Standardisierung & Zertifizierung in der IT-Sicherheit

Die Zahl internetfähiger und gleichzeitig unsicherer Produkte wächst täglich. Zugleich versagt der Markt bisher darin, verhältnismäßig vertrauenswürdige Produkte herzustellen. Das haben auch politische Entscheidungsträger:innen erkannt, sodass im aktuellen Koalitionsvertrag Konzepte wie Gütesiegel oder Produkthaftung erwähnt werden und auf der Ebene der Vereinten Nationen von “Cyber Stability” und vertrauensbildenden Maßnahmen gesprochen wird. Um die IT-Sicherheit nachhaltig zu verbessern, ist es aber insbesondere für Politiker:innen wichtig, die zugrundeliegenden Prozesse und Akteure zu kennen, die für die Sicherheit in der Informations- und Kommunikationstechnologie (IKT) verantwortlich sind. Denn wie sicher die einzelnen über das Internet verbunden Systeme und deren Kommunikation über das Netzwerk selbst sind, hängt in hohem Maße von den implementierten technischen Standards ab: Internationale Standardisierungsgremien, Normungsorganisationen und Zertifizierungsprozesse bestimmen maßgeblich die IT-Sicherheit der IKT.

Die Standardisierung, also die Definition der Anforderungen, die ein Produkt in Hinblick auf IT-Sicherheit erfüllen muss, wird dabei von unterschiedlichsten Gremien geleistet. Die IKT-Standardisierung verteilt sich international auf eine Vielzahl an Normungs- und Standardisierungsorganisationen (SDO). Sie ist fragmentiert, hochgradig verflochten und komplex. Ganz gleich, ob globaler Branchenverband (IEEE), Industriekonsortium (Bluetooth SIG), offene Interessengruppe (IETF) oder staatlich anerkannte Normungsorganisationen (ISO), sie alle definieren Spielregeln für IKT – der Grundlage unserer digitalen Gesellschaft. Ihnen fällt dabei eine hohe Bedeutung zu, da durch die zunehmende Vernetzung von Geräten immer mehr Sicherheitsaspekte relevant werden und somit auch Standards stetig aktualisiert werden müssen um nicht zu veralten.

Die so entstehenden Standards bilden die Grundlage von Zertifizierungsverfahren in der IKT. IT-Sicherheitszertifizierung dient dazu, die Vertrauenswürdigkeit eines Produktes oder Systems einzuschätzen. Sie ermöglicht es, festzustellen, ob ein Produkt Sicherheitsanforderungen erfüllt. Die formulierten Auflagen referenzieren oftmals Standards, sodass deren Güte auch für die Zertifizierung von Relevanz ist. Dabei zeigt sich, dass die Zertifikate keine Aussage darüber treffen können, wie sicher ein Produkt de facto ist, sondern nur, wie gut es die vorher als relevant definierten Sicherheitsanforderungen erfüllt.Die Nützlichkeit einer IT-Sicherheitszertifizierung hängt weiterhin davon ab, ob sie international anerkannt wird: Fehlt die internationale Anerkennung, müssen Unternehmen ihre Produkte unter Umständen mehrmals zertifizieren lassen, was für sie nicht nur einen langwierigen, sondern auch teuren Prozess darstellt. Auch das meistgenutzte Zertifizierungsschema, Common Criteria, weist hier große Schwächen auf. Beide Faktoren, hohe finanzielle und zeitliche Kosten und mangelnde internationale Anerkennung, haben dazu geführt, dass es kaum zertifizierte Produkte am Markt gibt.

Zertifizierung allein garantiert aber noch keine sicheren Geräte, denn dafür benötigt es darüber hinaus eine effektive und effiziente Marktüberwachung. Dies ist aber gerade hinsichtlich IT-Sicherheit schwierig: Zertifizierung ist immer nur eine Momentaufnahme, daher kann es passieren, dass kurze Zeit nachdem die IT-Sicherheit eines Produktes erfolgreich evaluiert wurde, eine bisher unentdeckte Sicherheitslücke das zuvor zertifizierte Produkt de facto “unsicher” macht. Diese zertifizierten aber unsicheren Produkte müssen am Markt zügig identifiziert werden. Dies fällt schon heute, zum Beispiel bei der CE-Kennzeichnung für physische Produktsicherheit, schwer. Wie Marktüberwachung modernisiert werden muss, um adäquat auf IT-Sicherheit zu achten, ist noch völlig ungeklärt.

IT-Sicherheitspolitik muss daher an die technische und wirtschaftliche Realität angepasst werden. Für Gesetzgeber ist es entscheidend zu erkennen, dass die aufeinander aufbauenden Elemente Standardisierung, Zertifizierung und Marktüberwachung stets zusammen gedacht und überprüft werden müssen, um möglichst sichere Produkte zu erhalten: Ohne robuste und sichere Standards können keine sicheren Produkte entworfen werden. Ohne effektive Zertifizierung und sinnvolle Evaluationskriterien kann die Vertrauenswürdigkeit eines Produktes nicht überprüft werden. Ohne eine effektive und responsive Marktüberwachung können schwarze Schafe und unsichere Produkte nicht schnell genug vom Markt entfernt werden. Soll die IT-Sicherheit von Produkten und des Internets selbst daher langfristig gestärkt werden, müssen sich politische Entscheidungsträger:innen das Zusammenspiel aus Standardisierung, Zertifizierung und Marktüberwachung anschauen. Eine Stärkung eines einzelnen Elementes, wie beispielsweise derzeit im Zuge des EU Cybersecurity Acts, wird langfristig keine signifikante Stärkung der IT-Sicherheit mit sich bringen.