Nicht nur der Bundesinnenminister ist besorgt: Software ist zu unsicher. Jetzt glaubt der Computerhersteller Fujitsu etwas entwickelt zu haben, das Abhilfe schafft.
Die Vorwürfe im jüngsten Jahresbericht zur IT-Sicherheit wiegen schwer – und erhoben werden sie von Bundesinnenminister Thomas de Maizière (CDU) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Sie richten sich gegen die großen amerikanischen Software-Hersteller: „Die Anzahl kritischer Schwachstellen in Standard-IT-Produkten hat sich gegenüber den bereits hohen Werten in den Vorjahren im Jahr 2015 noch einmal massiv erhöht“, heißt es in dem Bericht, der vor einigen Tagen zum nationalen IT-Gipfel in Berlin vorgestellt worden ist. Weil einige Software-Hersteller aber immer langsamer oder – bei älteren Produkten – gar keine Sicherheits-Updates anböten, zeigte sich de Maizière offen für die Prüfung von Schadensersatzansprüchen.
Hintergrund ist, dass einige Unternehmen laut BSI wegen des wachsenden internationalen Wettbewerbsdrucks dazu übergehen, sich bei Schwachstellen, die nicht als gravierend erachtet werden, immer mehr Zeit dabei lassen, die Nutzer auf Gefahren hinzuweisen und ihnen Updates für die Beseitigung der Schwachstellen anzubieten. Dies schaffe angesichts der Nutzung der Standardprodukte wie zum Beispiel Internetbrowsern immer mehr Angriffsflächen für Cyber-Attacken, sagte BSI-Präsident Michael Hange. Die Gefährdungslage im Bereich Software schätzt das dem Bundesinnenministerium unterstehende BSI deshalb als hoch ein. Besonders schlecht schneiden in der BSI-Aufstellung für kritische Schwachstellen die Produkte Adobe Flash, Microsoft Internet Explorer, Apple Mac OS X und Microsoft Windows ab.
Und nicht erst seit der Vorlage des Berichts stellt sich die Frage: Was kann man dagegen tun? Der in dieser Zeitung vor einigen Tagen geäußerte Gedanke, angesichts der löchrigen und schlecht programmierten Software brauche die neue digitalisierte Welt möglicherweise ein völlig neu zu programmierendes, von Grund auf sicheres Betriebssystem (F.A.Z. vom 20. November), wird von manchen Fachleuten als vielleicht wünschenswert, aber unrealistisch erachtet. Praktikabler erscheint vielen von ihnen eine softwarebasierte, vom Betriebssystem unabhängige Kapselung schutzbedürftiger Anwendungen und Daten vom Rest der (unsicheren) IT-Infrastruktur.
Dies ist auch ein Ansatz, den die Sicherheitsentwicklung des Computerherstellers Fujitsu in Augsburg unter dem Begriff „Digitale Souveränität“ verfolgt – und die nun in erste marktreife Angebote mündet, die im Laufe des kommenden Jahres verfügbar sein sollen. Vereinfacht gesagt, so formuliert es jedenfalls der Sprecher des Unternehmens, handele es sich dabei um eine Ende-zu-Ende-Verschlüsselung, die vom Endgerät über die Übertragungswege bis ins Rechenzentrum reiche. Als Tochtergesellschaft des japanischen Fujitsu-Konzerns bedient Fujitsu Technology Solutions in Deutschland Unternehmenskunden und entwickelt und fertigt hier unter anderem Notebooks, Personalcomputer, Netzwerkrechner (Server), Speichersysteme sowie Mainboards und betreibt mehrere hochsichere Rechenzentren. Einst ist in dem Konzern das Computergeschäft von Siemens aufgegangen.
„Die Absicherung von Daten, Applikationen und ganzen IT-Umgebungen ist angesichts der immer stärkeren Vernetzung unverzichtbar. Das gilt gleichermaßen für Unternehmen wie für Organisationen und öffentliche Einrichtungen“, sagt Rupert Lehner, Senior Vice President Sales Germany bei Fujitsu, zu den neuesten Entwicklungen aus seinem Haus. Wohl auch deshalb wurden jüngst die ersten fünf Sicherheitslösungen unter dem neuen Markennamen „Fujitsu Security Solution Surient“ vorgestellt. Diese sollen für sichere Anwendungsumgebungen auf der Basis bestehender Infrastrukturen für die Sicherheit schutzwürdiger Daten und Prozesse sorgen.
Das Fujitsu Surient zugrundeliegende Sicherheitskonzept deckt nach den Angaben des Unternehmens Rechenzentren, Datenübertragung und Endgeräte ebenso ab wie Sensoren, die im „Internet der Dinge“ (der Grundlage für die sogenannte Industrie 4.0) eine zentrale Rolle spielen. Das Konzept basiere auf Ergebnissen des Forschungs- und Entwicklungsprojekts „Digitale Souveränität“ und sei modular aufgebaut. Dadurch soll es möglich werden, das Schutzniveau an die individuellen Anforderungen des jeweiligen Kunden anzupassen. Die Module könnten einzeln oder kombiniert eingesetzt werden.
Die neue „Encrypted Boot Solution“ zum Beispiel basiere auf einer von Fujitsu patentierten Technologie. Das Modul solle es ermöglichen, die IT-Systeme im Rechenzentrum mit verschlüsselten Systempartitionen zu starten, ohne manuell ein Passwort eingeben zu müssen. Die Passwörter werden vom System dezentral erzeugt und übergeben und sind selbst den Administratoren nicht bekannt. Dadurch soll ein wirkungsvoller Schutz vor unautorisierten Zugriffen durch das Personal entstehen.
Das Modul „Sealed Applications Solution“ wiederum sorgt nach den Angaben von Fujitsu für einen effektiven Schutz von Anwendungen auf Endgeräten wie PCs, Tablets, Workstations und Notebooks. Dabei handelt es sich um eine Ablaufumgebung, die parallel zum Betriebssystem gestartet wird. In dieser gekapselten Umgebung laufen die Anwendungen und die Datenverarbeitung getrennt von der Hardware und dem Betriebssystem. Die Idee dahinter: Anwendungen und Daten sollen sich auf diese Weise wirkungsvoll vor Attacken schützen lassen.
Weitere Module sollen Rechenzentrums-Infrastrukturen vor unberechtigten Zugriffen schützen. Bei allen Varianten kann die Authentifizierung per Infrarot-Handvenenscan, auf Wunsch aber auch mit anderen biometrischen Verfahren zur Authentifizierung erfolgen. Dadurch erhielten nur berechtigte Administratoren Zugang. Je nach Schutzbedarf lasse sich der Zugang auch mit einem Mehr-Augen-Prinzip kombinieren. So könne nur eine definierte Personengruppe gemeinsam die Tür eines Sicherheitstrakts öffnen. Ein Modul soll dafür sorgen, dass derzeit bekannte Angriffsmethoden von außen auf Server und Dienste ins Leere laufen. Dagegen können sich berechtigte Anwender über ein sicheres Virtual Private Network (VPN) am Rechenzentrum anmelden. Das Ausnutzen eines „Zero Day Exploit“ sowie von „Man in the Middle“-Angriffen werde auf diesem Weg stark erschwert, heißt es bei Fujitsu. Vielleicht sollten sich der Innenminister und das BSI mal auf den Weg nach Augsburg machen.