Aktuell wird über die digitale Souveränität Europas im Cybersicherheitsumfeld und das plötzliche Interesse an der Arbeit der nur in wenigen EU-Ländern vorhandenen nationalen IT-Sicherheitsagenturen oder -Behörden diskutiert.
In diesem Zusammenhang denkt Stormshield über die Anforderungen und den Arbeitsaufwand für die Qualifizierung von Sicherheitsanbietern und über die Bedeutung dieses Verfahrens am Beispiel der französischen ANSSI nach.
In letzter Zeit wurde viel über die Cybersicherheit „made in Europe“ berichtet, wobei öfters die Leistung der nationalen Sicherheitsbehörden für Informationssysteme hervorgehoben worden ist. Als Beispiel wird insbesondere die Arbeit der französischen ANSSI und des deutschen BSI als nachahmenswert in Ländern ohne eine solche Behörde angeführt. Stormshield, europäische Referenz im Bereich Cybersecurity, rühmt sich mit der ANSSI-Qualifikation für seine Lösungen und beleuchtet mit Marco Genovese, Presales-Specialist für die Industrial-Business-Line, einige potenziell unklare Punkte für diejenigen, die nicht genau wissen, was die ANSSI-Qualifikation tatsächlich beinhaltet.
Zertifizierung und Qualifizierung: Der Code muss übergeben werden
„Zunächst einmal gibt es einen großen Unterschied zwischen der Zertifizierung (die ANSSI „CSPN“ oder „Sicherheitszertifizierung der ersten Stufe“ nennt) und der Qualifizierung“, beginnt Genovese. Im Fall der CSPN-Zertifizierung wird das Produkt als Blackbox betrachtet. Es wird nicht auf den Code oder auf Produktionsverfahren eingegangen, sondern überprüft, ob die Angaben im Benutzerhandbuch wahrheitsgetreu sind. Dazu zählen etwa offene Ports, die eigentlich geschlossen sein sollten, und ähnliche Ungereimtheiten.
Bei der Qualifizierung eines Cybersicherheitsproduktes hingegen geht es um die Funktionen, den Code und den gesamten Produktionsablauf. Die ANSSI analysiert nicht nur das Produkt, sondern schreibt dem Anbieter auch die Entwicklung bestimmter Funktionen vor, die sie für die Gewährleistung der Sicherheit sensibler Netze für unverzichtbar hält. Beispielhaft sei hier die Implementierung bestimmter Verschlüsselungsalgorithmen genannt. Außerdem müssen veraltete Funktionen oder Algorithmen, die versehentlich oder missbräuchlich eingesetzt werden könnten, entfernt werden oder wenigstens sperrbar sein.
Doch nicht nur das: „Der Code der Lösung muss an die Behörde geliefert werden, weshalb viele Anbieter vor der Qualifizierung zurückschrecken“, erklärt Genovese. Sind Teile des Codes angreifbar, sucht ANSSI eine Lösung mit dem Anbieter. Diese Interaktion findet auch dann statt, wenn ANSSI der Ansicht ist, dass Teile des Codes besser geschrieben werden könnten. Die Agentur analysiert darüber hinaus den gesamten Fertigungsprozess und empfiehlt bewährte Verfahren, woran sich der Anbieter bei der Überprüfung der Korrektheit und Qualität des entwickelten Codes orientieren soll.
Zu guter Letzt kann die ANSSI die Qualifizierung jederzeit widerrufen, falls die Lösungen nach ihrer Qualifizierung Schwachstellen aufweisen, die nicht kurzfristig durch Workarounds oder Fixes behoben werden können.
Ein Prozess mit erheblichen Implikationen für die Anbieter
Dieses Verfahren ist zwar nur in groben Zügen umrissen, hat aber bedeutende Auswirkungen auf einen Anbieter.
Die Analyse des Codes einer Lösung nimmt mindestens ein Jahr in Anspruch. „Nehmen wir unsere Geräte als Beispiel: Allein der Konfigurationsassistent für die Version 3 unserer Firmware besteht aus 10.000 Codezeilen“, sagt Genovese. „Während der Analyse kann die ANSSI verlangen, dass ein Teil dieses Codes aus Sicherheitsgründen geändert und anschließend einer erneuten Prüfung unterzogen wird, was die für die Analyse erforderliche Zeit weiter verlängert.“
Ein weiteres Merkmal der Qualifizierung ist, dass sie an die von ANSSI geprüfte Hard- und Firmware gebunden ist. Somit ist das Hardware-Modell A mit der Firmware-Version B qualifiziert. Wird ein Upgrade auf Version C durchgeführt, ist das Produkt nicht mehr qualifiziert.
All dies bedeutet, dass ein Hersteller seinen gesamten Fertigungsprozess, seinen Produktlebenszyklus und sogar seine Logistik und Bevorratung anpassen muss. Ziel ist es, bestimmte Plattformen über längere Zeiträume zu unterstützen als die normalen Lebenszyklen eines nicht qualifizierten Sicherheitsproduktes.
Darüber hinaus ist der Gesamtablauf äußerst aufwendig und bedingt auch Änderungen der Roadmap. Genovese erklärt die Konsequenzen ganz klar: „Das Verfahren ist weder mit den typischen Niedrigpreis-Ausschreibungsverfahren noch mit abstrusen Buzzword-orientierten magischen Quadranten, Spiralen oder Dreiecken kompatibel. Als Anbieter ist man verpflichtet, Ressourcen in Sicherheitsfunktionen zu investieren, die auf den ersten Blick keine Highlights zu sein scheinen, bis man plötzlich Military-Grade-Lösungen wie die unseren benötigt oder eine schwerwiegende Schwachstelle in Wettbewerbsprodukten aufgedeckt wird. In solchen Fällen ist man dafür dankbar, mehr Ressourcen in die Abhärtung der Lösungen und weniger in Marketing-wirksame Cyberlappalien investiert zu haben.“
Ein zu vermittelnder Mehrwert
Trotz dieser Aspekte stellt ein gut von einer nationalen Sicherheitsbehörde durchgeführtes Qualifizierungsverfahren einen unbestrittenen Mehrwert dar, insbesondere wenn das zu diskutierende Thema echte Cybersicherheit ist. Nationale Behörden oder Agenturen wie die ANSSI oder das BSI, die Richtlinien vorgeben, sind daher zu begrüßen. Der Mehrwert einer solchen Qualifizierung muss jedoch auch vom Kunden wahrgenommen werden. Andernfalls verlieren die Unternehmen, die sich auf einen solchen Prozess einlassen, an Wettbewerbsfähigkeit. Selbst in Frankreich gibt es trotz der enormen Aufklärungsbemühungen der ANSSI immer noch zahlreiche Unternehmen, die mehr auf Preis und „Pailletten“ als auf den Inhalt achten. Hingegen sollte man in der Lage sein, die Richtlinien der Zertifizierungsstelle zu befolgen und den Wert der damit verbundenen Arbeit zu erkennen.
Die von Genovese erwähnten Aktivitäten sind nur ein kleiner Teil der Aufgaben der ANSSI. So veröffentlicht ANSSI zum Beispiel auch Merkblätter über den richtigen Einsatz qualifizierter Technologien. „Denn man kann die sicherste Lösung der Welt erwerben, aber wenn man sie oberflächlich einrichtet, lohnt sich die Anschaffung kaum“, so Genovese abschließend.