Beschaffung : So kaufen Sie sichere IT-Produkte

Jedes Unternehmen versucht heute, seine IT-Infrastruktur vor externen Angriffen zu schützen. Doch was, wenn sich schädliche Software oder manipulierte Hardware bereits längst im Unternehmen befinden?

Ein oftmals vernachlässigtes Einfallstor für IT-Bedrohungen ist der Einkauf. Wer weiß schon, ob sich in den Millionen Zeilen Quellcode eines Betriebssystems, nicht ein NSA-Trojaner verbirgt? Ob eine Hardware lediglich die dokumentierten Funktionen beherrscht oder auch ein paar versteckte? Oder ob die verwendete Maschinensteuerung nicht ein Hintertürchen für Industriespione oder sogar Saboteure beinhaltet? Für produzierende Unternehmen stellt sich die Frage, ob eingekaufte Zulieferteile wirklich über jeden Zweifel erhaben sind. Wer prüft schon ein Massenteil wie einen Microcontroller?

Sie finden solche Gedanken paranoid?

Ernst Piller ist anderer Meinung. „In Ländern wie China oder den USA wird von der Regierung sogar explizit gefordert, Spionagesoftware in Produkte einzubauen“, sagt der Leiter des Instituts für IT-Sicherheitsforschung am Department Informatik und Security der Fachhochschule St. Pölten. Deshalb hat er die Plattform www.it-sicher.kaufen ins Leben gerufen, die Beschaffer beim sicheren Einkauf unterstützt. Sie liefert kostenlos und herstellerunabhängig Sicherheits-Checklisten für

Standard-Software

in Auftrag gegebene Software

Hardware mit integrierter Software

quelloffene Software.

Zudem kann man automatisch eine an die individuellen Bedürfnisse angepasste Liste erstellen lassen. Dazu muss der Anwender lediglich eine Schutzbedarfsklassifizierung durchführen, die aus fünf Multiple-Choice-Fragen besteht.

Die Checklisten dienen der ersten Orientierung eines Einkäufers. Sie können aber auch als integrativer Bestandteil des Beschaffungsprozesses genutzt werden, wie Piller betont: „Einkäufer können die generierten Texte zum Beispiel in eine Ausschreibung oder in ein Lastenheft hineinnehmen.“

Als zusätzliches Feature durchsucht die Plattform verschiedene Datenbanken nach dokumentierten Sicherheits-Vorfällen. Will man zum Beispiel wissen, welche Sicherheitsprobleme es mit Produkten eines bestimmten Herstellers gibt, wird man über die Filtersuche in wenigen Sekunden fündig. „Einen derart vollständigen Überblick gab es bisher noch nicht“, sagt Piller.

Forschungsprojekt ITsec.at

Die Plattform ist Teil und Ergebnis des von der FH St. Pölten geleiteten Forschungsprojekts ITsec.at, das sich mit Gefahren durch Angriffe aus dem Cyberraum für die österreichische Informations- und Kommunikationstechnik befasste und Strategien, Vorgehensempfehlungen und Sicherheitstests erforschte. Partner im Projekt waren die SEC Consult Unternehmensberatung, das Bundeskanzleramt, das Bundesministerium für Inneres, das Bundesministerium für Landesverteidigung und Sport und das Magistrat der Stadt Wien (MA14, Informations- und Telekommunikationssysteme). Finanziert wurde das Projekt vom Bundesministerium für Verkehr, Innovation und Technologie im Rahmen der FFG-Programmlinie KIRAS (Sicherheitsforschung).

dispo: Wie kann die Beschaffung zur Unternehmenssicherheit beitragen?

Ernst Piller: Grundsätzlich ist die Beschaffung immer eine zentrale Stelle für Sicherheitsfragen. Bereits hier wird entschieden, ob man etwas Unsicheres oder Sicheres ins Unternehmen holt. Die Beschaffung hat sich natürlich geändert, weil durch die zunehmende Vernetzung neue Probleme entstanden sind. Wer heute einen Fernseher mit Kamera kauft, muss zum Beispiel damit rechnen, dass er überwacht wird.

Was ja angeblich schon passiert ist…

Was schon passiert ist. Früher hat man sich darüber Gedanken gemacht, wie lange der TV hält, oder wie stark er strahlt. Jetzt weiß das Gerät zum Beispiel, wann ich zuhause bin. Für einen Einbrecher könnte diese Information nützlich sein. In Software gibt es immer Fehler. Die kann man natürlich suchen und man findet sie auch. Aber was ist, wenn ein Verbrecher sie zuerst findet? Viel gefährlicher als diese Fehler, die in der Softwareentwicklung einfach passieren, sind bewusst eingebrachte Fehler. Vor allem in Ländern wie China oder den USA fordert das die Regierung teilweise sogar von den Unternehmen. Apple hat sich zum Beispiel öffentlich geweigert das zu tun. Aber weiß Tim Cooke wirklich, was jeder einzelne seiner Mitarbeiter tut?

IT-Experten können Hardware oder Software prüfen. Das dafür nötige Wissen und die Möglichkeiten hat ein Einkäufer normalerweise nicht. Was kann er tun?

Eie Möglichkeit ist, auf unserer Plattform www.it-sicher.kaufen eine Anforderungsliste erstellen zu lassen. Die kann man einerseits als Checkliste für den Direkteinkauf verwenden und so prüfen, ob ein Produkt die Punkte der Liste erfüllt. Wenn man ausschreibt, kann man die automatisch generierten Texte auch in die Ausschreibung hineinnehmen. Und die dritte Möglichkeit sind Lastenhefte, wenn man etwas beauftragt. Auch dafür kann man die Liste verwenden.

Gegen einen perfekt versteckten High-End-Trojaner, den ein Geheimdienst programmiert hat, hilft das aber auch nicht.

Das nicht. Da hilft eine entsprechende Vertragsgestaltung. Man muss vertraglich die Haftungsübernahme des Lieferanten oder Herstellers vereinbaren. Eine Privatperson kann so etwas natürlich nicht fordern, aber große Unternehmen haben eine bessere Verhandlungsposition. Unternehmen müssten außerdem gesetzlich verpflichtet werden, dass sie gefundene Schwachstellen melden. Meldepflicht ist eine ganz wichtige Sache. Dann wissen es alle, wenn einer einen Fehler gefunden hat.

Die großen Sicherheitsfirmen tun das ja ohnehin, oder?

Ja, aber der Einkäufer müsste auch regelmäßig dort nachschauen. Wer tut das schon? Die Meldepflicht müsste deshalb direkt zum Kunden gehen. Sie müsste von einer Holschuld zu einer Bringschuld werden.

Sie haben die USA und China erwähnt. Sind das aus Ihrer Sicht „die Bösen“?

Großbritannien natürlich auch. Und Russland. Grundsätzlich sind auch die Franzosen Sorgenkind. Aber direkt sehe ich kein großes Problem bei denen. Großbritannien, China und die USA sind sicher die Schlimmsten. Und auch einige englischsprachige Länder wie Kanada. Gefährlich ist, dass diese Länder auch exportstark sind. Nordkorea ist zwar gefährlich, aber die exportieren keine Produkte. Eigentlich müsste die EU jedes Produkt, das importiert wird, prüfen. Es bräuchte ein IT-Gütesiegel, äquivalent zur Zulassung eines Autos. In anderen Bereichen wie etwa bei Chemikalien gibt es das ja auch. Es geht nicht, dass wir alles digitalisieren und gleichzeitig kein Regelwerk dafür haben.