Für die Version 10 mit Zusatzprodukten

Zertifikat vom BSI für das Sicherheitspaket von BS2000

24.01.1992

Während bisher Preis und Leistung für die Wahl eines DV-Systems ausschlaggebend waren, werden künftig Funktionen für die Informationssicherheit zum entscheidenden Faktor. Allerdings ist die "Sicherheit", eines Systems für einen Käufer schwer zu beurteilen oder zu überprüfen.

Deshalb wurden von neutralen Instanzen Kriterien ausgearbeitet, nach denen die Sicherheit von Systemen untersucht, bewertet und zertifiziert werden kann: Siemens-Nixdorf hat entsprechend den IT-Sicherheitskriterien des BSI ein Sicherheitspaket für das BS2000 entwickelt. Das BS2000 in der neuen Version 10 mit den Zusatzprodukten "Secos" (Security Control System) und "Aseco" (Advanced Security Control) wurde inzwischen vom BSI evaluiert und erhält das Zertifikat F2/Q3. Das bedeutet,

- daß die Bestandteile des Betriebssystems nach den Qualitätskriterien Q3 entwickelt wurden und die Grundfunktionen sicherer Systeme entsprechend der Funktionalitätsklasse F2 bereitstehen und

- daß die Systemverwaltung auf dieser Grundlage einen sicheren Rechenbetrieb einrichten und gewährleisten kann.

Für die Einstufung in die Funktionalitätsklasse F2 müssen eine Reihe von Voraussetzungen erfüllt sein. Im BS2000 V10 sind unter anderem folgende sicherheitstechnisch relevanten Funktionen eingeführt worden:

Identifikation und Authentisierung des Benutzers: Beim Zugang zum Betriebssystem oder zu einer UTM-Anwendung (UTM = Universeller Transaktionsmonitor) werden die Benutzer identifiziert und authentisiert.

Soweit keine Chip-Karten eingesetzt werden, sind die Benutzerkennungen durch Paßwörter geschützt. Das Paßwortverfahren wurde durch zusätzliche Funktionen entscheidend verbessert:

- Paßwort-Mindestlänge,

- Mindestkomplexität,

- Begrenzung des Gültigkeitszeitraumes.

Weitere Mechanismen verhindern den Mißbrauch. So kann die Lebensdauer einer Benutzerkennung begrenzt werden. Die verschiedenen Zugangsklassen (Dialog, Batch) sind getrennt sperrbar. Der Dialogzugang zu einer Benutzerkennung kann auf bestimmte Terminals eingeschränkt werden.

Rechteverwaltung und Rechteprüfung: Gemäß den Forderungen der Funktionalitätsklasse F2 ist es möglich, für jeden Benutzer separat die Zugriffsrechte zu einem Objekt festzulegen. Um bei einer Vielzahl von Benutzern den Überblick zu gewährleisten und die Rechteverteilung zu vereinfachen, können mehrere Benutzerkennungen zu Benutzergruppen zusammengefaßt werden. Benutzergruppen lassen sich nach organisatorischen Gesichtspunkten oder Projektbezogen einrichten.

Jede Benutzergruppe hat einen Namen, einen Gruppenverwalter mit festgelegten Rechten und ein Gruppenpotential (Betriebsmittel und Benutzerrechte). Der Gruppenverwalter, der auch der systemglobale Benutzerverwalter sein kann, gibt die Betriebsmittel- und Benutzerrechte entsprechend den Erfordernissen an die Mitglieder seiner Gruppe weiter.

Durch diese Dezentralisierung der Benutzerverwaltung werden die Verwaltungsaufgaben verteilt und die Systemverwaltung entlastet. Diese Aufteilung der Rechte und Pflichten auf mehrere Verantwortliche ist sicherheitstechnisch viel vorteilhafter als die bisherigen umfassenden TSOS-Rechte eines einzelnen Systemverwalters.

