstituten oder Universitäten, manche sind als staatliche Behörden organisiert. Außerdem statten die großen IT-Hersteller ihre Forschungsabteilungen und das Qualitätsmanagement mit eigenen Prüflaboren aus. Hier nehmen die Forscher nicht nur die eigenen Produkte auseinander, sondern befassen sich auch intensiv mit den Geräten oder Komponenten der Mitbewerber.

Wenn es nicht über die Software geht, nehmen sich die Mitarbeiter der Prüflabore eben die Hardware vor – irgndwie ist bestimmt eine Schwachstelle zu finden (Bild: Shutterstock / Mny Jhee).

Neben diesem grauen Bereich gibt es unbestritten auch die dunkle Seite. Das sind kriminelle Hacker, die mit ähnlich ausgestatteten Laboren mit ähnlichem Instrumentarium arbeiten, um deren Sicherheit auszuhebeln.

Immer ist das Hacken das bestimmende Konzept. Nach eigener Darstellung sei es die Aufgabe eines Prüflabors, die Sicherheit der Systeme und Produkte zu prüfen, indem die Mitarbeiter sie knacken. Und dafür seien alle Mittel recht – und es gelänge “bei fast jedem Produkt”. Nach Darstellung des Laborleiters sei dies in erster Linie keine technische Herausforderung, sondern eher “eine sehr interessante Denkaufgabe”.

Natürlich ist der Konflikt vorprogrammiert. Ingenieure halten sich bei der Konstruktion und Fertigung an vorgegebene Spezifikationen. Eine Chipkarte sollte typischerweise zwischen null und 45 Grad Celsius funktionieren. Die Ingenieure können nicht sagen, ob eine Chipkarte auch bei minus 70 Grad oder bei plus 120 Grad sicher ist. Wenn ein Chip auf drei Volt Spannung ausgelegt ist, wird der Hersteller keine Aussagen darüber machen, wie sich der Chip bei sieben oder zehn Volt verhält. Deshalb ist es die Aufgabe des Prüflabors über die Grenzen der Spezifikationen hinaus zu gehen und zu prüfen, wie und wann Sicherheit und Zuverlässigkeit nachlassen.

Interessenten aus allen Branchen stehen bei den Prüflaboren Schlange

Die gilt natürlich auch für Verschlüsslung und die kryptografischen Methoden – und dazu gehören nicht nur die technischen Fragen, sondern auch die Analyse von Design und Fertigung. Wenn die Schlüsselgenerierung ein Teil des Prozesses ist, prüft das Labor den gesamten Prozess. Bei Unternehmen, die die Schlüssel institutionell erzeugen, wäre dies ein Thema eines eigenen Zulassungsverfahrens.

Vor dreißig Jahren waren Geldinstitute die ersten Unternehmen, die Interesse an der Arbeit der Prüflabore zeigten. Heute stehen Interessenten aus allen Branchen Schlange: Zum Beispiel Pay-TV, Video on Demand, Autoindustrie, Chiphersteller, Telefonanbieter, Internetanbieter, Energieversorger, Regierung und Militär.

Der nächste Wachstumsmarkt könnte der Automobilmarkt sein. Denn mit vernetzten Fahrzeugen und Elektromobilität häufen sich in der Automotive-Branche die Sicherheitsfragen. Viele Hersteller erzeugen inzwischen in ihren eigenen PKIs eigene Softwareschlüssel. Denn ohne Verschlüsslungen und ohne ausgefeilte Sicherheitssysteme wird es keine vernetzten Fahrzeuge, keine Elektromobilität, keine neuen Mobilitätskonzepte und auch kein Car-Sharing geben können.

Deshalb bauen die Autohersteller einen physischen Punkt in ihre Fahrzeuge, der sicher ist. Konkret ist das ein Prozessor, der die Schlüssel sicher aufbewahren kann und der kryptografische Protokolle abarbeitet. Die Ingenieure konstruieren zunächst so einen Punkt und die Aufgabe des Prüflabors ist zu testen, ob und wie sicher dieser Punkt tatsächlich ist – um dann den Grad der Sicherheit zu zertifizieren.

Bedenklich ist, dass es genau diesen Prozess – die Konstruktion eines “sicheren Punktes” – bei den Smartphone-Herstellern nie gegeben hat. Deshalb sind Smartphone-Architekturen per se “offen”, ein perfektes Sicherheitssystem nicht möglich. Doch es gibt eine gute Nachricht, die ich aus dem Prüflabor mit nach Hause nehme: Die Hersteller der Smartphones denken darüber nach, ihre Produkte abzusichern. Nicht, weil sie das selbst für nötig halten. Vielmehr werden sie von verschiedenen Wirtschaftszweigen dazu getrieben. Beispielsweise fordern die Video-on-Demand-Anbieter Sicherheit für ihr Geschäftsmodell für bezahlte Inhalte.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

11 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

16 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

16 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago