Schlagwort-Archive: Zertifizierung

Unterschätzte Risiken: Gütesiegel

Immer wieder wird der Ruf nach mehr Gütesiegeln und Zertifizierung für mehr IT-Sicherheit laut. Nachdem beispielsweise Anfang des Jahres ein Jugendlicher beim Doxxing mehr oder minder bekannter Personen erwischt wurde, fand sich in der unvermeidlich folgenden Wunschliste des Innenministeriums nach neuen Gesetzen und Befugnissen auch die Forderung nach Gütesiegeln für IT-Sicherheit. Reaktion auf den Anlass war dabei wie üblich nur die Erstellung des Wunschzettels; die Idee und Forderung als solche hatte man zuvor bereits in der Schublade liegen.

Für die Wirtschaft sind Gütesiegel attraktiv, weil sie Prüfern Aufträge bringen und Herstellern selten wehtun, vor allem den größeren nicht. Kleine und junge Unternehmen tun sich zuweilen schwer mit der Zertifizierungsbürokratie, große und alte haben dafür ihre Spezialisten oder heuern Berater an. Doch einen Nutzen sollte man von Gütesiegeln nicht erwarten.

Dies hat zum einen inhaltliche Gründe: Es gibt keine kleine, universelle und vollständige Checkliste für IT-Sicherheit, die man in einer Prüfung abhaken könnte. Jedes Gütesiegel braucht einen Kriterienkatalog, damit seine Aussage spezifisch wird. Darauf werden insbesondere die Prüfer bestehen, denn je konkreter ihre Prüfaufgabe beschrieben ist, desto geringer wird das Risiko, dass ihnen später jemand Versäumnisse vorwirft. Doch Sicherheitsanforderungen sind notorisch schwer zu fassen. Der Versuch, sie in Kataloge zu packen, endet entweder mit oberflächlich-unvollständigen Prüfungen wie im Fall des Safer-Shopping-Siegels, oder er bringt Konvolute vom Umfang des Grundschutz-Kompendiums hervor, die noch das unbedeutendste Detail bis hin zur möglichen Verschmutzung eines häuslichen Arbeitsplatzes erfassen.

Die Aussagekraft jedes Gütesiegels bleibt deshalb beschränkt. Obendrein kann ein Zwang zur Zertifizierung spezifischer Maßnahmen sinnvolle Entwicklungen bremsen oder die Implementierung beziehungsweise Beibehaltung veralteter und unnötiger Funktionen erfordern. Ein aktuelles Beispiel liefert die EU-Zahlungsdiensterichtlinie PSD2 mit ihrer Forderung nach „starker Kundenauthentifizierung“. Sie führte beispielsweise dazu, dass Sparkassenkunden bei Kreditkartenzahlungen im Netz eine Runde durch die schwerfällige App S-ID-Check drehen müssen – und dabei noch nicht einmal die konkrete Zahlung autoriesiert, sondern tatsächlich nur eine komplett nutzlose Zwei-Faktor-Authentifektion zelebriert wird.

Das andere große Problem der Zertifizierung liegt in kontraproduktiven ökonomischen Anreizen, die sich aus den typischen Akteurskonstellationen ergeben. Oft werden Prüfer von den Herstellern oder Betreibern beauftragt und bezahlt, die ein Gütesiegel erwerben möchten. Dies gibt den Prüfer einen Anreiz, die Interessen ihres Auftraggebers zu berücksichtigen, denn wo die Auswahl zwischen mehreren Prüfern besteht, zahlt es sich nicht aus, unter ihnen der strengste zu sein. Wohin solche Fehlanreize in letzter Konsequenz führen, zeigt der Dammbruch von Brumadinho in Brasilien in Januar 2019. Dieser Damm war erst wenige Monate vor seinem Bruch mit 250 Todesopfern trotz bekannter Mängel für sicher erklärt worden. In der Folge diskutiert man jetzt, inwieweit ein vom Betreiber des Damms direkt beauftragter Prüfer objektiv urteilen kann und erwägt, künftig die Aufsichtsbehörden zum Auftraggeber zu machen.

Von Gütesiegeln für IT-Sicherheit dürfen wir daher wenig erwarten. Bestenfalls schaffen sie sie ein paar Arbeitsplätze für Sicherheitsbürokraten, alles darüber hinaus wäre eine Überraschung.