Im BS2000 V10 sind folgende Rollen vorgesehen: Systemverwalter (mit der Benutzerkennung TSOS), Sicherheitsbeauftragter, systemglobaler Benutzerverwalter, Verwalter des hierarchischen Speicher-Management-Systems, Audit-Auswerter, Bandverwalter, Netzverwalter, Filetransfer-Verwalter, FTAC-Verwalter, Gruppenverwalter, Operator und Benutzer.

Zugriffe lassen sich besser kontrollieren

Jede beteiligte Person oder Gruppe erhält nur die für die jeweilige Funktion notwendigen Rechte.

Mit der neuen Rechteprüfung können Zugriffe auf Objekte besser als mit den bisherigen Standardzugriffsmechanismen kontrolliert werden. Dabei regeln Schutzmechanismen die Zugriffsrechte und die Mehrbenutzbarkeit von Dateien:

- Basiszugriffskontrolliste BACL (Basic Access Control List),

- Zugriffsrechte können unabhängig voneinander für den Eigentümer/Verantwortlichen, für die eigene Benutzergruppe oder alle Benutzer festgelegt werden,

- erweiterte Zugriffskontrolliste ACL (Access Control List).

Die ACL erlaubt darüber hinaus die Definition von Zugriffsrechten bis auf die Ebene von Einzelbenutzern oder bestimmten Benutzergruppen.

Bei beiden Zugriffskontrollisten können die Rechte für Lesen, Schreiben und Ausführen getrennt vergeben werden.

Beweissicherung nach IT-Sicherheitskriterien: Für die personenbezogene Beweissicherung entsprechend den IT-Sicherheitskriterien wird das Subsystem SAT (Security Audit Trail) eingesetzt. Durch SAT können sicherheitsrelevante Ereignisse protokolliert und in besonders geschätzten Dateien gespeichert werden. Solche Ereignisse sind insbesondere die Benutzung des Identifikations- und Authentisierungsmechanismus und der Zugriff auf Objekte, die der Rechteverwaltung unterliegen. Ebenfalls protokolliert werden die Aktionen voll Benutzern mit besonderen Rechten, die die Sicherheit des Systems betreffen, etwa Aktionen des Sicherheitsbeauftragten oder der Systemverwaltung.

Bei der Protokollierung werden auch die damit zusammenhängenden Daten, wie Datum, Uhrzeit, Identifikation des Ausfahrenden, Name des Objekts etc. aufgezeichnet, damit die Zugriffshistorie nachvollziehbar ist. In der Dokumentation erscheinen auch wiederholte Versuche, die Schutzmechanismen zu umgehen, und der Nachweis der unbefugten Ausführung von Funktionen. Die Vorauswahl der zu protokollierenden Ereignisse trifft der Sicherheitsbeauftragte. Der Zugriff auf die Daten der Protokolldateien ist nur den vom Sicherheitsbeauftragten autorisierten Personen möglich.

Durch die Aufzeichnung sicherheitsrelevanter Ereignisse lassen sich die unbefugte Ausführung von Funktionen und ein entstandener Schaden feststellen. Besonders wirkungsvoll ist der Audit-Mechanismus, weil die Protokolldateien bereits im laufenden Betrieb ausgewertet und deshalb unberechtigte Zugangsversuche sofort verhindert werden können.

Wegen der abschreckenden Wirkung der Protokollierung stellt der Audit-Mechanismus für den Betreiber eine zusätzliche Sicherheit dar, weil Versuche zur Umgehung von Sicherheitsmechanismen gar nicht erst unternommen werden.

Wiederaufbereitung von Speicherobjekten: Das von den Sicherheitskriterien geforderte Wiederaufbereiten von Speicherobjekten vor einer Wiederverwendung ist bereits in den früheren Versionen des BS2000 enthalten. Alle Dateien können vor einer Wiederverwendung durch andere Benutzer so aufbereitet werden, daß keine Rückschlüsse auf ihren früheren Inhalt möglich sind, das heißt, es werden zum Beispiel nicht nur die Dateinamen logisch gelöscht, sondern die Speicherdaten auch physikalisch überschrieben.

