Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Security Concept

Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI) fordert die jahrzehntelange Unsicherheit marktgängiger PC- und Server-Prozessoren endlich zu beenden.

Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI) sieht grundlegende Defizite bei der Informationssicherheit in Europa: Vertraulichkeit, Integrität und auch Verfügbarkeit der Daten von Behörden, Unternehmen und Privatpersonen sind nach wie vor nicht gewährleistet. Zahllose Sicherheitslücken sind Einfallstore für erfolgreiche Angriffe auf Daten und digitale Infrastrukturen.

Prof. Dr. Hartmut Pohl, Sprecher des GI-Präsidiumsarbeitskreises „Datenschutz und IT-Sicherheit“, warnt davor, die Erfahrungen der Vergangenheit zu ignorieren: „Die Erkenntnisse der letzten 18 Jahre zeigen, mit welchem Aufwand und Erfolg Spionage und Sabotage in Industrie und Politik international betrieben werden. Dazu zählen etwa der Echelon-Bericht des Europäischen Parlaments (2001), die Enthüllungen Edward Snowdens (2013) und viele weitere. Sie zeigen: Zum Eindringen in IT-Systeme werden nicht nur versehentlich entstandene, sondern auch gezielt eingebaute Sicherheitslücken genutzt: Hintertüren in Software, Firmware und Microcode.“

So sind mindestens seit 2009 in den meisten marktgängigen Prozessoren integrierte Mikrocontroller ('engines') verbaut, deren Firmware unzulänglich dokumentiert oder unveröffentlicht ist. Diese Firmware ist komprimiert und signiert und kann unter Umgehung des Hauptprozessors von Dritten – auch bei ausgeschaltetem Computer - aktiviert werden, ohne dass der Anwender etwas davon bemerkt. Die Firmware kann uneingeschränkt auf alle verbundenen Geräte und Komponenten zugreifen und (undokumentiert) Daten verschlüsselt mit dem Internet austauschen. Darüber hinaus tauschen gängige Betriebssysteme permanent Daten mit ihrem Hersteller aus, ohne dass sich dies vollständig unterdrücken lässt. Auch der Inhalt dieser Daten lässt sich nur zum Teil überprüfen.

Somit haben wir es fast immer mit Systemen zu tun,

  • die zahlreiche - bekannte und unbekannte - Sicherheitslücken enthalten und
  • deren Funktionsumfang also unklar und vom Anwender prinzipiell nicht vollständig kontrollierbar ist.

Prof. Dr. Hartmut Pohl warnt vor den möglichen Folgen dieser Sicherheitsversäumnisse: „Das aktuelle Schadenspotential reicht von der Manipulation demokratischer Wahlen zur politischen Destabilisierung über das Ausspähen von Unternehmensgeheimnissen bis zur Manipulation industrieller Prozesse.“

Die Verbesserung der IT-Sicherheitslage erfordert weit mehr als die Veröffentlichung von Sicherheitslücken, die Behörden, Unternehmen oder Privatpersonen bekannt geworden sind. Es reicht auch nicht aus, die Verheimlichung von Sicherheitslücken unter Strafe zu stellen. Solche reaktiven Maßnahmen sind zwar unverzichtbar; sichere IT-Infrastrukturen können aber letztlich nur durch eine proaktive Vorgehensweise erreicht werden: Hardware, Firmware, System-Software, Anwendungen und Netzkomponenten, Sicherheitssoftware u.a. müssen frei von Sicherheitslücken, insbesondere frei von Hintertüren entwickelt werden.

„Die Bedeutung der IT-Sicherheit ist dem Gesetzgeber zwar grundsätzlich bewusst; mit dem IT-Sicherheitsgesetz ist auch ein erster richtiger Schritt der Absicherung vollzogen. Allerdings werden Geräte und Programme international u.a. von den Herstellern grundlegend (inhärent) mit Sicherheitslücken für Spionage- und Sabotagezwecke ausgerüstet, die Sicherheitsmaßnahmen wirkungslos werden lassen. Dies wird von den Nachrichtendiensten der meisten Staaten und der weltweiten Organisierten Kriminalität seit Jahren zu erfolgreichen Angriffen ausgenutzt.“, so Prof. Dr. Hartmut Pohl.

Die Aussichten auf wirksame internationale Vereinbarungen für eine politisch-rechtliche Lösung erscheinen derzeit gering angesichts der auf internationaler Ebene massiv verfolgten geostrategischen Interessen mächtiger Akteure. Nur ein durch angemessene Industriepolitik und volkswirtschaftlich-strategische Maßnahmen vorangetriebener massiver Aufbau und Ausbau eigener Hard- und Softwareherstellung in Deutschland und der EU ermöglicht sicherere Systeme.

Vor dem Hintergrund der aktuellen Lage stellt der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ klare Forderungen an die Politik: „Als GI fordern wir massive Anstrengungen zur Erreichung digitaler Souveränität der Bundesrepublik und der in der EU verbundenen Staaten. Das gilt für Behörden, Unternehmen und Privatanwender gleichermaßen. Dazu ist proaktiv eine eigenständige europäische Entwicklung und Produktion sicherer Systeme (Computer: Hardware und Software) unverzichtbar, die vollständig dokumentiert von allen Anwendern nachvollziehbar keine Überwachungsmöglichkeiten enthalten. Damit würde sich Europa darüber hinaus in eine sehr starke Wettbewerbssituation bringen. Insgesamt eine Aufgabe, die gerade vor dem Hintergrund der aktuellen Herausforderungen der EU ein neues Gemeinschaftsgefühl schaffen könnte.“

www.gi.de
 

GRID LIST
Notfall Knopf

Die Zeit läuft: Worauf es bei der Notfallreaktion ankommt

Wie bei jedem Notfall – Feuer, Herzinfarkt oder Verkehrsunfall – spielt auch bei…
Torhüter FCA

Torhüter der IT – der FC Augsburg setzt auf „Made in Augsburg"

Der 1907 gegründete Traditionsverein FC Augsburg (FCA) nutzt zur Verwaltung seiner…
Tb W190 H80 Crop Int A03eb03b6c06e9e89dbea9d04fe772e2

IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

Moderne IT-Security muss einerseits die Herausforderungen der digitalen Transformation…
Hand hält Wolke mit Schloss

Forcepoint Next Generation Firewall

Evasion-Techniken bilden eine besondere Gefahr für die IT-Sicherheit in Unternehmen.…
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…