Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Artikelserie “Vertrauen in IT-Sicherheitsprodukte” — Teil 1
Vertrauen in IT-Sicherheitsprodukte
Die steigende Digitalisierung der Gesellschaft eröffnet immer mehr Angriffsmöglichkeiten. Diese wirken sich zunehmend negativ auf das Vertrauen in IT Sicherheitsprodukte aus. In einer neuen Artikel-Serie zeigen wir, wie Vertrauen wiederhergestellt und gesteigert werden kann.
Wachsende Risiken
Die zunehmende Vernetzung von Geräten im Internet der Dinge, von eingebetteten Systemen in Fahrzeugen oder auch der Siegeszug des Online-Banking verdeutlichen beispielhaft, wie stark Informationstechnik alle Bereiche des Lebens und der Gesellschaft durchdringt. Motiviert wird dieser Prozess durch enorme wirtschaftliche und gesellschaftliche Chancen, er schafft aber auch substanzielle neue Risiken. Einige Beispiele für Vorfälle, die noch vor einem Jahrzehnt in dieser Form nicht möglich gewesen wären:
- Die Ransomware-Wellen „Petya“ und „WannaCry“ legten Containerterminals und Krankenhäuser zeitweilig lahm.
- Hackern gelang es, über die Mobilfunkverbindung die Kontrolle über einen in Fahrt befindlichen Jeep zu übernehmen.
- Kriminelle räumten mittels einer Schwachstelle des mTAN-Verfahrens tausende Bankkonten leer.
IT-Sicherheit: unzureichend
Obwohl die Informationstechnik einerseits auf vielen Gebieten unzweifelhaft zu einer sichereren Gesellschaft beiträgt, öffnet sie andererseits auch Einfallstore für neuartige Angriffe. Die Vernetzung durchdringt aktuell immer stärker auch Technologien und Infrastrukturen, bei welchen Fehlfunktionen fatale Folgen für das wirtschaftliche oder physische Wohlergehen des Individuums oder der Gesellschaft haben können. Obwohl IT-Sicherheit keineswegs ein neues Thema ist und die Investitionen in die Sicherheit von IT-Produkten seit Jahren anwachsen, ist derzeit eine steigende Verunsicherung allgegenwärtig: Fortschritte in der Sicherheit von IT-Produkten sind zwar erkennbar, aber sie werden angesichts weiter wachsender Schadenspotenziale der riskierten Sicherheitsvorfälle als nicht ausreichend wahrgenommen. Die IT-Branche steht vor einer wachsenden Vertrauenskrise.
Vertrauen – woher nehmen?
Wie kann Vertrauen in IT-Produkte aufgebaut oder wiederhergestellt werden? Diese für die Zukunft der Branche essenzielle Frage stellt Hersteller und Kunden vor gewaltige Herausforderungen. Hersteller müssen geeignete Mittel und Wege finden, um ihre Kunden bei der Vertrauensbildung zu unterstützen. Kunden sind ihrerseits oftmals ohne weiteres gar nicht in der Lage, ausreichend genau zu erfassen, welche Sicherheitsfunktionalität ein Produkt bietet und inwieweit es die bestehenden Sicherheitsanforderungen erfüllt.
Vertrauen ist primär eine psychologische Kategorie, die das Verhältnis des Individuums zu einem Gegenüber (Mensch, Tier, Umwelt oder technisches System) beschreibt, dessen Verhalten nicht immer vorhersehbar ist und das erheblichen Schaden bewirken kann. Sicherheit erfordert Vertrauen: Nur, wenn Vertrauen besteht, fühlt man sich sicher. Konkreter ist Vertrauen ein psychologischer Zustand, der die Bereitschaft auslöst, sich in Bezug auf das Gegenüber Risiken auszusetzen. Vertrauen repräsentiert die Überzeugung, dass das Gegenüber sich erwartungsgemäß (nicht-schädlich) verhalten wird – also eine positive Beurteilung seiner Vertrauenswürdigkeit. Die nachfolgenden Abschnitte erörtern die Faktoren, die unser Vertrauen beeinflussen und zeigt Wege zur Vertrauensbildung in IT-Produkte auf.
