Aufgeschrekt durch Berichte über Hackereinbrüche, Computerkriminalität und Viren fordern immer mehr Anwender sichere Systeme. Um feststellen zu können, was ein bestimmtes System in dieser Hinsicht bietet, wurden bereits Anfang der achtziger Jahre in den USA verbindliche Kriterien definiert, nach denen auch zertifiziert wird.
Das National Computer Security Center (NCSO prüft, bewertet und zertifiziert als zuständige nationale Zertifizierungsbehörde der USA Hard- und Softwareprodukte unter Sicherheitsgesichtspunkten. Dies erfolgt auf der Grundlage der 1983 erstmals veröffentlichten und 1985 geringfügig überarbeiteten "Trusted Computer Security Evaluation Criteria (TCSEO", dem sogenannten Orange Book, sowie der 1987 im Entwurf freigegebenen "Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria (TN0", dem sogenannten Red Book. Weitere Interpretationen der TCSEC sollen erarbeitet werden; gegebenenfalls werden auch die TCSEC selbst in absehbarer Zeit überarbeitet.
Die TCSEC stellen Kriterien zur Bewertung der Vertrauenswürdigkeit von DV-Systemen
dar, sie enthalten eine funktionelle Festlegung und Klassifizierung der Sicherheitsanforderungen sowie qualitative Anforderungen an diese Sicherheitsanforderungen für Hardware, Firmware und Software mit den Zielen,
- dem Anwender Anhaltspunkte für die Auswahl und den Einsatz vertrauenswürdiger Systeme der IT zu geben,
- den Herstellern eine Leitlinie für die Entwicklung vertrauenswürdiger Systeme der IT zu geben und
- Systeme der IT vom NCSC mit Hilfe dieser Kriterien beurteilen zu können.
Die TCSEC bestehen aus Gruppen und Klassen mit den folgenden Eigenschaften (siehe nebenstehende Tabelle).
Eine ausführliche inhaltliche Darstellung der TCSEC findet sich bereits bei Cerny, (b).
Die Trusted Network Interpretations (TNI) stellen Interpretationen der TCSEC für vertrauenswürdige Netzwerke dar und sind damit Interpretation und Erweiterung der TCSEC zur Anwendung auf Netzwerke. Mit den TNI sollen drei allgemeine Ziele erreicht werden:
- Den Herstellern soll ein Standard zur Verfügung gestellt werden, der vorschreibt, welche Sicherheitsfunktionen ihre kommerziellen Netzwerkprodukte enthalten sollen und mit welcher Qualität diese Funktionen zu realisieren sind.
- Es soll ein Maßstab zur Verfügung gestellt werden, mit dessen Hilfe der Grad des Vertrauens ermittelt wird, der in ein Rechnernetz hinsichtlich der Behandlung sensitiver
Informationen gesetzt werden kann.
- Den Anwendern soll eine Grundlage zur Formulierung von Sicherheitsforderungen in Pflichtenheften zur Verfügung gestellt werden.
In vernetzten Systemen sollen damit die folgenden DV-Sicherheits-Ziele erreicht werden:
- Kontrolle des Zugriffs zur Vermeidung der unberechtigten Kenntnisnahme von Objekten (Unauthorized Disclosure),
- Vermeidung der unberechtigten Änderung von Nutz-, Anwender- und Systemdaten (Integrity),
- Vermeidung der Dienstleistungsverhinderung (Denial of Service).
Die TNI bestehen aus zwei Teilen und drei Anhängen.
Teil I: Interpretation der grundlegenden Prinzipien der TCSEC mit Übertragung der Sicherheitsmaßnahmen, der Garantieforderungen und der Bewertungsstruktur auf Netzwerke von isolierten Local Area Networks (LANs) bis hin zu Wide Area Internetwork Systems.
Teil II: Beschreibung (Specification and Evaluation) der in Netzwerken relevanten Sicherheitsaspekte und -dienste der Communication Security (insbesondere Transmission Security und unterstützende Dienste wie Verschlüsselungsverfahren und Protokolle) und des Denial of Service. Die Beschreibung wird unter den folgenden drei Aspekten vorgenommen:
- Funktionalität,
- Stärke des Mechanismus und
- Garantie.
