NET 6-7 2023

12 www.net-im-web.de 6-7/23 Sicherheitsprodukte stärken von Sicherheitsprodukten zu einer großen Herausforderung. Dieser Ansatz wurde ursprünglich in der militärischen Welt entwickelt, umhochsensible IT-Ressourcen zu schützen, und besteht darin, „die An- griffsfläche eines Systems, einer Software oder eines Produktes zu reduzieren, um es sicherer zu machen“, erklärt Uwe Gries, CountryManager DACHbei Stormshield. In der Praxis auf System- oder Infrastrukturebene umfasst der Abhär- tungsansatz eine Kombination von Tech- niken: eine optimale Konfiguration von Betriebssystemen, eine regelmäßige Über- prüfung von privilegierten Konten und Firewall-Regeln, Beschränkungen für zu- gelassene IP-Adressen und strengere Regeln im Zusammenhang mit der Verwendung von Passwörtern. Im Bereich der Cyber- sicherheitslösungen kann die Abhärtung (beispielsweise) in Form einer Microser- vices-Architektur oder der Umsetzung vom Prinzip des geringsten Privilegs für Dienste erfolgen. Für Anbieter stellt es eine Aus- sage von Qualität und Professionalität dar: „Die Intention ist es zu verhindern, dass das Cybersicherheitsprodukt für bösartige Zwecke missbraucht wird, zum Beispiel als Trojaner oder durch das Einfügen von Hintertüren“, fügt Gries hinzu. „Immer mehr öffentliche Ausschreibungen vom Staat oder von öffentlichen Strukturen wie Krankenhäusern enthalten spezifische Anforderungen in Bezug auf Sicherheits- aspekte und dieNotwendigkeit, abgehärtete Produkte zu implementieren“, führt er weiter aus. Von Militär- zur Zivilgesellschaft Obwohl sich militärische Informations- systeme von zivilen unterscheiden, wei- sen sie ähnliche Eigenschaften sowie gemeinsame Technologien, Hardware und Software auf. Aufgrund der hoch- sensiblen Infrastruktur und Daten, die sie schützen, müssen Cybersicherheits- produkte militärischen Grades besondere Anforderungen erfüllen – beispielsweise durch bestimmte Konfigurationen. Es bleibt nur noch, Best-Practice-Übergänge zu schaffen. Die Abhärtung der Produkte bietet einen solchen Übergang. Die Ver- trauenswürdigkeit der Lösung ist ein weiteres und ebenso wichtiges Merkmal. Einige europäische Länder haben Qualifizierungsprogramme für Cyber- sicherheitsprodukte durch ihre nationa- len Sicherheitsgremien entwickelt (wie die ANSSI in Frankreich, das BSI in Deutschland, die ACN in Italien, das CCN in Spanien und das NCSC inGroß- britannien). Um eine zwischenstaatliche Anerkennung der Qualifikationen zu ermöglichen, wurde eine europäische gegenseitige Vereinbarung unterzeichnet. Das Ziel ist einfach: robuste, zuverlässige Lösungen für den Schutz sensibler Dienste zu identifizieren. Die ANSSI definiert ein qualifiziertes Produkt als robust und teilt diese Qualifikation Produkten zu, die die Anforderungen der ANSSI erfüllen und, basierend auf einer Analyse des Quellcodes für den Softwareteil, nach strengsten Kriterien zertifiziert sind. Zu- dem müssen sie noch garantiert frei von Backdoors sein. Diese Definition zeigt deutlich, dass diese Lösungen nicht nur für militä- rische Zwecke gedacht sind. Tatsächlich nutzen bereits einige zivile Unternehmen qualifizierte Sicherheitsprodukte: Die europäischeNIS2-Richtlinie umfasst auch Subunternehmen und Dienstleister mit Zugang zu kritischen Infrastrukturen in der Riege der wesentlichen und wichtigen Organisationen. Dies sind alles zivile Unternehmen, die sich nun mit dem Konzept der Qualifikation beschäftigen sollten. Wenn eine robuste, zuverläs- sige Sicherheitslösung sensible Regie- rungsdienste schützen kann, ist es sicher auch sinnvoll, sie zum Schutz sensibler Unternehmensdaten zu verwenden. „Bei Stormshield konzentrierenwir uns darauf, robuste, schlüsselfertige Produkte durch intensive Integrations- und Entwicklungs- arbeit zu liefern“, erklärt Gries. Quali- fizierte und abgehärtete Sicherheitspro- dukte sind sowohl für den militärischen als auch für den zivilen Einsatz geeignet. Man braucht lediglich einen vertrauens- würdigen Partner. www.stormshield.com/de Im Bereich der Cybersicherheitslösungen kann die Abhärtung beispielsweise in Form einer Microservices-Architektur oder der Umsetzung vom Prinzip des geringsten Privilegs für Dienste erfolgen (Foto: JESHOOTS-com, pixabay)