Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Wie IT-Security "Made in Germany“ Risiken minimiert
Welch enormes Risiko mächtige IT-Sicherheitslösungen systembedingt darstellen können, wurde vielen Verantwortlichen erst nach der BSI-Warnung vor Kaspersky klar. Doch wie finden Firmen verlässliche Sicherheitsanbieter? Wir bringen Licht ins Dunkel und geben Hinweise zur Wahl vertrauenswürdiger Produkte und Hersteller.
Der Russland-Ukraine-Konflikt hat auch in der IT-Security für viel Aufregung gesorgt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht von einer erhöhten Bedrohungslage für Deutschland aus. Die Behörde hat im März diesen Jahres zudem erstmals in aller Deutlichkeit vor dem Einsatz von Virenschutzprodukten der russischen IT-Sicherheitsfirma Kaspersky gewarnt. Das BSI empfiehlt, dass Anwendungen aus dem Portfolio von Kaspersky durch alternative Produkte ersetzt werden sollten. Das hat es in dieser Form noch nicht gegeben.
Warum das BSI Gefahren für die nationale Sicherheit sieht
Im Juni 2022 legte BSI-Chef Arne Schönbohm noch einmal nach. Auf der Potsdamer Konferenz für Nationale Cybersicherheit am Hasso-Plattner-Institut sagte er laut Heise Online: „Die Produktwarnung vor Kaspersky meine ich absolut ernst.“ Einen weiteren Einsatz von Produkten des Unternehmens bezeichnete der BSI-Präsident als „fahrlässig“. Sie seien eine „Gefahr für die nationale Sicherheit“. Angesichts Russland-Ukraine-Konflikts sei das notwendige Vertrauen in den Hersteller von Antivirensoftware nicht mehr gegeben. Das Unternehmen könne zum Beispiel selbst ausspioniert oder auch gezwungen werden, offensive Operationen durchzuführen.
Das Problem mit der russischen Antivirensoftware ist laut BSI, dass sie „über weitreichende Systemberechtigungen“ verfügt und „systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten“ muss. Es sei aber das „Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme“. Wenn Zweifel an der Zuverlässigkeit eines Herstellers bestünden, berge Virenschutzsoftware ein „besonderes Risiko für eine zu schützende IT-Infrastruktur“.
Wie ein Herstellerwechsel Backdoors und Kill-Switches vermeiden kann
Daher empfiehlt das BSI, „Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen“. Welche das sein könnten, wollte die Behörde nicht sagen. Die genannten Hinweise machen aber deutlich, dass sich die IT-Sicherheitslage in diesem Jahr geändert hat. Fast jede IT-Security-Software kann Backdoors oder Kill-Switches enthalten und gegebenenfalls für Cyberangriffe missbraucht werden. Unternehmen in Deutschland müssen sich daher fragen, wem sie noch vertrauen und woher sie ihre IT-Sicherheitsprodukte beziehen wollen.
Angesichts der aktuellen Lage spielt es eine immer größere Rolle, aus welchem Land ein Hersteller kommt. Aber auch früher gab es in der IT schon Anzeichen für einen zunehmenden Trend zu „Made in Germany“. Das Risiko für viele Unternehmen, ein kompromittiertes Produkt in Deutschland zu kaufen, gilt bei Beobachtern als deutlich geringer als bei Herstellern aus dem Ausland. Leider werden auch immer wieder Hintertüren in amerikanischen Produkten bekannt.
Was Unternehmen bei IT-Security-Anbietern beachten sollten
Zum Glück hat Deutschland einige Security-Firmen mit exzellentem Ruf hervorgebracht. Deutsche IT-Sicherheitsanbieter wie NCP, der Antivirenanbieter G Data oder der Netzwerk- und Security-Hersteller Lancom Systems legen bereits seit Jahren großen Wert darauf, dass ihre Produkte „Made in Germany“ sind und höchste Standards erfüllen. Wir garantieren Kunden zum Beispiel Folgendes:
- keine Backdoors,
- schneller, direkter Support vom Hersteller,
- Datenhoheit/digitale Souveränität, d. h. keine Datenverarbeitung oder -speicherung im Ausland
- VPN-Produkte nach höchsten Sicherheitsstandards für unterschiedliche Anforderungen, von Einstiegslösungen über Enterprise bis VS-NfD mit BSI-Zulassung.