Weiterhin wird eine Bewertung der Sicherheitsdienste hinsichtlich des Zielerreichungsgrads dieser drei Aspekte unterstützt. Sie unterscheidet sich allerdings von der hierarchischen der TCSEC; weil sich der Anwender der TNI sowohl für oder gegen die Nutzung einzelner Sicherheitsdienste entscheiden und auch den jeweiligen gewünschten Qualitätsgrad (none, minimum, fair, good) festlegen kann. Es werden drei Sicherheitsdienste aufgeführt:
- Kommunikationsintegrität
(Authentifizierung, Kommunikationsfeld-Integrität, Nicht-Zurückweisung),
- Verweigern von Diensten (Aufrechterhaltung des Betriebs, Protokoll-basierte Schutzmechanismen, Netz-Management),
- Schutz gegen Bloßstellung (Vertraulichkeit der Daten, Vertraulichkeit des Datenverkehrs, Wegewahl).
In den drei Anhängen A bis C wird die Bewertung von Netzkomponenten beschrieben, die Aufteilung der TCB eines Netzes auf seine Komponenten begründet und die Bewertung komplexer Netze dargestellt.
Anhang A: Component Evaluation: Bewertung von Komponenten. Bisher wurde das Netzwerk aus ganzheitlicher Sicht betrachtet. Hier wird eine Komponentenorientierte Bewertung angeboten angesichts der beiden folgenden Tatsachen:
- Es ist zu erwarten, daß bestimmte Netzwerkkomponenten nur von bestimmten Herstellern angeboten werden;
- Netzwerkkomponenten, die einmal für ein Netzwerk zertifiziert sind, können in anderen Netzwerken eingesetzt werden, ohne erneut bewertet werden zu müssen. Dies mindert die Anzahl der zu bewertenden Systeme und Komponenten.
Grundsätzlich werden die aus den TCSEC bekannten Bewertungsklassen (D, C1, C2, Bl, B2, B3, A0 übernommen. Zusätzlich wird aufgeführt, welche der folgenden vier Sicherheitspolitiken durch die Komponenten unterstützt werden. Die vier Sicherheitspolitiken und die zugehörigen Klassennamen sind:
Anhang B: Rationale for the Partitioned NTCB Approach: Grundlagen der verteilten NTCB. Begründung für die Aufteilung der TCB auf unterschiedliche Komponenten.
Anhang C: The Interconnected Accredited AIS View: Der Ansatz zur Verknüpfung vernetzter und zertifizierter Systeme der IT.
Verknüpft werden können nach unterschiedlichen Klassen der TCSEC zertifizierte Systeme, ohne daß das Netzwerk einheitlich mit einer Klasse bewertet werden könnte.
Component Connections and the Interconnection Rule: Vernetzte Komponenten und die Verknüpfungsregel. Die Verknüpfungsregel begrenzt den Bereich von Geheimhaltungsgraden und Kategorien beim Informationsaustausch zwischen vernetzten Systemen der IT:
- Bei Simplexverbindungen muß die empfangende Komponente im Vergleich zur sendenden Komponente für eine höhere oder dieselbe Sicherheitsstufe freigegeben sein;
- bei Duplexverbindungen müssen die Komponenten für dieselbe Sicherheitsstufe freigegeben sein.
The Global Network View: Gesamtbetrachtung eines Netzwerks. Neben den erwähnten können weitere Risiken auftreten, die nur beherrscht werden können, wenn alle Komponenten detailliert betrachtet werden. Hingewiesen wird insbesondere auf das Kaskadenproblem: Die Möglichkeit der unberechtigten Kenntnisnahme von Daten aus einem Netzwerk, das insgesamt für ein größeres Intervall von Geheimhaltungsgraden und Kategorien freigegeben ist als jedes einzelne (vernetzte) System, aus dem unberechtigt Daten zur Kenntnis genommen werden könnten.
Nicht alle Netzwerke von Systemen der IT können - andere sollten nicht - mit den TNI bewertet werden. Kriterium hierfür ist in erster Linie die Komplexität des Netzwerks (Subnetworks, Multi-vendor Components etc.).
