Produkte »Made in Germany« werden überall auf der Welt gern gesehen. Natürlich stellen auch ausländische Hersteller hochwertige Technik her, doch gerade wenn es um die IT-Sicherheit geht, sollten einheimische Unternehmen die rechtlichen Vorgaben fremder Regierungen sorgfältig betrachten. Deren Neugierde kann zu Hintertüren und Indiskretion bei Sicherheitstechnologien führen. Solche legal geplanten »Schwachstellen« sind bei deutschen Herstellern nicht zu befürchten.
In der Vergangenheit wurden Sicherheitsprodukte selten nach der Herkunft des Geräts ausgewählt. Abgesehen von sehr hohen Schutzanforderungen gingen Kunden davon aus, dass der Hersteller vertrauenswürdig ist und seine Geräte nach bestem Wissen und Gewissen baut. Selbst Technologie aus China oder Russland kam ohne Misstrauen oder zusätzliche Prüfungen zum Einsatz. Die Veröffentlichungen von Edward Snowden, der direkte Verbindungen des amerikanischen Geheimdienstes – ob freiwillig oder nicht – zu den Produkten einiger Hersteller belegt hat, haben die Situation verändert. Router und VPN-Gateways aus den USA werden jetzt mit anderen Augen gesehen. Und natürlich kann niemand glauben, dass die USA als einzige zu solchen Mitteln greifen, auch China und Russland verfügen über aktive Nachrichtendienste.
Misstrauen in den Vorstandsetagen. Selbst wenn die öffentliche Reaktion überschaubar kritisch ausfiel, ist die Besorgnis in den Vorstandsetagen der Unternehmen durchaus spürbar. Mittlerweile zeigt auch eine Untersuchung von Pierre Audoin Consultants greifbare Folgen der NSA-Schnüffelversuche. Laut der repräsentativen Studie »IT Made in Germany – Was wollen deutsche Unternehmen?« planen zwei Drittel der IT-Entscheider in deutschen Unternehmen infolge der anhaltenden Sicherheits-Skandale im Umfeld der NSA-Abhöraffäre verstärkt IT-Lösungen »Made in Germany« zu nutzen. Dabei wollen 44 Prozent ganz sicher entsprechende Lösungen implementieren, während 21 Prozent zumindest darüber nachdenken. Die Verteilung ist über alle Unternehmensgrößen homogen, erstaunlicherweise sind Großunternehmen mit mehr als 500 Mitarbeitern etwas zurückhaltender. Das kann natürlich auch an den meist langfristig abgeschlossenen Wartungs- und Lieferverträgen mit den Herstellern liegen.
Sicherheit und führende Technik. Deutsche Technologiefirmen wie NCP engineering GmbH waren schon lange vor Edward Snowden und der dadurch gesteigerten Aufmerksamkeit eine gute Adresse für IT-Sicherheit. Das Nürnberger Unternehmen gilt als einer der weltweit führenden Remote-Access-Anbieter. Für die Befragten der Pierre-Audoin-Studie ist vor allem der Aspekt des durchgängig deutschen Firmenstandorts wichtig. 94 Prozent der Befragten legten Wert darauf, dass der Hauptsitz des Unternehmens in Deutschland liegt und kein Near- oder Offshoring betrieben wird. Für NCP ist der deutsche Standort ein Garant für hervorragend ausgebildete Mitarbeiter. Sie sichern die Führungsposition des Herstellers durch innovative Technik, die gleichzeitig solide und zuverlässig ist.
Ein Beweis dafür ist die Aufnahme der Produkte von NCP in die BSI-Schrift 7164 »Liste der zugelassenen IT-Sicherheitsprodukte und -Systeme«. Sicherheitstechnologie in dieser Liste ist dazu geeignet, Informationen der Vertraulichkeitsstufe VS-NfD (Verschlusssache, nur für den Dienstgebrauch), über öffentliche Netze zu übertragen. Standard-VPN-Lösungen sind dafür nicht ausreichend, sie benötigen die Zulassung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), der intensive Prüfungen vorausgehen.
Wenn man die technischen Details weitgehend beiseitelässt, konzentrieren sich die Prüfungen zur Zulassung von VPNs auf zwei große Themenbereiche. Zum einen müssen die Schlüssel zuverlässig geschützt und sicher verwahrt sein. Das wird in der Regel über Hardware-Security-Module wie eine Smartcard erreicht. Zum anderen darf die Verschlüsselung der Daten nicht mit vertretbarem Aufwand aufhebbar sein. Aktuell bedeutet das meist eine Verschlüsselung mit AES (Advanced Encryption Standard) auf Basis von elliptischen Kurven sowie einen sicheren Pseudozufallszahlengenerator (Pseudo Random Number Generator – PRNG).