Auch G Data wirbt mit einer „No-Backdoor-Garantie“, „Software & Support aus Deutschland“ und einer „Datenverarbeitung nur in Deutschland“. Damit legt das Unternehmen den Finger auf ein weiteres Problem, das in der IT-Security eine gewichtige Rolle spielt: den unglaublichen Datenhunger, den amerikanische Konzerne und Behörden an den Tag legen. Auch hier wendet sich das Blatt derzeit.
So hat Mitte 2022 der Europäische Gerichtshof (EuGH) die Datenschutzvereinbarung „Privacy Shield“ gekippt, die den Schutz personenbezogener Daten zwischen der Europäischen Union und den USA regelte. Nach Ansicht der Richter ist das Datenschutzniveau in den Vereinigten Staaten nicht ausreichend. Personenbezogene Daten europäischer Bürger dürfen daher nicht mehr in die USA transferiert werden. Auch die lange Zeit untätige irische Datenschutzbehörde ist mittlerweile aus ihrem Winterschlaf erwacht. Sie will nun die Facebook-Muttergesellschaft Meta daran hindern, Nutzerdaten nach Übersee zu übermitteln.
Unternehmen, die bei ihrer IT-Sicherheit gleich auf hiesige Anbieter mit einer Datenverarbeitung innerhalb der EU setzen, müssen sich diesen Problemen nicht stellen. Helfen kann es bei der Suche nach Anbietern auch, wenn sich Hersteller an Standards wie dem vom TeleTrust Verband angebotenen Siegel „IT Security Made in Germany“ des Bundesverbandes IT-Sicherheit e.V. halten. Interessierte Anbieter dürfen das ITSMIG-Siegel zeitlich begrenzt verwenden, wenn sie bestimmte Kriterien erfüllen:
- Der Unternehmenshauptsitz muss in Deutschland sein.
- Das Unternehmen muss vertrauenswürdige IT-Sicherheitslösungen anbieten.
- Die angebotenen Produkte dürfen keine versteckten Zugänge enthalten (keine Backdoors).
- Die IT-Sicherheitsforschung und -entwicklung des Unternehmens muss in Deutschland stattfinden.
- Das Unternehmen muss sich verpflichten, den Anforderungen des deutschen Datenschutzrechtes zu genügen.
Bei späterer Nichterfüllung eines oder mehrerer dieser Kriterien kann die Nutzung des Siegels nachträglich wieder untersagt werden. Damit ist es eine wertvolle Hilfe für alle Unternehmen, die auf der Suche nach einem Security-Hersteller oder -Dienstleister sind. Ein weiteres Software-Siegel „Made in Germany“ bietet der Bundesverband IT-Mittelstand an.
Fazit
In der Vergangenheit haben viele Unternehmen kaum auf den Hersteller als ein potentielles Risiko für ihre IT-Sicherheit geachtet. Inzwischen entstehen aber nicht nur bei Behörden wie dem BSI Bedenken, wenn sie an den weiteren Einsatz von Hard- und Software sowie Services aus dem Ausland denken. Echte IT-Sicherheit hängt nicht mehr nur von den eingesetzten Produkten ab. Unternehmen benötigen auch ausgefeilte Konzepte und bewährte Vorgehensweisen, um ihre Daten dauerhaft zu schützen und sowohl kriminelle als auch staatliche Cyberangriffe effektiv abzuwehren.
Daher sagt auch unser CEO und Geschäftsführer Patrick Oliver Graf: „Als deutscher Hersteller mit unserer Entwicklungsabteilung in Nürnberg stehen wir zuverlässig für ‚Made in Germany‘ und bieten Kunden dadurch auch bei künftigen Veränderungen im Weltgeschehen Zukunftssicherheit und Unabhängigkeit.“.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.