In der Bundesrepublik nimmt die Aufgabe der Prüfung und Bewertung von Systemen der Informationstechnik (IT) die ZSI - Zentralstelle für Sicherheit in der Informationstechnik (früher ZfCh: Zentralstelle für das Chiffrierwesen) - wahr. Zu den Aufgaben dieser Behörde hat sich Leiberich, 1988, geäußert. Zertifiziert wurde bisher das Produkt pc + softlock; im Vergleich zum Zertifizierungsschema des NCSC könnte es als Subsystem bezeichnet werden (Tabelle 2).
Vergleichbar den TCSEC und den TNI wurden von der ZSI die nationalen IT-Sicherheitskriterien - Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik - in einer ersten Fassung 1989 herausgegeben. Auf der Grundlage dieser Kriterien sind noch keine Bewertungen oder Zertifizierungen veröffentlicht.
Die Ergebnisse der Prüfungen des National Computer Security Center (NCSC) werden regelmäßig veröffentlicht. In diesem Beitrag sind die bewerteten Produkte aus dem Bereich Computer Security (DV-Sicherheit) zusammengefaßt gemäß dem jüngsten verfügbaren Stand. Nicht enthalten sind hier die - auf dem Markt nicht erhältlichen - abstrahlungsarmen Geräte sowie Produkte zur Verschlüsselung und die Tools zur Prüfung, insbesondere zur Verifikation, der Produkte.
In der Tabelle 1 sind die Firmen aufgelistet, mit denen das NCSC zusammenarbeitet und deren Produkte es prüft mit dem Ziel einer Bewertung. In den frühen Stadien des Bewertungsverfahrens werden die im Prüfvorgang befindlichen Produkte vom NCSC (noch) nicht veröffentlicht. Erst kurz vor Abschluß des Bewertungsverfahrens werden die Produkte als sogenannte candidates genannt; die derzeitigen Kandidaten für eine Zertifizierung sind in Tabelle 5 aufgeführt; die hier aufgeführten Netzwerke sind gemäß der komponentenorientierten Struktur der TNI zusätzlich, das heißt über die erwartete Bewertungsklasse hinaus, durch ein Kürzel für die Sicherheitspolitik charakterisiert:
M = Supporting Mandatory Access Control,
D = Supporting Discretionary Access Control,
I = Supporting Identification/Authentication,
A = Application Supporting Audit.
In den weiteren Tabellen sind die zertifizierten Produkte mit Angabe der Versionsnummer etc. angegeben, so daß der Leser exakt die zertifizierte Version vom Hersteller beschaffen kann. Mit angegeben ist das Bewertungsergebnis nach der Klassifizierung der TCSEC bzw. der TNI. Hierbei müssen drei Klassen unterschieden werden:
- Betriebssysteme, die einen Schutz gemäß den TCSEC bieten und entsprechend bewertet wurden (Tabellen 4a und 4b). Bei Beschaffungen kommt es hier genau auf die angegebene Version gegebenfalls mit Patch an; nur diese ist zertifiziert! Das Zertifizierungsdatum ist mitangegeben. Daraus ergibt sich, daß meist nicht die jüngste auf dem Markt verfügbare Version zertifiziert ist. Das NCSC hat diese Problematik gesehen und das Ratings Maintenance Program (RAMP) entwickelt, das eine Zertifizierung der jeweils aktuellen Version ermöglichen soll; bisher ist nur ein Betriebssystem in dem Prozeß (VAX/VMS von DEO, das Datum des Eintritts in dieses Verfahren ist angegeben.
- Add-on-Produkte, die in sich zwar - zumindest teilweise - die TCSEC erfüllen, aber wegen der nicht in das Betriebssystem integrierten, sondern nur aufgesetzten Sicherheitsfeatures einen geringeren Schutz ermöglichen wie die erstgenannte Klasse. (Tabelle 3). Das Zertifizierungsdatum ist mitangegeben.
- Subsysteme (Tabelle 2): Geprüfte aber unbewertete Produkte. Diese sind Add-on Proukte insbesondere für Personal Computer, die unter MS-DOS betrieben werden. Diese Produkte erfüllen die Kriterien einer Klasse der TCSEC nur teilweise. Die Struktur der TCSEC läßt - im Gegensatz zu den TNI - eine Bewertung derartiger Produkte nicht zu. Diese Produkte realisieren die geringste Steigerung des Sicherheitsniveaus. Von den aufgeführten sind allerdings nicht alle auf dem deutschen Markt erhältlich.