Flexible Endgerätewahl ist wichtig. Die Basis für VS-NfD-sichere Datenkommunikation wäre damit gelegt, nun muss es darum gehen, aus diesen Bausteinen ein einsetzbares Produkt zu entwickeln. Ein VPN wird immer mit einem Endgerät verwendet, das die Daten beherbergt und verarbeitet. Endgeräte können heute Tablets, Notebooks oder stationäre PCs sein, als Betriebssysteme kommen verschiedene Windows-Varianten in Frage. VPN-Anbieter stehen damit vor einer schwierigen Abwägung: Soll der VPN-Tunnel möglichst viele Endgeräte oder nur eine definierte Hard- und Softwarekombination unterstützen? Denn der Datentunnel kann die Informationen nur schützen, wenn der Anwender die Informationen auch darüber überträgt. Der Tunnel muss unumgehbar sein. Das erfordert aber im Fall vieler unterstützter Endgeräte die Mithilfe des Betriebssystems oder eine extrem restriktive Hard- und Software-Auswahl.
Die Gov-Net Box v für VS-NfD-zugelassene Kommunikation nutzt externe Hardware in der Smartcard und Kryptofunktionen untergebracht sind.
Beide Varianten sind möglich und als VS-NfD-zugelassener VPN-Tunnel verfügbar. Bei der festgelegten Hardware wird ein angepasstes, gehärtetes Betriebssystem – ein Micro-Kernel – entwickelt. Auf dem Micro-Kernel läuft ein Hypervisor, der andere Betriebssysteme als virtuelle Gäste verwaltet. Der Hypervisor »besitzt« die Hardware, auch die Kommunikationsschnittstellen. Er stellt sicher, dass ein Gast, der VS-NfD-Daten verarbeitet, nur den gesicherten VPN-Tunnel zur Kommunikation benutzen darf. Andere Gäste dürfen hingegen direkt mit dem Internet kommunizieren, falls der Anwender oder dessen Arbeitgeber es erlauben. Krypto-Algorithmus, Smartcard, Benutzer-Authentisierung – all das wird durch den Hypervisor verwaltet und abgewickelt. Die Sicherheit der Kommunikation ist gewährleistet, allerdings sind die Anwender auf einen Gerätetyp beschränkt, der weder verändert noch aufgerüstet werden darf.
Die zweite Variante zur VS-NfD-zugelassenen Kommunikation wird als externe Hardware realisiert, Smartcard und Kryptofunktionen sind innerhalb der Hardware untergebracht. Die GovNet Box von NCP nutzt beispielsweise diesen Ansatz. Sie wurde im September 2013 vom BSI für VS-NfD zugelassen. Mit ihr haben Anwender praktisch freie Hand bei der Wahl des Windows-Endgeräts. Die externe Sicherheitslösung wird über die USB-Schnittstelle angebunden. Der offensichtliche Nachteil dieser Lösung ist das zusätzliche Stück Hardware, das der Anwender mit sich führen muss. Dafür bietet das Konzept weitere Schutzmöglichkeiten.
Bei NCP ist beispielsweise eine kapazitive Tastatur in die Gehäuseoberfläche integriert, so dass eine Zwei-Faktor-Authentisierung komplett in der GovNet Box stattfindet, ohne Mitwirkung des möglicherweise mit Schadsoftware verseuchten Endgeräts. Hierfür verändert sich die Arbeitsoberfläche des Benutzers nicht, der VPN-Tunnel ist transparent und alle Applikationen funktionieren in ihrer gewohnten Umgebung. Der Tunnel wird wie bei einer üblichen, nicht für VS-NfD zugelassenen Lösung, als Netzwerkadapter im System eingeblendet. Üblicherweise haben Benutzer keine Admin-Rechte, sodass sie die verpflichtende Nutzung des Tunnels nicht abstellen können. Damit erfüllt er die Bedingung des BSI »unumgehbar« zu sein.
Made in Germany als Grundstein der IT-Sicherheitslösung. Mit einer Sicherheitslösung »Made in Germany« sind Unternehmen heute sozusagen auf der sicheren Seite. Sie müssen keine von fremden Regierungen gewünschten oder erpressten Hintertüren fürchten und können von einem voll funktionsfähigen Produkt mit optimaler Schutzwirkung ausgehen. Natürlich reicht Technologie allein nicht zum Schutz der Firmeninformationen aus. Das Schutzniveau der IT-Sicherheit zieht seine Stärke aus einem ganzheitlichen Ansatz. Prozesse, Produkte und Personen müssen eingebunden, geschult und optimal aufeinander abgestimmt sein. Dann kann das Siegel »Made in Germany« auch ein Garant für starke IT-Sicherheit sein.