Sichere Beschaffung

Viele Sicherheitsprobleme können vermieden werden, wenn man sich schon bei der Beschaffung von IT-Produkten ausreichend Gedanken über deren Anforderungen macht. Gerade Internet of Things (IoT)-Geräte, wie Kameras, Steuerungssysteme, Sensoren und dergleichen, werden oft mit unsicheren Standard-Einstellungen ausgeliefert oder sind gar gänzlich unsichere Produkte.

Eine sichere Beschaffung ist aber bei allen Geräten wichtig, die irgendeine Art von Software oder Firmware beinhalten, sowie bei Software-Produkten an sich (z. B.: Betriebssysteme oder Programme). Diese könnten beispielsweise fehlerhaft implementierte Kryptographie-Komponenten oder unsichere Hintertüren beinhalten. Durch die Verwendung solcher Produkte kann bei der nächsten Schadsoftwarewelle großer finanzieller Schaden entstehen, wie kürzlich im Fall der NotPetya-Ransomware, durch die weltweit Schaden von über einer Milliarde Euro entstanden ist.

Beschaffungsplattform

Als Hilfestellung für Kaufentscheidungen in diesem Bereich wurde durch die FH St. Pölten in Zusammenarbeit mit der SEC Consult Unternehmensberatung GmbH, dem Bundeskanzleramt, dem Bundesministerium für Inneres, dem Bundesministerium für Landesverteidigung und dem Magistrat der Stadt Wien (MA 14) die Beschaffungsplattform „IT-sicher.kaufen“ entwickelt. Zielgruppe dieser Plattform sind neben Behörden und Unternehmen aller Größen auch Privatpersonen.

Dazu werden Auswahlkriterien bereitgestellt, womit die Anforderungen an das zu beschaffende Produkt abgebildet werden können. In weiterer Folge wird aus dieser Auswahl eine Checkliste generiert, die bei Lieferanten oder Ausschreibungen verwendet werden kann. Weiters können die für ein ausgewähltes Produkt relevanten CVE-Einträge und CERT-Meldungen angezeigt werden. Durch das schnelle Bereitstellen anwendbarer Kriterien und Informationen wird dieser nicht-triviale und zeitintensive Beschaffungsvorgang immens erleichtert.

Beschaffungsempfehlungen

Zusätzlich ist auf dem Portal die von einer Arbeitsgruppe der Cyber Sicherheit Plattform (CSP) erstellte Anforderungsliste mit Mindestsicherheitsstandards von IKT-Komponenten veröffentlicht. Diese allgemein formulierten Anforderungen bilden auch die Grundlage der von der Plattform generierten Checklisten.

Weitere Informationen

Letzte Aktualisierung: 5. März 2018

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria