Wem vertrauen Sie beim Kauf von Netzwerksicherheitsgeräten? Die Systeme, auf die sich Ihr Unternehmen verlässt, um zu verhindern, dass sensible Informationen in falsche Hände geraten? Diese Geräte müssen Verschlüsselungs- und Authentifizierungsdienste auf höchster Sicherheitsstufe zur Verfügung stellen. Sie müssen die fortschrittlichsten und sichersten kryptographischen Algorithmen verwenden. Außerdem müssen sie vor physikalischer Manipulation und vor Sidechannel-Attacken schützen. Zertifizierungsstellen überprüfen solche Dinge im Grundsatz um zu verhindern, dass Hersteller grobe Fehler machen. Dennoch gibt ein Zertifikat keine Informationen darüber, ob undokumentierte Features wie beispielsweise Backdoors eingebaut sind.
Backdoors oder Hintertüren sind heimliche Zugänge zu Geräten, die dazu dienen, die Kontrolle über Computersysteme zu erlangen. Diese Technik wird oft angewendet, und viele Fälle blieben bisher unentdeckt (siehe hier eine Liste mit einigen Fällen von Backdoors). Dokumentiert sind in erster Linie Fälle von Backdoors in Open-Source-Software oder solche, wo Malware eingesetzt wurde. Oft aber wurden Backdoors vom Hersteller selbst eingebaut. Sie werden manchmal von ihrer nationalen Sicherheitsdienst oder von einer Strafverfolgungsbehörde gezwungen oder sogar gesetzlich verpflichtet, die Existenz der Backdoors zu negieren. Wir müssen davon ausgehen, dass Netzwerksicherheitsausrüstungen aus den USA, China, Frankreich, U.K., Israel, Deutschland, also aus den meisten Ländern, Backdoors enthalten. Die chinesische Regierung will jetzt, dass auch ausländische Hersteller sie (und nur sie) über Backdoors in jeglichen Netzwerk-Sicherheitsgeräten informieren, die in China (Link) eingesetzt werden.
Welche Absicht auch immer dahintersteckt: Backdoors sind eine schlechte Idee. Sie ziehen Cyberkriminelle an (siehe auch Bruce Schneiers Beitrag über Backdoors für mehr Informationen). Diese können Backdoors mithilfe von Online-Angriffen aufspüren oder – oft noch einfacher – indem sie dem Hersteller oder einer Regierungsbehörde Informationen stehlen. Sobald eine Hintertür aufgespürt wurde, ist das System gehackt und sämtliche Kommunikation sowie Daten können manipuliert bzw. gestohlen werden oder sogar verschwinden.
Nur wer naiv ist, glaubt, dass seine Netzwerksicherheitsgeräte frei von Backdoors sind. Man kann einem Hersteller nicht vertrauen, ohne den vollen Einblick in die Komponenten der Geräte zu haben. Und dies ist der Weg, den wir von Securosys gewählt haben. Unsere Kunden können alle unsere Software und Blaupausen von ihren eigenen Experten überprüfen lassen. Sie können die Firmware kompilieren und sie mit den Binärdateien Securosys Appliances vergleichen, die in ihren Rechenzentren installiert sind. Darüber hinaus entwickelt und fertigt Securosys ihre Geräte in der Schweiz. Hier gibt es keine Gesetzgebung, die uns zwingen könnte, Backdoors für jemand zu installieren. Also können unsere Kunden unserer Netzwerksicherheitstechnik vertrauen.
Robert Rogenmoser, CEO Securosys