Sichere IT-Produkte einkaufen

Neue Plattform für sicheren Einkauf von Software, Hardware mit integrierter Software und Open-Source-Produkte

Wer Produkte mit integrierter Software kauft, kauft das Problem mitunter schon mit: Unsichere Komponenten in Produkten können sich für viele Unternehmen später als Problem herausstellen. Während auf Rechnern meist Sicherheitsprogramme installiert werden und sich IT-Abteilungen mit Firewalls und anderen Maßnahmen um die Sicherheit kümmern, werden Gefahren durch Software und Geräte beim Einkauf meist nicht berücksichtigt.

Zur Hilfe für den Einkauf hat die FH St. Pölten nun die Plattform „www.it-sicher.kaufen“ gestartet. Sie liefert kostenlos und unabhängig von Herstellerinnen und Herstellern Sicherheits-Checklisten passend zu individuellen Ansprüchen.

Preis, Funktion Design – und Sicherheit

IT-Sicherheit betrifft keineswegs nur Produkte wie Computer und Software. Auch bei Gegenständen, wo es auf den ersten Blick nicht so ersichtlich ist, spielt sie durch die eingebauten Komponenten an Hard- und Software eine Rolle, zum Beispiel bei Kameras, Staubsaugerrobotern, Autos oder Fernsehern. Zudem sind im Zeitalter des „Internets der Dinge“ (Internet of Things, IoT) immer mehr der Geräte, die im Alltag und in Unternehmen benutzt werden, mit dem Internet verbunden.

„Preis, Funktion und Design spielen beim Einkauf von Produkten oft die größte Rolle. Kaum jemand schaut auf die IT-Sicherheit. Die beginnt aber bereits beim Einkauf“, sagt Ernst Piller, Leiter des Projekts und des Instituts für IT-Sicherheitsforschung an der FH St. Pölten. IT-Sicherheit wird laut Piller beim Einkauf nur dort in größerem Umfang beachtet, wo sie gesetzlich vorgeschrieben ist: etwa im Gesundheitsbereich beim Umgang mit sensiblen und medizinischen Daten.

Damit Einkäuferinnen und Einkäufer IT-Sicherheit besser berücksichtigen können, hat die FH St. Pölten im Projekt ITsec.at gemeinsam mit der SEC Consult Unternehmensberatung GmbH, dem Bundeskanzleramt, dem Bundesministerium für Inneres, dem Bundesministerium für Landesverteidigung und Sport und dem Magistrat der Stadt Wien die Plattform „it-sicher.kaufen“ entwickelt. Sie soll Einkauf und Beschaffung von Geräten sicherer machen.

Checklisten und Informationen zu Vorfällen

Auf der Plattform können EinkäuferInnen und BeschafferInnen auswählen, welche Parameter für ihre Produkte wichtig sind, z. B. Aspekte der Authentifizierung, Protokollierung oder Verschlüsselung. „Nach der Auswahl erhält man eine Checkliste, die beim Kontakt mit Lieferantinnen und Lieferanten oder für Ausschreibungen verwendet werden kann“, erklärt Piller. Zu jedem Punkt gibt es auch einen erklärenden Text mit weiteren Informationen.

Als Basis kann auch ein Fragebogen verwendet werden, der allgemein verständlich abfragt, was für die IT-Sicherheit der jeweiligen AnwenderInnen relevant ist, z. B. wie vertraulich verwendete Daten sind, wie sehr Kundinnen und Kunden durch unautorisiertes Verändern und Löschen geschädigt werden könnten oder wie groß der Kreis der Personen mit Zugriff auf Daten ist.

Zudem sucht die Plattform in anderen Datenbanken nach Informationen zu bekannten Vorfällen und trägt die Information übersichtlich zusammen. „Recherchieren im Internet kann jede und jeder, aber einen derart vollständigen Überblick gab es bisher noch nicht“, sagt Piller.

Kostenlos, werbefrei und unabhängig

Die neue Plattform ist kostenlos nutzbar, frei von Werbung und unabhängig von Herstellerinnen und Herstellern der Produkte. Betrieben wird die Plattform von der FH St. Pölten. Firmen können Informationen zur IT-Sicherheit ihrer Produkte auch selbst eintragen. Piller zufolge sollen die Firmen jedoch für Schäden nach falschen Angaben haften. Dadurch sollen die Unternehmen dazu angehalten werden, ihre Produkte ehrlich zu bewerten.

„Bisher gab es noch wenig an Infos zur IT-Sicherheit für den Einkauf. Doch ein Produkt wird im Betrieb nicht sicherer“, sagt Piller. Dennoch sei der Einkauf nicht alles: Auf den Schutz der IT-Sicherheit, etwa durch Firewalls und andere Maßnahmen, dürfe im Betrieb dennoch nicht verzichtet werden.

Plattform it-sicher.kaufen

Projekt ITsec.at

Die Plattform ist Teil und Ergebnis des Forschungsprojekts ITsec.at, das sich mit Gefahren durch Angriffe aus dem Cyberraum für die österreichische Informations- und Kommunikationstechnik befasste und Strategien, Vorgehensempfehlungen und Sicherheitstests erforschte. Partner im Projekt waren die SEC Consult Unternehmensberatung GmbH, das Bundeskanzleramt, das Bundesministerium für Inneres, das Bundesministerium für Landesverteidigung und Sport und das Magistrat der Stadt Wien (MA14, Informations- und Telekommunikationssysteme). Finanziert wurde das Projekt vom Bundesministerium für Verkehr, Innovation und Technologie im Rahmen der FFG-Programmlinie KIRAS (Sicherheitsforschung).

Projektbeschreibung lesen

Jetzt teilen: