Zertifikate im IT-Bereich haben keine Aussage und sind ihr Geld nicht wert!

Zertifikat cc-by-nc-sa von ChuckumentaryDie neue Personalausweis-APP hat nicht mal einen Tag durchgehalten und schon wurden gravierende Sicherheitslücken gefunden. Dabei war der Hersteller der APP nach Common Criteria EAL4+ zertifiziert. Klingt wichtig und hat überhaupt nicht zur Steigerung der Sicherheit in der Anwendung beigetragen. Was bringen solche Zertifikate dann, wenn sie die Sicherheit nicht steigern, außer Kosten, die dann wieder die Kunden tragen müssen?

Auch Banken lassen ihre Online-Banking-Webseiten zertifizieren und trotzdem findet man immer wieder simpelste Sicherheitslücken in den Anwendungen. Ein 16-Jähriger Schüler konnte bei vielen Banken einfachste bekannte Sicherheitslücken feststellen.

Die vielen Online-Shops schmücken sich auch gerne mit Zertifikaten, die dem Kunden signalisieren sollen, dass man hier sicher einkaufen kann. Das Zertifikat sagt aber lediglich aus, dass der Shop einmal bei der Erteilung die Richtlinien des Zertifikats erfüllt hat. Überprüfungen ob diese Richtlinien später auch noch eingehalten werden, finden wenn überhaupt nur Stichprobenartig statt. Natürlich bekommt der Zertifizierer mit, wenn sich die Beschwerden gegen einen Shop häufen. Er steckt dann aber in einer Zwickmühle. Zieht er das Zertifikat zurück, kann er vom Shop-Betreiber wegen Geschäftsschädigung verklagt werden. Also hält der Zertifizierer erst einmal die Füsse still, weil im Kleingedruckten eine Haftung für ihn sowieso ausgeschlossen ist.
Shop-Betreiber mit betrügerischen Absichten haben also leichtes Spiel. Sie erfüllen die Kriterien des Zertifikats und arbeiten ein paar Monate völlig normal. Dadurch gewinnen sie das Vertrauen der Kundschaft. Später wird dann der Service schrittweise zurückgefahren. Neukunden vertrauen dem Zertifikat und sind dann überrascht, wenn der Service nicht wie erwartet abläuft.

Warum es Zertifikate gibt ist klar. Sie gaukeln Sicherheit vor und man kann mit dieser Dienstleistung Geld verdienen. Warum machen aber Zertifikate die Software oder Dienstleitung nicht sicherer?

Zum einen ist ein Arbeitsplatz bei einem Zertifizierer für einen überragenden IT-Experten uninteressant. Man hat dort starre Arbeitszeiten und muss nach Schema-F Testfälle abarbeiten. Dadurch bekommt man dann auch nur Mitarbeiter, die dies können. Bei der Suche nach Softwarefehlern muss aber durchaus ein wenig kreativ vorgegangen vorgegangen werden. Man braucht schon die eher etwas negative Charaktereigenschaft, sich über die Fehler von anderen zu freuen und auch mal ungewöhnlich gemeine und fiese Sachen auszuprobieren. Wenn man nur Testfälle abarbeitet, wo am Ende ein grünes Lämpchen leuchtet und pünktlich Feierabend gemacht wird, dann findet man auch nur das, was die Testfälle abdecken. Es werden aber täglich neue Angriffsverfahren entwickelt, sodass man die Testfälle ständig anpassen müsste. Dazu sind die Zertifizierer werden personell noch finanziell in der Lage.

Zu guter letzt muss man natürlich auch noch einwenden, dass es eine 100% Sicherheit bei Software niemals geben wird. Das ist eine ganz einfache wirtschaftliche Rechnung. Nehmen wir an man hätte unendlich viel Geld und Zeit, dann könnte man die zu 100% sichere Software entwickeln. In der Realität sind die Ressourcen Zeit und Geld aber begrenzt. Man versucht also so viele Fehler wie möglich zu finden, um die Software wirtschaftlich betreiben zu können.

Jeder IT-Experte weiß, dass unter diesen Voraussetzungen immer wieder, egal mit welchen Zertifikat, schlimme Fehler übersehen werden. Um so erstaunlicher ist das Vertrauen der Projektverantwortlichen in die Software. Unser Innenminister Thomas de Maizière ließ sich vor der Presse zu folgender Äußerung hinreißen:

Irgendwelche Hacker mögen immer irgendwas hacken können, aber die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.

Solches ungerechtfertigtes, fahrlässiges und blindes Vertrauen führt dann dazu, dass man später vor Gericht den Missbrauch nachweisen muss. Weil die Aussage des Innenministers nicht in Frage gestellt wird…

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

Subscribe without commenting