Security: Was Produktzertifizierungen wirklich bedeuten
Sicherheitszertifizierungen werden kommen in der EU, so viel ist sicher. Doch allen Kritikern zum Trotz bringt das mehr Vor- als Nachteile.
- Sebastian Fritsch
- Tobias Glemser
Die chinesische Regierung macht es vor: Immer mehr Regularien zwingen Hersteller, ihre Produkte nach Standards zertifizieren zu lassen. Die EU arbeitet ihrerseits seit Jahren am Cybersecurity Act (CSA), der harmonisierte europäische Sicherheitszertifizierungen definiert. Ohne eine solche Zertifizierung werden Produkthersteller künftig keine Produkte mehr auf den Markt bringen können. Eine Zertifizierung kann andererseits auch ein deutlicher Marketingmehrwert für Hersteller sein.
An der Aussagekraft von Produktzertifizierungen gibt es seit jeher Grundsatzkritik: Da es prinzipbedingt hundertprozentige Sicherheit nicht geben kann, sind Produktzertifizierungen in den Augen einiger praktisch wertlos. Da immer nur eine spezifische Version geprüft wird, dürfe man außerdem keine Produktupdates zertifizierter Produkte einspielen. Warum gut gemachte Produktzertifizierungen nach einheitlichen Standards sinnvoll und Updates selbstverständlich nötig und möglich sind, beleuchtet dieser Artikel.
Es gibt verschiedene Ansätze bei der Prüfung beziehungsweise bei Sicherheitsaussagen zu Produkten, die über die reine Selbstauskunft "Wir sind sicher" hinausgehen. Es gibt drei Arten von Standards, die im Folgenden unterschieden werden: generelle Modelle, domänenspezifische Modelle und standardisierte Selbstauskünfte.
Das war die Leseprobe unseres heise-Plus-Artikels "Security: Was Produktzertifizierungen wirklich bedeuten". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.