Die Forderung nach der ordnungsgemäßen Speicherung, Verarbeitung und Übertragung von sensitiven Daten in Rechnernetzen gewinnt zunehmend an Bedeutung. Für die

Entscheidung, ob sensitive Daten in solchen Netzen verarbeitet und übertragen werden können,

ist der Grad des Vertrauens entscheidend, den man in die korrekte Funktion ihrer Sicherheitsmechanismen setzen kann. Dazu sind Kriterien erforderlich, mit deren Hilfe man.

diesen Grad des Vertrauens objektiv ermitteln und bewerten kann.

Die Bewertung der Vertrauenswürdigkeit eines Produktes kann entweder vor oder

während einer Produktentwicklung als sogenannte "vorläufige Produktbewertung (preliminary product evaluation)" oder nach Abschluß der Produktentwicklung als sogenannte "formale Produktbewertung (formal product evaluation)" erfolgen.

Die Möglichkeit zu einer vorläufigen Produktbewertung wurde deshalb geschaffen, weil die bisherige Erfahrung gezeigt hat, daß die nachträgliche Verbesserung der Sicherheitseigenschaften vorhandener marktgängiger Produkte nur in sehr eingeschränktem Umfang möglich ist. Sicherheitsmechanismen können nur dann wirksam und kostengünstig realisiert werden, wenn sie von vornherein bei der Entwicklung eines Produktes berücksichtigt werden. Die frühzeitige Beratung der DV-Hersteller bei der Konzipierung und Realisierung der notwendigen Sicherheitsmechanismen für ein Produkt, das entweder neu entwickelt oder verbessert werden soll, erfolgt im Rahmen einer vorläufigen Produktbewertung. Diese Produktbewertung muß vom Hersteller beantragt werden, und sie hat einen informellen Charakter, das heißt, sie kann zum Beispiel jederzeit von beiden Seiten abgebrochen werden. Im Rahmen der Produktbewertung werden technische Informationen über das geplante Produkt ausgetauscht, dabei wird durch vorherige Vereinbarungen sichergestellt, daß vertrauliche Produktinformationen entsprechend geschützt werden. Das NCSC beurteilt die vorgesehene Realisierung der Sicherheitsmechanismen und schlägt gegebenenfalls Änderungen und Verbesserungen vor. Als Abschluß der vorläufigen Produktbewertung erstellt das NCSC einen Abschlußbericht, der lediglich dem Hersteller zur Kenntnis gegeben wird und der Öffentlichkeit nicht zugänglich ist.

Eine "formale Produktbewertung (formal product evaluation)" wird ebenfalls auf Antrag eines Herstellers durchgeführt. Sie kann von keiner der beiden Seiten abgebrochen werden, sondern sie endet mit einer Einstufung des Produktes in eine der beschriebenen Bewertungsklassen. Eine solche Bewertung erfolgt nach einem festen Arbeits- und Zeitplan,

der zwischen Hersteller und NCSC vereinbart werden muß. Weiterhin wird eine Vereinbarung übel den Schutz von firmenvertraulichen Produktinformationen getroffen. Da Tests, insbesondere Penetrationstests, ein wesentlicher Teil des Bewertungsverfahrens sind, muß der Hersteller sicherstellen, daß das zu bewertende Produkt zur Verfügung steht und daß die in den TCSEC geforderten Dokumente (zum Beispiel Designdokumentation, Quellcode) vollständig vorliegen. Zur Durchführung der formalen Bewertung eines Produktes wird im NCSC ein Bewertungsteam gebildet, das nach Abschluß der Bewertungen seine Untersuchungsergebnisse in einem Abschlußbericht zusammenfaßt.

Dieser Bericht besteht aus zwei Teilen:

Der erste Teil enthält die Gesamteinstufung des Produktes, die auf der Grundlage der Bewertungskriterien ermittelt wurde, und die detaillierte Bewertung der Einzelkriterien. Der

Bericht enthält keine firmenvertraulichen Angaben und ist der Öffentlichkeit zugänglich.

Der zweite Teil enthält Analysen über Schwachstellen des Produktes und zusätzliche Angaben, die die Einstufung des Produktes begründen. Dieser Teil kann firmenvertrauliche Informationen enthalten; er wird daher nur an den Hersteller und sehr restriktiv an Behörden weitergegeben. Dem Hersteller werden keine Erkenntnisse aus dem Bewertungsprozeß vorenthalten.

Das Ergebnis einer formalen Produktbewertung wird in der sogenannten. "Evaluated Products List" veröffentlicht.

Trusted Computer System Evaluation Criteria

Die Trusted Computer System Evaluation Criteria (TCSEC) bestehen aus zwei Teilen und vier Anhängen. Im Teil I werden die Bewertungskriterien für vertrauenswürdige Systeme beschrieben, und im Teil II werden die Begründung für die Bewertungskriterien und Hinweise für ihre Anwendung gegeben. Im Anhang A wird das Bewertungsverfahren beschrieben und in den Anhängen B und C werden die Bewertungsgruppen und Bewertungsklassen zusammenfassend dargestellt. Eine Übersicht über die Einzelforderungen und die zugehörigen Bewertungskriterien ist in Anhang D zusammengestellt. Eine Liste von Begriffsbestimmungen ist abschließend angefügt.

Die Vertrauenswürdigkeit eines Produktes wird dadurch ausgerückt, daß es in eine

von sieben Bewertungsklassen eingeordnet wird, die mit D, C1, C2, B1, B2, B3 oder A1 bezeichnet werden. Diese Bewertungsklassen sind so festgelegt, daß auf dem Weg von D nach

Al bei je der Klasse das Vertrauen zunimmt, das in die ordnungsgemäße Verarbeitung von sensitiven Daten gesetzt werden kann. D ist dabei die Klasse, die keine Forderungen einer

höheren Klasse erfüllt, und A 1 ist die Klasse, die das Maximum an Sicherheit zur Verfügung

stellt, das beim gegenwärtigen Stand der Technik realisierbar ist.

Bewertungskriterien beispielhaft

Die Zuordnung eines Produktes zu einer Bewertungsklasse erfolgt auf der Grundlage

von Einzelforderungen (siehe Abb. 4), die je nach Bewertungsklasse in unterschiedlicher Ausprägung erfüllt sein müssen. Diese unterschiedlichen Ausprägungen von Einzelforderungen werden in den TCSEC als Kriterien bezeichnet. Diese sind so aufgebaut, daß sie innerhalb einer Einzelforderung mit steigender Bewertungsklasse strenger werden, das heißt, daß die Anforderungen an die technische und qualitative Realisierung der Kriterien höher werden. Ein Produkt einer Bewertungsklasse muß für jede der für diese Klasse zutreffende Einzelforderung sowohl die für diese Klasse geltenden Kriterien als auch alle Kriterien der darunter liegenden Klassen erfüllen. Beispielsweise werden bei der Einzelforderung .Sicherheitstests für ein C 1-Produkt lediglich einfache Tests der Sicherheitsmechanismen gefordert, während für eine Einstufung als A I -Produkt nachgewiesen werden muß, daß die Implementierung der TCB konsistent zur formalen Top-Level-Spezifikation ist.

Dietrich Cerny ist Mitarbeiter im Luftwaffenamt.