Zertifizierung und Qualifizierung: Der Code muss übergeben werden
„Zunächst einmal gibt es einen großen Unterschied zwischen der Zertifizierung (die ANSSI „CSPN“ oder „Sicherheitszertifizierung der ersten Stufe“ nennt) und der Qualifizierung“, beginnt Genovese. Im Fall der CSPN-Zertifizierung wird das Produkt als Blackbox betrachtet. Es wird nicht auf den Code oder auf Produktionsverfahren eingegangen, sondern überprüft, ob die Angaben im Benutzerhandbuch wahrheitsgetreu sind. Dazu zählen etwa offene Ports, die eigentlich geschlossen sein sollten, und ähnliche Ungereimtheiten.
Bei der Qualifizierung eines Cybersicherheitsproduktes hingegen geht es um die Funktionen, den Code und den gesamten Produktionsablauf. Die ANSSI analysiert nicht nur das Produkt, sondern schreibt dem Anbieter auch die Entwicklung bestimmter Funktionen vor, die sie für die Gewährleistung der Sicherheit sensibler Netze für unverzichtbar hält. Beispielhaft sei hier die Implementierung bestimmter Verschlüsselungsalgorithmen genannt. Außerdem müssen veraltete Funktionen oder Algorithmen, die versehentlich oder missbräuchlich eingesetzt werden könnten, entfernt werden oder wenigstens sperrbar sein.
Doch nicht nur das: „Der Code der Lösung muss an die Behörde geliefert werden, weshalb viele Anbieter vor der Qualifizierung zurückschrecken“, erklärt Genovese. Sind Teile des Codes angreifbar, sucht ANSSI eine Lösung mit dem Anbieter. Diese Interaktion findet auch dann statt, wenn ANSSI der Ansicht ist, dass Teile des Codes besser geschrieben werden könnten. Die Agentur analysiert darüber hinaus den gesamten Fertigungsprozess und empfiehlt bewährte Verfahren, woran sich der Anbieter bei der Überprüfung der Korrektheit und Qualität des entwickelten Codes orientieren soll.
Zu guter Letzt kann die ANSSI die Qualifizierung jederzeit widerrufen, falls die Lösungen nach ihrer Qualifizierung Schwachstellen aufweisen, die nicht kurzfristig durch Workarounds oder Fixes behoben werden können.
Ein Prozess mit erheblichen Implikationen für die Anbieter
Dieses Verfahren ist zwar nur in groben Zügen umrissen, hat aber bedeutende Auswirkungen auf einen Anbieter.
Die Analyse des Codes einer Lösung nimmt mindestens ein Jahr in Anspruch. „Nehmen wir unsere Geräte als Beispiel: Allein der Konfigurationsassistent für die Version 3 unserer Firmware besteht aus 10.000 Codezeilen“, sagt Genovese. „Während der Analyse kann die ANSSI verlangen, dass ein Teil dieses Codes aus Sicherheitsgründen geändert und anschließend einer erneuten Prüfung unterzogen wird, was die für die Analyse erforderliche Zeit weiter verlängert.“
Ein weiteres Merkmal der Qualifizierung ist, dass sie an die von ANSSI geprüfte Hard- und Firmware gebunden ist. Somit ist das Hardware-Modell A mit der Firmware-Version B qualifiziert. Wird ein Upgrade auf Version C durchgeführt, ist das Produkt nicht mehr qualifiziert.
All dies bedeutet, dass ein Hersteller seinen gesamten Fertigungsprozess, seinen Produktlebenszyklus und sogar seine Logistik und Bevorratung anpassen muss. Ziel ist es, bestimmte Plattformen über längere Zeiträume zu unterstützen als die normalen Lebenszyklen eines nicht qualifizierten Sicherheitsproduktes.
Darüber hinaus ist der Gesamtablauf äußerst aufwendig und bedingt auch Änderungen der Roadmap. Genovese erklärt die Konsequenzen ganz klar: „Das Verfahren ist weder mit den typischen Niedrigpreis-Ausschreibungsverfahren noch mit abstrusen Buzzword-orientierten magischen Quadranten, Spiralen oder Dreiecken kompatibel. Als Anbieter ist man verpflichtet, Ressourcen in Sicherheitsfunktionen zu investieren, die auf den ersten Blick keine Highlights zu sein scheinen, bis man plötzlich Military-Grade-Lösungen wie die unseren benötigt oder eine schwerwiegende Schwachstelle in Wettbewerbsprodukten aufgedeckt wird. In solchen Fällen ist man dafür dankbar, mehr Ressourcen in die Abhärtung der Lösungen und weniger in Marketing-wirksame Cyberlappalien investiert zu haben.“
Ein zu vermittelnder Mehrwert
Trotz dieser Aspekte stellt ein gut von einer nationalen Sicherheitsbehörde durchgeführtes Qualifizierungsverfahren einen unbestrittenen Mehrwert dar, insbesondere wenn das zu diskutierende Thema echte Cybersicherheit ist. Nationale Behörden oder Agenturen wie die ANSSI oder das BSI, die Richtlinien vorgeben, sind daher zu begrüßen. Der Mehrwert einer solchen Qualifizierung muss jedoch auch vom Kunden wahrgenommen werden. Andernfalls verlieren die Unternehmen, die sich auf einen solchen Prozess einlassen, an Wettbewerbsfähigkeit. Selbst in Frankreich gibt es trotz der enormen Aufklärungsbemühungen der ANSSI immer noch zahlreiche Unternehmen, die mehr auf Preis und „Pailletten“ als auf den Inhalt achten. Hingegen sollte man in der Lage sein, die Richtlinien der Zertifizierungsstelle zu befolgen und den Wert der damit verbundenen Arbeit zu erkennen.
Die von Genovese erwähnten Aktivitäten sind nur ein kleiner Teil der Aufgaben der ANSSI. So veröffentlicht ANSSI zum Beispiel auch Merkblätter über den richtigen Einsatz qualifizierter Technologien. „Denn man kann die sicherste Lösung der Welt erwerben, aber wenn man sie oberflächlich einrichtet, lohnt sich die Anschaffung kaum“, so Genovese abschließend.
Weltweit müssen Unternehmen, Regierungsinstitutionen und Verteidigungsbehörden die Cybersicherheit ihrer kritischen Infrastrukturen, sensiblen Daten und Betriebsumgebungen gewährleisten. Die auf höchster europäischer Ebene zertifizierten Stormshield-Technologien sind die richtige Antwort auf IT- und OT-Risiken und erlauben den Schutz der Geschäftstätigkeit. Unsere Mission: Cybersorglosigkeit für unsere Kunden, damit diese sich auf ihre Kerntätigkeiten konzentrieren können, die für das reibungslose Funktionieren von Institutionen, Wirtschaft und Dienstleistungen für die Bevölkerung so wichtig sind. Die Entscheidung für Stormshield ist eine Entscheidung für eine vertrauenswürdige Cybersicherheit in Europa.
Weitere Informationen unter: stormshield.com/de/
Stormshield
22, rue du Gouverneur Général Éboué
F92130 Issy-les-Moulineaux
Telefon: +49 (89) 8091 3578 – 0
Telefax: +33 (3) 206196-39
https://www.stormshield.com/de
Pressestelle
Telefon: +49 (30) 5600.7954
E-Mail: press@sabcommunications.net