5G-Zertifizierung: Auf dem Weg zu den ersten Erfolgen 

Wie vom Gesetzgeber gewünscht, dienen schon vorhandene Normen für die CSA-Zertifizierung als Vorlage.  Das „Network Equipment Security Assurance Scheme (NESAS)” der GSMA (GSM Association - die Mutter der europäischen digitalen Telefonie) diente als Blaupause für das neue NESAS-CSA Schema der EU, das aus zwei Stufen besteht:

Zuerst wird der Entwicklungsprozess des Herstellers hinsichtlich der Entwicklungs- und Produktpflegeprozesse auditiert. Dabei wird auch überprüft, ob diese auch in der betrieblichen Praxis befolgt werden. Ist dies der Fall, so erstellt der Auditor eine Liste von Nachweisen, die für die nachfolgenden Produktzertifizierungsprozesse vorzulegen sind. Diese Nachweise belegen dann, dass der Hersteller dem überprüften Prozesse auch folgt.

In der zweiten Stufe erfolgt die eigentliche Produktprüfung. Der Hersteller die Nachweise für das konkre-te Produkt in Form eines aktuellen Audits beifügen. Damit soll nachgewiesen werden, dass das Produkt wie angegeben entwickelt wurde.

Die Vorarbeiten zum 5G-Schema sind abgeschlossen. Offen ist noch, in welchem Umfang man Zertifizieren wird. Gehört auch die SIM-Karte mit zu den sicherheitskritischen Teilen von 5G? Was ist mit den Prozessen bei den Mobilfunkanbietern, die zur Rechnungserstellung führen? Denn hier fallen sensible Daten der Nutzer an. Auch wird zu klären sein, ob die Funkschnittstelle dauerhaft das Sicherheitslevel „niedrig" behält, also ob eine Selbstzertifizierung durch die Hersteller möglich ist. Starke Kräfte innerhalb von ENISA und BSI verneinen dies und verlangen mindestens die Stufe „mittel". Für IoT Anbieter würden aus so einer Entscheidung massive Mehrkosten erwachsen.

5G spielt für die Internetaffine Generation eine enorme Rolle.  Für die Industrie geht es bei IoT und IIoT um wichtige Zukunftsmärkte. Auch in Campus-Netzwerken. Unter dieses Schema fallen sowohl  industrielle Steuersysteme in Produktionsprozessen, als auch Smart Meter für den Heimbereich. Auf Grund der großen gesellschaftlichen Relevanz hatte die EU-Kommission bereits 2014 (also vor der Verabschiedung des CSA) den EU eigenen Forschungsverbund „Joint Research Centre“ (JRC) beauftragt, ein europäisches Zertifizierungsverfahren für IACS zu entwerfen. Auf diese Arbeiten kann man nun zurückgreifen.

Ganz generell stellt sich den Experten das Problem, die Rolle von Software-Updates im Zertifizierungsverfahren zu klären. Eine permanente Neuzertifizierung nach jedem Update erscheint unzumutbar. Der nun vorliegende Entwurf sieht vor, dass Herstellerselbsterklärungen (einmalig) leicht auf neue Versionen aus-gedehnt werden können, aber erkennt auch die Notwendigkeit an, für Sicherheitsaktualisierungen eine effiziente Möglichkeit zu schaffen, das Zertifikat zu erhalten oder zeitnahe für die Version mit Patch wiederzuerlangen.

Die vorhandenen Normen nutzen und so wenig wie möglich verändern, das ist eines der Leitthemen des CSA. Es existieren bereits seit Jahren diverse IT-Sicherheitsnormen und Vorschriften. Etwa die Zertifizierungsnorm ISO/IEC 27001, auf dieses Schema hat sich die europäische  Akkreditierungsorganisationen  "European Accreditation" (EA)  mit der „International Accreditation Foundation" (IAF) geeinigt, und Verträge zur gegenseitigen Anerkennung abgeschlossen. Neu geschaffen werden Strukturen, welche die Qualität des Zertifizierungsprozesses garantieren sollen und die ausstellenden Instanzen überwacht.

