Tricksen, stören, attackieren: IT im Härtetest
Es ist ein schauriges Szenario: Betrüger knacken den Mikrocontroller einer Kreditkarte und stehlen sensible Daten. Im Auftrag von Herstellern untersucht die Prüfstelle der Telekom akribisch IT-Produkte wie Mikrocontroller bis hin zu ganzen Routern, um Missbrauch zu verhindern.
Sie schleifen Smartcard-Chips auf, beschießen Halbleiter mit Lichtimpulsen, nutzen elektromagnetische Felder und traktieren Software mit sinnlosen und fehlerhaften Eingaben, um Schutzmechanismen aus dem Takt zu bringen und vertrauliche Daten zu erbeuten. Doch hier sind keine Kriminellen am Werk, sondern Beschäftigte des Bereichs „Evaluation Facility“ bei der Telekom Security. Die Einheit gehört zu einer Handvoll anerkannter Prüfstellen in Deutschland, die IT-Dienste, -Produkte und -Systeme testen und eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammenarbeiten.
Aufträge erhält das knapp 30-köpfige Prüfteam von Unternehmen, die ein hohes finanzielles Risiko tragen, wenn ihre Dienste und Produkte unsicher sind. Und auch staatliche Stellen beauftragen Sicherheitsuntersuchungen.
Vom einfachen Chip bis zur neuesten Verschlüsselungstechnik
Seit 1998 stehen Kreditkarten-Chips, Kartenlesegeräte und Bankterminals auf dem Prüfstand. Heute untersuchen die Profis auch die Chips für Ausweise und Pässe sowie SIM-Karten, die für den digitalen Mobilfunk bei Polizei und Feuerwehr eingesetzt werden. Selbst für sogenannte Secure Elements, also hochintegrierte „System on Chip“(SoC)-Lösungen mit integriertem Sicherheitskontroller sind die Prüfmethoden geeignet.
Außerdem nehmen die Prüferinnen und Prüfer digitale Tachographen auseinander. Die modernen Fahrtenschreiber zeichnen die Lenk- und Ruhezeiten der Fahrer in LKWs auf. Und sogar komplette Router werden untersucht.
„Zurzeit sind wir zudem eines von wenigen Teams in Europa, die Quantum key distribution – eine Verschlüsselungstechnik durch Quantencomputing – testen“, erklärt Prüfstellen-Leiter Rüdiger Peusquens.
Mit Finesse und Präzision
Die Dienste der Prüfstelle sind gefragt; Verstärkung ist herzlich willkommen. Neben Hardware widmen sich die Fachleute zunehmend Softwarekomponenten. Dabei sind die Tests in den Laboren sehr formal. Sie folgen technischen Richtlinien, die genau vorschreiben, was zu prüfen ist. Die Methoden hingegen verströmen Spionage Vibes. Denn die Expertinnen und Experten aus Physik, Mathematik, Informatik und Elektroingenieurwesen tun alles, um die Technik auszutricksen. Raffiniert und hartnäckig suchen sie Einfallstore ins System, möglichst spurlos, und versuchen Verschlüsselungen zu knacken beziehungsweise die verwendeten Schlüssel zu kompromittieren.
Die Profis hantieren mit Mikroskopen und Oszillografen und sind mit allen Hacker-Wassern gewaschen. „Mitunter lassen sich schon über den Stromverbrauch einer Komponente Rückschlüsse auf die verarbeiteten Daten ziehen. Oder man kann mit extremen Spannungen das Datum in der Software ändern und so Sicherheitshürden überwinden“, erklärt Rüdiger Peusquens. Die Software wird unter anderem mit Fuzzing auf alle Eventualitäten geprüft. Darunter versteht man den Versuch, mit nicht spezifizierten Eingabedaten oder nicht beschriebenen Bedienabläufen Sicherheitsmechanismen zu umgehen oder gewolltes Fehlverhalten hervorzurufen.
„Wer hier arbeitet, braucht eine Portion destruktive Energie gepaart mit Feingefühl, Liebe zum Detail sowie ein großes Technikverständnis“, konstatiert Peusquens.
Zertifikat bestätigt hohes Sicherheitsniveau
Die Angriffspfade und Ergebnisse dokumentieren die Profis sehr genau. Sind eventuelle Fehler ausgemerzt, können sich die Hersteller die erfolgreiche Prüfung vom BSI oder einer anderen Organisation mit einem Zertifikat bestätigen lassen und nach außen zeigen: Unser Produkt erfüllt ein hohes Sicherheitslevel.
Die Prüfstelle der Deutschen Telekom bewertet IT-Produkte nach dem international anerkannten Standard Common Criteria. Die methodische Produktprüfung enthält eine Schwachstellenanalyse und umfangreiche Sicherheitsuntersuchungen. Sie bildet die Basis für eine Sicherheitszertifizierung.
Gemeinsam für Sicherheit
Spezialisierte Teams schützen Infrastruktur, Lieferketten, Cloud-Plattformen oder Geräte, jeden Tag.