Informationssicherheit: Zertifikate überwiegend wertlos
Was ich jetzt hier kurz mal in einen Microblog-Eintrag packe, ist eigentlich ein kompletter Artikel wert. Es geht um den Wert und die Sinnhaftigkeit von Zertifikaten im Bereich der Informationssicherheit.
(Staatliche) Zertifizierungen sind nach meiner Auffassung überwiegend wertlos. Das zeigt sich gerade wieder an aktuellen Beispielen:
- Die Infineon-RSA-Chips mit einer gravierenden Sicherheitslücke wurden vom BSI nach Common Criteria zertifiziert. Die fehlerhafte Software-Bibliothek auf den Chips (RSA Library version v1.02.013) ist unter anderem im YubiKey 4 vorzufinden.
- Ein Zufallszahlengenerator aus dem Standard ANSI X9.31 ist in vielen Fällen unsicher implementiert worden und erlaubt es Angreifern, verschlüsselte Verbindungen mitzulesen. Unter anderem sind etliche Fortinet-Geräte von der sogennante »DUHK Attack« betroffen. Dieser Zufallszahlengenerator unterliegt einer FIPS-Zertifizierung.
Wozu sind diese Zertifizierungen in erster Linie da? Grob geht es bei Zertifizierungen auch um die Einhaltung der »IT-Compliance«. Etwas überspitzt übersetzt bedeutet das: Bei einem Sicherheitsvorfall kann ich mein Unternehmen vom Vorwurf des Organisationsverschuldens freisprechen lassen – weil ich die »IT-Compliance« bspw. über Zertifizierungen sicherstelle. Folgen wir dieser Logik, dann sind die Argumente für ein Zertifikat vom BSI oder FIPS: Sie bieten mehr »Sicherheit« als nicht-zertifizierte Geräte / Prozesse und sie helfen dabei, die IT-Compliance-Vorgaben einzuhalten.
Beides sind Wunschgedanken und entsprechen leider nicht unbedingt der Realität. Nur weil ein Gerät, Krypto-Protoll, Prozess oder ähnliches nicht-zertifiziert ist, bedeutet das noch lange keinen Nachteil gegenüber den Zertifizierten – das belegen jedenfalls die aktuellen Beispiele. Zertifizierer sind wie Schmarotzer, die vom Geld / dem Erfolg anderer leben.