Vertrauen entsteht in einem psychosozialen Prozess, der beim Vertrauenden beginnt und sich dann zunehmend nach außen orientiert: Persönlichkeitseigenschaften bestimmen, wie leicht man überhaupt Vertrauen aufbaut, und wirken primär intuitiv. Auch der Einfluss von Vorerfahrungen (mit demselben oder ähnlichen Gegenüber) ist wesentlich, wiederum mit einem stark intuitiven Anteil. Der stärkste „Vertrauensschub“ kann entstehen, wenn man selbst eine bewusste, rational-kritische Bewertung der Vertrauenswürdigkeit des Gegenübers anhand objektiver Merkmale vornimmt. Ist dies nicht ausreichend oder nicht praktikabel, haben wir aber auch die Option, die Bewertungen Dritter einzubeziehen – in welchem Maß hierdurch eigenes Vertrauen aufgebaut wird, hängt dann entscheidend davon ab, wie starkes Vertrauen zu dem bewertenden Dritten besteht. Vertrauen aufzubauen dauert allgemein lange, es kann aber in kürzester Zeit durch unerwartetes, schädliches Verhalten des Gegenübers ganz oder teilweise zerstört werden.
Wege der Vertrauensbildung
Für das Vertrauen von Kunden in IT-Produkte ergeben sich daraus folgende Möglichkeiten der positiven Beeinflussung durch den Anbieter:
- Langfristig positives „track record“ in puncto Sicherheit aufbauen und halten, bei Sicherheitsvorfällen schnell und sichtbar handeln
- Prospektive Kunden in adäquatem Umfang, tatsachengemäß und genau über Sicherheitsmerkmale informieren
- Sicherheitsbewertungen durch vertrauenswürdige Dritte anstoßen oder unterstützen
Zu einer umfassenden eigenen Sicherheitsbewertung ist der Kunde allerdings oft nicht in der Lage, selbst wenn er vom Anbieter optimal unterstützt wird – und diese Situation wird durch die wachsende Komplexität der Produkte, aber auch der Angriffsmöglichkeiten zunehmend zum Regelfall. Nötig für eine solche Bewertung sind Expertenwissen, Erfahrung, Zeit, häufig auch technische Spezialausrüstung. Ein Hersteller von Sicherheitsprodukten verfügt zwar über diese Ressourcen und setzt sie üblicherweise schon während der Entwicklung zur Sicherheitsoptimierung ein – aus Kundensicht ist die Vertrauenswürdigkeit genau dieser Partei jedoch durch deren Verkaufsinteresse belastet. Die Sicherheitsbewertung durch unabhängige, vertrauenswürdige Dritte ist daher der vielversprechendste Weg, die Vertrauensbildung beim Kunden positiv zu beeinflussen. Eine Sicherheitszertifizierung nach allgemein anerkannten Kriterien, ausgeführt durch eine vertrauenswürdige Prüfinstanz ist hierzu die beste Möglichkeit.
Wie Vertrauen das IT-Sicherheitsprodukte wieder hergestellt und gesteigert werden kann, erfahren Sie in den nächsten Teilen zu dieser Artikelserie. Darüber hinaus bietet die Fraunhofer Academy für interessierte Entscheider und Mitarbeiter in KMU auch Kurse an.
Thilo Ernst, Fraunhofer FOKUS

Thilo Ernst ist wissenschaftlicher Mitarbeiter beim Fraunhofer FOKUS. Er hat in einer breiten Palette von Forschungs- und Entwicklungsvorhaben in Bereichen wie Grid/Cloud-Computing, Verkehrstelematik und Embedded Software verschiedenste Facetten des Themas IT-Sicherheit kennengelernt. Seit 2014 bringt er seine Erfahrungen im CertLab von Fraunhofer FOKUS in die Begleitung von CC-Zertifizierungsverfahren im Auftrag des BSI ein. Im Rahmen der Fraunhofer Academy ist Thilo Ernst Referent zum Thema „Vertrauen durch Produktzertifizierung“

Neueste Kommentare