Aktuelles, Branche - geschrieben von dp am Mittwoch, April 6, 2016 23:49 - 2 Kommentare
Neue Backdoor-Klausel nimmt IT-Systemanbieter in die Pflicht
Clavister gibt Unbedenklichkeitserklärung zu eigenen Produkten ab
[datensicherheit.de, 06.04.2016] Nicht erst seit dem NSA-Abhörskandal seien „Backdoors“ ein geflügelter Begriff in der IT-Branche. Auch Deutschland reagiere jetzt auf diese meist von Regierungsseite initiierten Hintertüren in Security-Hardware – Bund, Länder und Kommunen seien ab sofort dazu verpflichtet, ausschließlich auf IT-Dienstleister zurückzugreifen, die nachweislich keine „Backdoors“ in ihrem Betriebssystem haben. Thomas Gross, „Channel Account Manager“ bei Clavister geht in einer aktuellen Stellungnahme der Frage nach, ob es solche Anbieter überhaupt noch gibt.
Industriespionage von staatlicher Seite
Seit dem „PRISM“-Vorfall im Jahr 2013 fühlten sich Unternehmen vermehrt überwacht und ausgenutzt. Unwissentlich vertrauten sie auf Security-Anbieter, die „Backdoors“ (unauthorised code) in die Betriebssysteme ihrer Lösungen einbauten, dazu gedrängt von Regierungsseite mit dem Ziel, dass Geheimdienste sich über die undichte Hardware Zugriff auf die Unternehmenssysteme verschaffen und Informationen letztlich zum Schutz besagter Firmen hätten sammeln sollen, so Gross. Doch die eigentlich guten Absichten hätten sich ins Gegenteil verkehrt.
Die abgehörten Unternehmen prangerten Geheimdienste wie NSA oder BND an, denn es sei somit „Industriespionage von staatlicher Stelle“ betrieben worden. Zudem hätten Hacker die „Backdoors“ unbemerkt für IT-Angriffe genutzt.
Neue Ergänzende Vertragsbedingungen
Die Folgen dieses Skandals seien bis heute zu spüren. Daher habe der Kooperationsausschuss ADV Bund/Länder/Kommunaler Bereich (KoopA ADV) in Abstimmung mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) kürzlich neue „Ergänzende Vertragsbedingungen“ (EVB-IT) für die Beschaffung von IT-Hardware beschlossen. Kernpunkt sei eine „No backdoors“-Klausel“, die verpflichtend von Bundesbehörden, Ländern und Kommunen eingehalten werden müsse. Kurzum: Alle gekauften Sicherheitslösungen müssten zu 100 Prozent frei von „Backdoors“ sein!
Damit dürften nur noch Hardware-Produkte beschafft werden, für die vom IT-Dienstleister bzw. Hardware-Hersteller eine entsprechende Gewährleistung übernommen werde, betont Gross.
Clavister setzt auf Eigenentwicklung
Aus diesen Gründen habe Clavister schon immer eine eigene Software sowie Betriebssysteme entwickelt – in Europa, genauer gesagt in Schweden. Nie habe man „Backdoors“ in die Lösungen eingebaut und werde dies auch nie tun, versichert Gross. So könne man den Kunden seit 2003 schriftlich bestätigen, dass dank kompletter Eigenentwicklung 100-prozentig zu gewährleisten sei, „frei von Hintertüren zu sein“.
2 Kommentare
admin
Das ist aber noch lange nicht ausreichend: Die einfache Forderung der Öffentlichen Hand auf Hintertüren-Freiheit hilft hier natürlich überhaupt nicht weiter.
Unverzichtbar ist eine technische Überprüfung der Software (und auch Hardware!) wie sie z.B. die ISO 27034 vorgibt mit (1) Security Requirements Analyse, (2) Threat Modeling der Sicherheitsarchitektur, (3) Static Source Code Analysis des Quellcodes, (4) Penetration Testing und Dynamic Analysis – Fuzzing des ausführbaren Codes sowie insbesondere eine Konformitätsprüfung (!) auf Übereinstimmung von Code und Dokumentation:
Leistet das Produkt vielleicht mehr als dokumentiert ist? Und auch die Behauptung der Hersteller, ‚meine Entwickler tun das nicht‘ ist wirkungslos, wenn z.B. Open Source Suiten ungeprüft eingesetzt werden!
Insgesamt aber schon eine gute Marketingaktion und fachlich ein allererster Schritt in die richtige Richtung.
Kommentieren
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten - Aug. 26, 2025 12:15 - noch keine Kommentare
Drohnenpiloten sollten allgemeine und spezielle Regelungen vorab kennen und vor Ort beachten
weitere Beiträge in Experten
- 80 Prozent deutscher Unternehmen verfügen über Social-Media-Profil
- Alarm bei PayPal-Kunden: 15,8 Millionen Zugangsdaten im Darknet aufgetaucht
- Pläne zur IP-Adressenspeicherung: eco kritisiert Rückschritt in die Überwachung
- 5-Punkte-Plan des eco für zukunftsorientierte Rechenzentrumsstrategie des Bundes
- BfDI legt Berufung ein: Fanpage-Verfahren in der nächsten Runde
Aktuelles, Branche - Aug. 26, 2025 17:12 - noch keine Kommentare
Microsoft 365: Manipulation von E-Mail-Regeln, Formularen und Konnektoren als Sicherheitsrisiken
weitere Beiträge in Branche
- Mehr als ein rein technisches Problem: Cybersicherheit eine Frage der Haltung
- KnowBe4-Warnung: Finanzinstitute bis zu 300-mal häufiger Ziel von Cyberangriffen als Unternehmen anderer Branchen
- Aktuelle DACH-Managementstudie: Führungskräfte sehen Großunternehmen bei Cybersicherheit im Vorteil
- Chat-Kontrolle zum Scheitern verurteilt – doch Schlimmeres droht
- Fake-Podcast-Einladungen: Cyberkriminelle locken Influencer und hochkarätige Unternehmensmitarbeiter in die Falle
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
…neue ergänzende vertragsbedingungen? lächerlich, da nicht realisierbar, gerade auf seiten der hardware!