Neben 5G und IoT/IIoT ist das Schema zur Einarbeitung der Common Criteria (CC) in den CSA Rahmen am weitesten gediehen. Die Arbeiten sind wichtig, weil die CC das einzige, mehr oder weniger international anerkannte Zertifizierungsverfahren zur Prüfung von IT-Produkten ist. Innerhalb der EU gelten entsprechende Übereinkünfte ( SOG-IS ISO/IEC 15408), für die es auch in den USA und in Russland und China Entsprechungen gibt. Das Verfahren kennt sieben Stufen, von denen aber nur vier international anerkannt sind – und das ist nur eine der Baustellen. Im November 2019 wurde bekannt, dass es ausgerechnet im empfindlichsten Sicherheitsbereich eines PC, dem Trusted Platform Module (TPM) eine massive Sicherheitsschwachstelle gab, die Microsoft sofort schließen musste. Der vom "TPM-Fail" betroffene Hardwarechips war gemäß Common Criteria EAL4+ zertifiziert worden, und die Schwachstellen wurden trotzdem übersehen. Die Stufe "4+" ist die höchste zivile Stufe der CC.

Die Zielrichtung der staatlichen US-Gesetze ist von jener der EU vollkommen verschieden. Die USA versuchen, ihr Land und ihre IT vor den Angriffen aggressiver Individuen und Staaten zu schützen. Die Europäer wollen sicherstellen, dass ihre IT solchen Angriffen widersteht. Auch wollen die USA die Eigentümer der Konzerne vor finanziellen Schäden bewahren beziehungsweise faire Geschäftsprozess garantieren (Shareholder Value, Compliance-Modelle). Die EU-Gesetzgebung adressiert dieses Thema nicht einmal.

Der Federal Cybersecurity Enhancement Act (2016) und der Federal Information System Modernization Act, 2014 (FISMA) weisen das Homeland Security-Ministerium an, kritische Services und Infrastrukturen bereitzustellen, um Notfallpläne umsetzen zu können. Entstanden sind sie nach wiederholten Angriffen auf die Kritische Infrastruktur der USA und auf Bundesbehörden. Die Zielrichtung der von Barack Obama unterzeichneten Gesetze Federal Cybersecurity Enhancement Act (2016)und Federal Information System Modernization Act, 2014 (FISMA) dienen also dem Schutz eigener Netzwerke.

Die USA sehen sich als „sicheren Hafen" für Daten und für die IT. Angriffe kommen primär von außen und müssen quasi militärisch bekämpft werden. Es entspricht wohl diesem Denken, dass ausgerechnet das vom US-Militär entwickelte TCP/IP basierte Internet, das die Kommunikation während eines Atomkrieges aufrechterhalten sollte, fast ohne Sicherheitsfeatures entwickelt, wurde. Noch heute kann sich auch jeder seinen E-Mail Absender selbst aussuchen, und sich beispielsweise „Papst" oder „Präsident" nennen. 

Aktuell verbinden die EU mit den USA nur die Common Criteria, und auch hier hat man sich nur bei den ersten vier Stufen darauf geeinigt, sie anzuerkennen.

Laut EU Experten können vermutlich zunächst nur zwei Schemata pro Jahr erstellt werden. Dies würde entweder einen jahrzehntelangen Übergangsprozess erfordern, oder eine deutliche Aufstockung der personellen Kapazitäten der beteiligten Organisationen. Alle fünf Jahre sollen die Schemata zudem überprüft werden. Nur eine massive Aufstockung der Ressourcen könnte den Zertifizierungsprozeß beschleunigen. Dies erfordert allerdings die Zustimmung von Kommission und Parlament.

Die Frage der Akzeptanz einer aktuell noch rein freiwilligen Zertifizierung muss offenbleiben. Die Rufe nach einer Verpflichtung werden im EU-Parlament lauter.