Höchstmögliche Zertifizierung gleich höchstmöglicher Schutz?

Weiterhin ist zu beobachten, dass sich bei der Vermarktung dieser Produkte die erlangte Stufe der Zertifizierung im Preis niederschlägt. Dies suggeriert eine Art von Schutz, der weder vor unsachgemäßem Einsatz schützt, noch die Sicherheit einer Gesamtlösung garantiert.

Ein Beispiel: Nehmen wir an, ein Unternehmen möchte seinen Außendienstmitarbeitern den Zugang zur Firmenzentrale über eine sichere Verbindung bereitstellen. Das Unternehmen setzt zum Aufbau der VPN-Verbindungen auf zertifizierte Hard- und Softwareprodukte. Alles sicher, oder? Was, wenn nun die Datenbank des Virenscanners auf dem System des Außendienstmitarbeiters veraltet ist, oder wenn ein Laptop verloren geht? Gibt es ein definiertes Vorgehen für eine solche Situation? Der Stellenwert einer Zertifizierung für beteiligte Hard- und Softwareprodukte einer VPN-Verbindung ist in so einem Fall völlig belanglos.

Systematisch wird bei einer Sicherheitszertifizierung üblicherweise ein ganz bestimmter Softwarestand des untersuchten Systems betrachtet – und zwar im Kontext einer sehr exakt spezifizierten Umgebung, auf Basis genau definierter Randbedingungen.

Die Frage, die sich hierbei nun stellt, ist, inwieweit ein solcher Ansatz den unterschiedlich gearteten Anforderungen im Realbetrieb standhält. Wenn plötzlich ein Setup erforderlich ist, dessen benötigte Dienste nicht Bestandteil der Zertifizierung waren, relativiert sich die Integrität des Gesamtsystems unmittelbar. Um ein angestrebtes Sicherheitsniveau zu erreichen, müssen auch anomale Betriebs-situationen einbezogen werden. Hier zeigt sich die tatsächliche Werthaltigkeit einer Lösung.