PS: Der Vortrag FreeBSD and the absurdities of security compliance von Eirik Øverby auf der EuroBSDcon gibt Einblicke in die praktischen Schwierigkeiten der Sicherheitszertifizierung. (2019-10-29)

PPS: Der Deutschlandfunk bringt noch einen längeren Beitrag zum Prüfwesen: Der ramponierte Ruf des TÜV-Siegels. (2019-10-30)

Eine Runde TÜV-Bashing

Was der TÜV – eigentlich die TÜV, denn unter dieser Dachmarke macht sich ein etwas unübersichtliches Firmengeflecht breit – so alles zertifiziert, wissen aufmerksame Leserinnen dieses Blogs bereits. Die technische Seite habe ich damals nicht explizit diskutiert. Das nimmt mir jetzt ein anderer ab und schafft es bis in den Heise-Ticker mit dem Hinweis: TÜV-Siegel schützt nicht vor Cross Site Scripting. Damit haben wir schon zwei Dinge beisammen, vor denen ein TÜV-Siegel nicht schützt, ausnutzbare Fehler in der Technik und zweifelhafte Geschäftsmodelle. Geht da noch was?

Klar geht da noch was. Vor bekloppten Konzepten schützen TÜV-Siegel nämlich auch nicht. Bekloppte Konzepte, damit meine ich zum Beispiel die Idee, irgendeiner Wald-und-Wiesen-(bzw. Titten-und-Schwänze-)Website zur Altersverifikation ausgerechnet die PIN vom Online-Banking auszuhändigen. Darf’s vielleicht noch eine TAN-Liste sein? Sofortident nennt sich dieses Verfahren und dahinter steckt dieselbe Firma, die sich bereits die Sofortüberweisung nach ähnlichem Schema ausgedacht hat. Technisch gesehen geht die PIN nicht an die Titten-Website, sondern an Sofortident, aber der Sicherheitsgewinn dadurch ist marginal. Und wer pappt sein Siegel drauf? Einer von den TÜVs natürlich:

Sofortident mit TÜV-Siegel

Formal ist das sicher alles korrekt, der TÜV hat ja nur den Datenschutz (== die Einhaltung gesetzlicher Anforderungen an die Erhebung und Verarbeitung personenbezogener Daten) geprüft und mehr wird nicht behauptet. Das macht es aber noch lange nicht zu einer guten Idee, Leuten beim Pornogucken die Banking-PIN abzuknöpfen. Selbst wenn die Sofortler ihre Technik im Griff haben und sich an ihre Zusicherungen halten, wogegen es derzeit keinerlei Anhaltspunkte gibt, bleiben zwei Probleme. Erstens vermischt das Verfahren, ähnlich wie Giropay, Kontexte, die man besser getrennt hält. Online-Banking und Altersverifikation haben nichts miteinander zu tun und das Online-Banking ist hinreichend sensibel, um dabei zu bleiben.

Zweitens gewöhnt es den eifrigen Nutzer daran, seine Banking-PIN bei allen möglichen Gelegenheiten zu allen möglichen Zwecken einzusetzen. Das kann auch dann zum Problem werden, wenn aus ganz anderen Gründen ein Schaden eintritt, etwa wenn sich der Sofort*-Nutzer eine Schadsoftware einfängt und daraufhin Geld von seinem Konto verschwindet. Wenn die Bank dann erfährt, was ihr Kunde mit seiner PIN so alles getan hat, dürfte ihr Kulanz schwer fallen. Ein TÜV-Siegel macht dann auch keinen Eindruck.

S@fer Gambling, TÜV-geprüft

»Mit TÜV-geprüfter Qualität, Sicherheit und Transparenz ist http://www.swoopo.de in hohem Maße vertrauenswürdig.« Das bestätigt der TÜV Süd mit einem S@fer-Shopping-Zertifikat. Geprüft wurden dafür Usability, Datenschutz und Prozesse beim Händler. Handelt es sich also um einen empfehlenswerten und vertrauenswürdigen Dienst? Kommt drauf an.

Jede Zertifizierung funktioniert so, dass man erst einen Rahmen festlegt und sich dann innerhalb dieses Rahmens anschaut, ob die festgelegten Kriterien erfüllt sind. Anders geht es auch nicht, denn sonst würde die Sache ausufern. Außerhalb des Rahmens liegt beim S@fer-Shopping-Siegel zum Beispiel das Geschäftsmodell. Das Geschäftsmodell von Swoopo erläutert Jeff Atwood in seinem Blog Coding Horror unter dem deutlichen Titel: Profitable Until Deemed Illegal.

Nun, amtlich für illegal befunden hat die Sache bis jetzt offenbar niemand, und von mir aus soll jeder sein Geld lassen wo er mag. Sich bei seiner Entscheidung allein auf hübsche Siegel vom TÜV zu verlassen, ist allerdings keine gute Idee. Man muss schon immer noch nachdenken und verstehen, was man da eigentlich tut. Dank der TÜV-geprüften Transparenz kann ja jeder nachlesen, womit er es zu tun hat.

So funktioniert Zertifizierung

Ich hatte hier versprochen, gelegentlich zu erläutern, wie Zertifizierung und Prüfsiegel funktionieren. Jetzt bietet sich eine Gelegenheit. Frau Neudecker von der Zeit hat diesen unscheinbaren Gegenstand ausgegraben, der auf den schönen Namen Peloop hört. Die Leistungsbeschreibung liefert sie gleich mit:

»Im Peloop ist nämlich ein Magnet, der “ein magnetisches Feld rund um die Peniswurzel bildet, dort wo das Blut in den Penis fließt.”

Dann ist darin noch “Turmalin und Germanium” enthalten (öh, sagt der Hersteller), die “negative Ionen absondern”, und “ferne Infrarotstrahlen” gibt das Ding auch noch ab. Ja, klar.

Was all das bewirken soll? Es verbessert “das Blut im Inneren des Penis”.«

Das ist – im Zusammenhang – offensichtlicher Nonsens. Falls das Ding eine nennenswerte Wirkung hat, dann dürfte diese Wirkung allein auf mechanische Einflüsse  zurückzuführen sein und nicht auf die oben genannten Eigenschaften oder die leuchtend gelbe Farbe. Das versteht jedes Kind, so es denn mit solchen Sachen spielen darf. Dennoch bietet sich hier ein weites Feld für sorgfältige Prüfungen, die allesamt handfeste, unzweifelhafte Ergebnisse liefern, ohne je die entscheidenden Fragen zu stellen. Und das geht so. So funktioniert Zertifizierung weiterlesen

Tausendmal studiert, tausendmal doch nichts kapiert

[Dieser Eintrag sollte eigentlich ein weiterer Kommentar zur Helmdiskussion hinterm Mond werden. Wie mir erst hinterher auffiel, hat mich die gestrenge Hausherrin dort wegen ungebührlicher Rhetorik nun offenbar endgültig verbrannt und damit im Vorbeigehen gleich noch ihre selbstgestellte Frage beantwortet, ob Wissenschaft ein Glaubenssystem sei: ja natürlich, in der dort betriebenen Form schon, davon zeugt unter anderem der unbedingte Wille, die vermeintliche Gotteslästerung mit szenetypischen Mitteln zu bekämpfen. Q.e.d. Mit ein wenig Abstand geht ja vielleicht auch den anderen Beteiligten auf, dass diese Diskussion in vielem selbstbezüglich ist.]

Was ich bei Ihnen vermisse, Frau Carone, ist die Bereitschaft, Vermutungen, Erkenntnisse, Beobachtungen und anderes zu Schlussketten zu ordnen und diese dann insgesamt zu bewerten. Ihnen genügt es, dass Studien existieren und Sie verlassen sich darauf, dass die dann schon etwas bedeuten werden, und dass dieses Etwas auch Ihren Vermutungen entspricht. Ich versuche seit geraumer Zeit, mit Ihnen darüber zu diskutieren, ob das Tragen eines Styroporhutes beim Radfahren Ihre Chancen auf Weitergabe Ihrer Gene nennenswert erhöht. Sie sind es, die jede vernünftige Diskussion über die relevante Frage verweigert, sich statt dessen auf zweifelhaftes Stückwerk stützt und keinen Zweifel zulässt. Tausendmal studiert, tausendmal doch nichts kapiert weiterlesen