Spionage-Chips
»Security ist der Berliner Flughafen der deutschen IT-Politik«
Fortsetzung des Artikels von Teil 1
Was ist zu tun?
Wenn wir Schildbürger unsere Security auf Sand gebaut haben, auf welches Wunder sollen wir dann hoffen?
Wenn Sie nur hoffen, sind Sie schon verloren. Die jetzt praktikable Maßnahme ist, die vorhandenen Schutzmaßnahmen einzusetzen, die Einhaltung existierender Standards durchzusetzen und sie zu verschärfen. Professionelle IT-Sicherheitsunternehmen beherrschen die Klaviatur des Security-Testing von Hard- und Software sehr gut – von Requirements-Analysis über Threat-Modeling bis hin zu Static Source-Code-Analysis, Penetration-Testing und Fuzzing. Damit kann man viele Sicherheitslücken und Schadfunktionen identifizieren, die heute noch selten erkannt werden. Auch solche in komplexen Produkten wie Intels IME und AMDs PSP. Wir können also Sicherheitslücken und Hintertüren identifizieren, wenn wir denn wollen – und dafür bereit sind, etwas zu bezahlen.
Auch mit Security-getesteten Produkten aus Regionen fremder Jurisprudenz ändert sich aber nichts Grundsätzliches: dass man eigentlich nicht weiß, was alles noch drin ist.
Das ist richtig, deswegen sollte Deutschland mit europäischen Partnern den Aufbau eines europäischen Mikroelektronik-Clusters vorantreiben. Eine europäische IT-Industrie, die auf internationalen – jedenfalls europäischen – Sicherheits-Normen und -Philosophien basiert, sollte das Ziel sein. Da muss durchaus schon bei der Ausbildung anfangen werden, Hard- und Software-Designer müssen ausgebildet, Lehrstühle aufgebaut, Unternehmen gefördert werden usw. Dies kostet erstmal viel Geld – es ist aber mittel- oder langfristig der einzige Weg, ein IT-Sicherheitsniveau zu erreichen, das wenigstens Angriffen der organisierten Kriminalität und Terroristen standhält.
Sind diese Themen von der Abstraktion her nicht auch so geartet, dass sie den Normalbürger einfach nicht interessieren?
Das macht nichts. IT-Produkte – auch IT-Sicherheitsprodukte – müssen unverzichtbar benutzerfreundlich sein, sonst werden sie gar vom Markt angenommen oder verschwinden schnell wieder.
Weitere „Datenschutz“- oder „Security“-Richtlinien helfen nur gegen den Normalbürger als Angreifer – helfen jedenfalls nicht gegen die organisierte Kriminalität oder gegen Terroristen und schon gar nicht gegen Nachrichtendienste wie NSA. So einfach ist das. Ob man bereit ist, das zu akzeptieren, müssen Gesellschaft und Politik entscheiden.
Wenn ich mich so umhöre, will niemand, dass seine Daten unautorisiert um den Globus geschickt werden. Es ist Zeit, dass IT-Security endlich mehr neue, für IT-Security-sensibilisierte Projektentwickler bekommt, die eine ehrliche Bestandsaufnahme machen. Security ist momentan der Berliner Flughafen der deutschen IT-Politik.
Es geht nicht darum, Schuldvorwürfe zu machen, sondern spätestens ab jetzt die richtigen Schritte zu tun: So fordert beispielsweise die DSGVO die Implementierung technischer und organisatorischer Sicherheitsmaßnahmen zum Schutz der Daten bezüglich Verfügbarkeit, Vertraulichkeit und Integrität und auch den Nachweis der Wirksamkeit dieser ergriffenen Maßnahmen wie Penetration-Testing.
Man muss sich aber darüber im Klaren sein, dass mit den gegenwärtigen Intel- und AMD-Chips die Datenschutz-Grundverordnung der EU und die deutsche Datenschutz-Gesetzgebung Makulatur sind – wenn nicht die ergriffenen Sicherheitsmaßnahmen tiefgehend, also bis zur Hardware-Ebene, überprüft werden.
- »Security ist der Berliner Flughafen der deutschen IT-Politik«
- Was ist zu tun?
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