Insbesondere aus der Tabelle 4a bzw. 4b läßt sich deutlich erkennen, daß nach anfänglichen Versuchen, sehr vertrauenswürdige Systeme zu zertifizieren (Klassen A1 und B2), zwischenzeitlich das Schwergewicht auf die Prüfung und Zertifizierung von Systemen der Klasse C2 gelegt wurde. Eine größere Anzahl nach C2 bewerteter Systeme war auch deswegen notwendig, weil die "National Policy on Controlled Access Protection" deren Einsatz bei der Verarbeitung sensitiver Daten in Behörden ab 1992 vorschreibt! Eine entsprechende Regelung besteht in der Bundesrepublik (noch) nicht.
Erst in jüngster Zeit ist der Trend erkennbar, insbesondere Systeme der Klasse B1 zu bewerten (Tabelle 5); dies offensichtlich nicht zuletzt deswegen, weil inzwischen ausreichend viele Systeme nach C2 zur Verfügung stehen. Wahrscheinlich liegen im NCSC nunmehr auch hinreichende Erfahrungen für die Bewertung höherwertiger Systeme vor. Es ist zu vermuten, daß die ZSI in der Bundesrepublik vergleichbar vorgehen wird.
* Dr. Hartmut Pohl und Ludger Hütte sind DV-Sicherheitsberater in Köln
Gruppe, Klasse, Titel: Eigenschaften
A Verifizierter Schutz
1 Verifizierter Entwurf: Formale Funktionsspezifikation und Verifikation der Trusted Computing Base (TCB), formale Analyse verdeckter Kanäle, nicht-formale Nachweisführung der Übereinstimmung des Programmcodes mit der formalen Funktionsspezifikation.
B Festgelegter Schutz
3 Sicherheitsbereiche: Sicherheitskern sehr widerstandsfähig gegen versuchtes Eindringen.
2 Schutz durch Strukturierung: Formales Sicherheitsmodell, Betrachtung verdeckter Kanäle, sicherheitsorientierte Architektur, relativ widerstandsfähig gegen versuchtes Eindringen.
1 Schutz durch Kennzeichnung: Festgelegte Zugriffskontrollen, Sicherheitskennzeichen, Behebung sicherheitsrelevanter Schwachstellen.
C Benutzerbestimmbarer Schutz
2 Schutz durch Zugriffskontrolle: Individuelle Protokollierbarkeit, ausgedehnte Protokollierung, Zusatzsoftware.
1 Benutzerbestimmbarer Zugriffsschutz: Benutzerbestimmbare Zugriffskontrollen, Schutz der Benutzer untereinander.
D Minimaler Schutz: Unbewertet
Kooperationspartner des NCSC
Addamax
AT&T
Avant-Garde
Boeing
Bull/HN
Clyde Digital Systems
Concurrent
Control Data Corporation
Data General
Digital Equipment
Corporation
Eyedentify
Gemini
Harris
Hewlett-Packard
Honeywell
Infotron
Interquest
Key Logic
Micronyx
SecuWare
Sun Microsystems
Tandem
UNISYS
United Software
Verdix
Wang
Geprüfte Subsysteme
- Access Control Encryption System, 1986 Port Hardware Version, Security Dynamics, Inc.
- Citadel Security Subsystems Vers. 4.0, Computer Security Corp.
- Codercard CPP-300 Port Protector, Codercard, Inc.
- Cortana PC Security System Vers. 1.21, Cortana Systems Corp.
- DIALBACK Vers. 1.5, Clyde Digital Systems
- DPS-800/12, Spectrum Manufacturing, Inc.
- Gordian Systems Access Key A.00, Thumbscan
- IDX-50 Vers. 7, IDENTIX, Inc.
- Microcontrol, Wang Laboratories
- Private Access Model L20, Computer Accessories, Inc.
- Safeword UNIX-Safe Vers. 3.1, Enigma Logic, Inc.
- Sentinel Vers. 3.13, Computer Security Corporation
- SGT Security Vers. 4A, Pike Creck Computer Company
- Surekey, Key Concepts, Inc., Sytek PFX A2000/A2100,
- Racal-Guardata, Inc.
- Triad Plus Vers. 1.3, Micronyx, Inc.
- X-Lock 50 Vers. 2.00, Infosafe Corp.
- Watchdog PC Data Security Vers. 4.1, Fischer Int.