Die Sicherheit vernetzter Geräte prüfen

Mit der fortschreitenden Digitalisierung und der steigenden Vernetzung nehmen die Angriffsflächen für Cyberkriminelle zu. In den letzten Jahren haben die Risiken durch Schadsoftware vergleichsweise grosse Aufmerksamkeit erhalten, während die Risiken in der Beschaffungskette tendenziell unterschätzt wurden. Eine Manipulation der Sicherheitseigenschaften vernetzter Geräte kann jedoch entlang der gesamten Beschaffungs- und Wertschöpfungskette passieren: bei der Entwicklung von Chips, bei der Herstellung und Integration von Komponenten sowie während des Transports zum Händler oder Endabnehmer. Manipulationen von Hard- und Firmware sind äusserst schwierig erkennbar, da integrierte Fehlfunktionen und Hintertüren oft erst nach der Auslieferung aktiviert werden und durch eingebaute «Prüfstandsmodi» in Testsituationen nicht ansprechen. Erschwerend kommt die stetig steigende Komplexität von Prozessoren und Systemen hinzu, welche die Bedrohung in Richtung des Designs dieser Komponenten verlagert.

Nationale Produktprüfungen für eine höhere Cybersouveränität

Abgesehen vom Datenschutz gibt es im Cyberbereich kaum verbindliche und rechtsgültige Normen, welche Sicherheit und Integrität von Produkten gesetzlich regeln. Anders ist es in kritischen Industriesektoren wie der Medizinaltechnik, wo Qualitätsprüfungen durch unabhängige Stellen fester Bestandteil der Produktzulassung sind. Der Bedarf für unabhängige und effektive Prüfungen digitaler Produkte dürfte künftig sowohl in der Industrie, bei Behörden, der Polizei und der Armee steigen. Um nicht – wie in anderen Disziplinen – von ausländischen Partnern abhängig zu sein, ist es wichtig, dass die Schweiz eigene Prüfkapazitäten aufbaut. Bei ihrer Arbeit ist die Expertengruppe unter anderem folgenden Fragen nachgegangen:

• Welche Gründe sprechen für die Prüfung von cyberphysischen Komponenten?
• Wie operieren Prüfinstitute im Ausland?
• Wer lässt prüfen bzw. sollte prüfen lassen?
• Was soll geprüft werden?
• Wie soll geprüft werden?
• Wie könnte ein Prüfinstitut in der Schweiz organisiert sein?

Grosses Feld möglicher Prüfobjekte

Ein Schweizer Prüfinstitut müsste grundsätzlich im Auftrag von Herstellern, Lieferanten sowie im Interesse der Verbraucher die Qualität der Prüflinge in Bezug auf die Sicherheit prüfen. Die Beispiele von Cyber-Prüfinstanzen im benachbarten Ausland zeigen, dass die Nachfrage der Hersteller und Lieferanten wesentlich von staatlichen sowie internationalen Vorschriften abhängt. Das mögliche Feld der zu prüfenden Produkte ist jedoch immens: es kommen alle netzwerkfähigen Geräte in Frage. Eine strikte Unterscheidung zwischen Hard- und Software-Produkten ist oft nicht zielführend, da sich insbesondere im Zusammenspiel (z.B. in der Firmware) Sicherheitslücken ergeben können. Die Expertengruppe schlägt u.a. vor, sich bei der Auswahl der Prüfobjekte auf die Kritikalität zu fokussieren. Diese bemisst sich am erwarteten Schaden bei Manipulation oder Ausfall des Prüfobjekts bzw. an dessen wirtschaftlicher und sicherheitspolitischer Bedeutung. Allerdings können auch für sich genommen unkritische Komponenten missbraucht werden, um kritische Komponenten anzugreifen. So kann etwa ein Botnetz mit kompromittierten IoT-Klimageräten und -Heizungen (als einzelne Geräte unkritisch) die Stromversorgung einer ganzen Region bedrohen.

Prüfung nach vordefiniertem Prozess

Die Expertengruppe fordert, dass Prüfvorgänge einem wohl definierten Prozess folgen und einer strikten Dokumentationspflicht unterliegen. Die zu jedem Auftrag erforderliche Spezifikation soll regeln, welche Fragen Bestandteil der Prüfung sind und ob die Existenz bekannter Schwachstellen geprüft wird oder grundlegende Auffälligkeiten untersucht werden. Zu den grundlegenden Fragen zählt unter anderem die Einhaltung von Security-by-Design und Security-by-Default. Ein Verweis auf existierende Standards ist möglich. Die Spanne der Prüfungen reicht von grundlegenden Prüfungen, die sich idealerweise automatisieren lassen, bis hin zu hochspezialisierten Prüfungen, die oft forschungsnah sind und aufwendige Geräte, spezialisiertes Material und Spezialwissen erfordern. Die Tests der Prüfinstanz sollten typischerweise zumindest folgende Punkte beinhalten:

• Review von Source Code (sofern verfügbar)
• Review von Konfigurationen und Einstellungen (sofern sichtbar)
• Analyse von Soft-, Firm- und Hardware (falls nötig durch Reverse Engineering)

Nachbarländer als Vorbilder

Die Experten gehen davon aus, dass die Prüfung vernetzter Geräte in der Schweiz ähnlich organisiert sein sollte wie in anderen Ländern. Das Institut funktioniert dabei als Instanz, die Prüfungen organisiert und autorisiert und dabei mit anerkannten Prüfstellen bzw. Labors zusammenarbeitet. In diesem Modell, das jenem des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) oder der französischen Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) entspricht, ist das Prüfinstitut eine normativ ausgerichtete Audit- und Controlling-Stelle. Es könnte institutionell im Umfeld der Branchenorganisationen angesiedelt werden. Dazu werden von den bisherigen Initianten (ICTswitzerland und Zuger Initiative) rasch Verhandlungen mit den Organisationen aufgenommen, wo sinnvoll unter Einbezug des Bundes. Eine gemischtwirtschaftliche Finanzierung (Public-Private-Partnership) mit u.a. Bund, vertreten durch das nationale Zentrum für Cybersicherheit (NCSC), den Hochschulen, grossen Tech-Firmen, der Schweizer Akkreditierungsstelle (SAS), scheint angesichts der vielen Stakeholder möglich. Im Rahmen eines Pilotprojektes mit zunächst beschränkten Mitteln wird nun der Aufbau einer Prüfinstanz evaluiert. Die dabei gewonnenen Erfahrungen werden eingebracht, um später eine nationale Umsetzung mit grösseren Kapazitäten und breiterem Angebot zu ermöglichen, sowie längerfristig eine internationale Ausrichtung anzustreben.