Bekannt sind Spionage-Angriffe auf Rechner, Drucker und Speichersysteme. Vermutet werden aber auch Hintertüren in der Netzwerktechnik und gezielte Manipulationen an einzelnen Computerchips wie Prozessoren oder Zufallszahlengeneratoren. Spätestens bei dieser Vorstellung fangen IT-Sicherheitsberater wie Christoph Fischer an, sich Sorgen zu machen.
"Es gibt kein Netzwerkswitch oder kein Netzwerkrouter im größeren Bereich, der nicht aus den USA kommt. Es gibt noch chinesische Produkte. Sie können, wenn sie wirklich die Paranoidenkappe aufsetzen, sagen, man kann zwischen Teufel und Beelzebub wählen, aber man hat nichts, dem man wirklich vertrauen kann. Betriebssysteme, große Softwaresysteme, Hardware, angefangen von den Prozessoren bis hin zu eben Netzwerkkomponenten sind einfach schlicht und ergreifend hauptsächlich aus den USA, zumindest die Entwicklung, Fertigung ist sicher auch in asiatischen Ländern."
Christoph Fischer ist Geschäftsführer der BFK edv-consulting, einem Beratungsunternehmen für IT-Sicherheit. Er bemängelt: Abgesehen von wenigen Ausnahmen gibt es weder in Deutschland noch in Europa große Hersteller von IT-Geräten. Weder von Hardware noch von Programmen und Betriebssystemen.
In Hard- oder Software können sich Hintertüren verbergen
Sei es Rechenzentrum in einem großen Unternehmen oder der Internetrouter beim Endkunden daheim: Niemand weiß sicher, ob nicht eine Hintertür in der Hard- oder der Software steckt. Auch nicht das deutsche Bundesamt für die Sicherheit in der Informationstechnik, kurz BSI. Sein Cyber-Sicherheits-Stratege Harald Niggemann merkt an, dass:
"Selbst dann, wenn ein Produkt in Deutschland oder Europa oder in den USA hergestellt wird, dass es dann in vielen Fällen tatsächlich immer noch Chips aus nichteuropäischen oder anderen Staaten enthält. Also selbst wenn ein Produkt in Deutschland gefertigt wird, können immer noch ganz viele Chips da drinnen sein, die eben aus asiatischen Ländern kommen oder die aus völlig anderen Ländern kommen."
Deutscher Entwickler für Informationstechnik: "Sicherheit ganz ohne Hintertürchen"
Eines der wenigen Unternehmen, die in Deutschland Informationstechnik entwickeln und herstellen ist Lancom Systems. Der Spezialist für Netzwerktechnik präsentierte im März auf der Cebit seine Produkte "Made in Germany". Die seien, betont das Unternehmen, ganz ohne Hintertürchen. Ralf Koenzen, Geschäftsführender Gesellschafter Lancom Systems:
"Wir haben schon seit Langem die Situation, dass wir mit unseren Routern unterwegs sind an einem Markt, der sehr stark von ausländischen Anbietern geprägt ist. Wir haben den Punkt, dass wir eigene Entwicklungen haben. Das heißt, die Produkte sind bei uns sowohl in der Hardware entwickelt als auch in der Software. Aber wir haben gesagt, wie kriegen wir das Ganze jetzt auch noch nachprüfbar sicher und deswegen haben wir uns einem sogenannten Zertifizierungsprozess unterworfen. Vor ungefähr zwei ein halb Jahren haben wir den Prozess angefangen in Verbindung mit dem Bundesamt für die Sicherheit in der Informationstechnik und die Produkte auf Herz und Nieren auch noch einmal geprüft."
Drei Bestandteile sollen für besondere Sicherheit stehen, sagt Koenzen. Erstens entwickele man seine Hard- und Software in Deutschland. Zweitens werde der Entstehungsprozess dokumentiert. So will der Hersteller sicherheitskritische Aspekte strukturiert angehen. Und drittens würden Hacker im Dienste des Unternehmens alle Produkte ausführlichen Tests unterziehen. Der gesamte Prozess, sagt der Unternehmenssprecher, erfolge in Zusammenarbeit mit dem deutschen Bundesamt für die Sicherheit in der Informationstechnik, das auch die Zertifizierung vergibt.
"Und deswegen rühmen wir uns, in Anführungsstrichen, deswegen sind wir schon sehr sicher, dass wir hier ein Sicherheitsstandard in der Vernetzung anbieten können, der so nicht Standard am Markt ist."
Selbst wenn die Zusicherungen des Netzwerkherstellers Bestand haben sollten: In einem Unternehmensnetz oder in Behörden steckt weit mehr Informationstechnik. Und bei jedem Gerät stellen sich die gleichen Fragen: Wo wurde das Produkt hergestellt, wo die Einzelkomponenten? Wo wurden diese zusammengebaut? Und woher kommt die Software? Kaum ein Unternehmen, eine Behörde oder eine Regierungsstelle kann alle Fragen ganz beantworten. Ein Restrisiko bleibt immer.
