Wie vertrauenswürdig ist IT-Sicherheitssoftware? Eine Einführung

Laut einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI)  setzen 87% der befragten Personen einen Virenscanner auf dem eigenen Computer ein. Auch viele Firmen nutzen zum Schutz der Geräte und Daten entsprechende Soft- und Hardware. Die Entscheidung für ein spezielles Produkt wird häufig durch den Preis oder die Erkennungs-/Abwehrrate bestimmt.

Vertrauenswürdigkeit ist jedoch ein weiterer Punkt, um Produkte zu bewerten. Da es bisher keine etablierten Testverfahren zur Messung oder Bewertung von Sicherheit und Vertrauenswürdigkeit von IT-Sicherheitssoftware gibt, möchte ich euch in diesem Blogpost den EICAR Minimum Standard vorstellen.

Was macht EICAR genau?

EICAR ist eine unabhängige Organisation von IT-Security Experten, welche sich mit Nutzerinteressen und verschiedenen, aktuellen Themen in der IT-Sicherheit beschäftigt. Vielleicht habt ihr ja schon einmal von der EICAR Anti-Virus Testdatei gehört.

Anwender haben nur eine sehr geringe Kenntnis über Verhalten und Arbeitsweise der eingesetzten Software. Es ist in der Regel nicht transparent, ob und welche Daten gelesen bzw. modifiziert werden und ob diese mit dem Anbieter geteilt, also in die Cloud des Herstellers geladen werden. EICAR möchte hier die Nutzer unterstützen und mit einem Testverfahren feststellen, ob die Anbieter die Privatsphäre der Nutzer achten und jegliche Einschränkungen dieser in der entsprechenden Datenschutzerklärung des Produktes offen vermerken.

Minimum Standard

Der Minimum Standard enthält 15 Anforderungen, welche ein Produkt erfüllen muss, um die Zertifizierung „EICAR trusted IT-security“ zu erhalten. Hierzu verpflichten sich die Anbieter, die Anforderungen in einem Testverfahren prüfen zu lassen. Dies dient der Nachweisbarkeit der Compliance zum definierten Minimum Standard.

Doch wieso ein „Minimum“ Standard? Bedingt durch neu aufgekommene Bedrohungen wie Ransomware oder Malwarekampagnen können die Hersteller mit ihren Produkten keinen unbegrenzt langen Zertifizierungs- und Testprozess durchlaufen. Kunden und Nutzer haben berechtigterweise den Anspruch an ein aktuelles und aktualisierbares Produkt. Mit einem aufwändigen Testverfahren mit Einblick in den Quellcode zieht sich der Evaluierungsprozess in die Länge und es erscheint ggf. bereits die Nachfolgeversion bei Abschluss des Verfahrens. Es ist also sinnvoll, Mindestanforderungen zu definieren und diese so zu formulieren, dass eine Prüfung nur wenige Tage bis Wochen in Anspruch nimmt.

Die Anforderungen

Die bereits erwähnten 15 Anforderungen definieren die Rahmenbedingungen für ein Testverfahren. Es muss z.B. sichergestellt werden, dass die Datenschutzerklärung alle etwaigen Datentransfers vom Rechner des Nutzers auf Anbieterserver erklärt und definiert. Außerdem wird das Verhalten der Software auf einem herkömlich eingerichteten Computer beobachtet und festgestellt, ob z.B. Dateien gelesen, verändert oder unregelmäßig oft untersucht werden. Es liegt jedoch in der Natur einer Sicherheitssoftware, Dateien und das System zu untersuchen – anders wäre die prinzipielle Funktionsweise nicht gewährleistet. Dies zeigt, dass eine „Untersuchung“ auf Vertrauenswürdigkeit sorgfältig geplant und durchgeführt werden muss, um vergleichbare und wertvolle Ergebnisse zu erhalten.

Ausblick

Es ist geplant, eine Umsetzung der Anforderung in einem Testverfahren beispielhaft durchzuführen. Hierzu wird ein Anti-Virus/Anti-Malware Produkt auf Einhaltung der Anforderungen unter realistischen Bedingungen untersucht. Die daraus entstehenden Ergebnisse müssen danach sorgfältig analysiert werden. Das Ziel ist ein vergleichbares Ergebnis, welches den Nutzer bei der Entscheidung für ein vertrauenswürdiges Produkt zu unterstützen.

Langfristig sollen die Evaluierungsschritte in einen standardisierten Zertifizierungsprozess überführt werden. In Zusammenarbeit mit unabhängigen Testlabors werden mittelfristig auch für andere IT-Sicherheitsprodukte (Firewall, Intrusion Detection, Data Leakage Prevention, …) entsprechende Testverfahren etabliert.

Titelbild: Pixabay, CC0-Lizenz

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s