Die Bedeutung der Qualitätsstufe Q3: In den heute definierten acht Sicherheitsstufen erreicht die BS2000 V10 die Stufe Q3 das heißt, sie gilt als methodisch getestet und teilanalysiert. Bewertungsmaßstab für die Einstufung nach Q3 sind unter anderem

- die Qualität der Sicherheitsanforderungen,

- die Qualität der Spezifikation der zu evaluierenden Systemteile,

- die Qualität der verwendeten Mechanismen,

- die Qualität der Abgrenzungsmechanismen zu nicht zu evaluierenden Systemteilen,

- die Qualität des Herstellungsvorganges,

- die Betriebsqualität und

- die Qualität der Anwenderdokumentation.

Im Vergleich zum Orange Book entspricht die BS2000 V10 in der Qualität bereits einem B1-System!

Zugangskontrolle zu BS2000 mit der Chip-Karte: Wirksamster Schutz eines Systems ist eine zuverlässige Zugangskontrolle. Selbst bei guten Paßwortverfahren bleibt das Risiko des Abhörens oder Ausforschens von Paßwörtern oder der fahrlässige Umgang mit Paßwörtern. Chip-Karten können die Sicherheit wesentlich erhören.

Dabei muß sich der Benutzer zunächst gegenüber der Chip-Karte identifizieren und seine Berechtigung durch die richtige Geheimzahl (PIN) nachweisen. Die PIN wird in der Karte geprüft, kann also nicht auf Leitungen abgehört werden. In einem zweiten Schritt wird die Chip-Karte voll, System auf Echtheit geprüft (authentisiert). Dazu werden in einem dynamischen Dialog zwischen einem Sicherheitsmodul am zentralen Rechner und der Chip-Karte Anthentisierungsinformationen ausgetauscht, die durch einen kryptographischen Algorithmus verschlüsselt sind.

Für den Zugang zum Betriebssystem ist also der Besitz einer gültigen Chip-Karte und die Kenntnis der Geheimzahl notwendig. Es handelt sich somit um eine doppelte Sicherheit.

Für die Sicherheit weiterhin entscheidend sind die besonderen Eigenschaften der Mikroprozessor-Chip-Karte: Die Daten können nicht unberechtigt ausgelesen werden, die Karte ist weder kopierbar, noch kann sie gefälscht werden, und sie nimmt aktiv an den Sicherheitsprozeduren teil.

Im BS2000 V10 ist mit Aseco die Zugangskontrolle per Chip-Karte im Teilnehmer- und Teilhaberbetrieb (UTM-Anwendungen) vorgesehen.

Vorteile eines evaluierten Systems: Um die Sicherheit eines evaluierten Systems zu gewährleisten, enthält das Evaluierungs-Zertifikat gewisse Auflagen. Dazu gehört unter anderem, daß das System nur in einer geschätzten Umgebung betrieben werden darf, daß die Richtlinien des Sicherheitshandbuches und des Zertifikates einzuhalten sind, und daß nur bewertete Soft- und Hardwarekomponenten zum Einsatz kommen dürfen.

Aber auch Betreibern, die ihr System nicht diesen strengen Richtlinien unterwerfen wollen, bringt die BS2000 V10 erhebliche Vorteile.

Die im Herstellungsprozeß verlangten Sicherheitseigenschaften vom Design bis zum Ausliefern des Produktes werden generell angewandt. Alle bei der entwicklungsbegleitenden Evaluierung entdeckten Schwachstellen wurden eliminiert. Die für evaluierte Systeme notwendige umfangreiche Dokumentation, insbesondere die speziellen Sicherheitshandbücher, sind für jeden Anwender, verfügbar.

Mit dein Betriebssystem BS2000 V10 und Secos sowie Aseco steht erstmalig ein System zur Verfügung, dessen Sicherheitseigenschaften von neutralen Experten unter Aufsicht einer deutschen Behörde überprüft und bewertet wurden.