Das Angebot bewerteter und vertrauenswuerdiger Hard- und Software- Sicherheitsprodukte ist in den beiden letzten Jahren weltweit ueberproportional gestiegen. Eine vollstaendige Uebersicht fehlte bislang. Das soll an dieser Stelle nachgeholt werden.
Von Hartmut Pohl
Die Berichte in den Medien ueber bewusst herbeigefuehrte und auch sogenannte unbeabsichtigte Stoerungen durch Fehler in Hard- und Software von Informationssystemen haeufen sich in diesen Tagen. Das ist jedoch kein Beweis fuer deren zunehmende Unsicherheit oder Verletzlichkeit 12) und erst recht kein Beleg fuer vermehrte kriminelle Aktivitaeten. Moeglicherweise waren Informationssysteme in der Vergangenheit staerker mit Fehlern behaftet und unsicherer und der Computermissbrauch in der Relation sogar haeufiger und folgenreicher als heute - nur dass diese Aktivitaeten haeufig nicht bemerkt oder aber vertuscht wurden.
Die zunehmende Zahl der publizierten Faelle ist allerdings ein Hinweis auf die aktuell vorhandene Stoeranfaelligkeit und die missbraeuchliche Nutzung von Systemen und Netzen. Es steht zu erwarten, dass in Zukunft weitere und neuartige Schwachstellen sowie Angriffsverfahren erkennbar werden 11).
Mittlerweile sind aber auch die Anwender sicherheitsbewusster geworden und gehen strukturierter vor 14): Zum einen wird in Niedrig-Risiko-Bereichen lediglich ein Minimalschutz - auch Grundschutz genannt - realisiert, mit dem DV-Systeme flaechendeckend auf einem niedrigen Niveau abgesichert werden. Dies erscheint angesichts des als niedrig eingestuften Werts der in diesen Bereichen verarbeiteten und gespeicherten Daten als angemessen. Zum anderen wird eine Risikoanalyse durchgefuehrt, die mit einer Bewertung der gespeicherten und verarbeiteten Daten beginnt: die sogenannte Informationswertanalyse. Hier werden die wertvollen Daten bezeichnet und hinsichtlich ihres Werts kategorisiert.
Angemessenes Sicherheitsniveau
Im zweiten Schritt werden die moeglichen Bedrohungen festgestellt: Sollen die wertvollen Daten gegen Aenderung beziehungsweise Manipulation bis hin zur Zerstoerung (Integritaet) oder gegen unberechtigten Zugriff (Vertraulichkeit) geschuetzt werden? Nicht unberuecksichtigt bleiben darf dabei der Aspekt der Verfuegbarkeit von Komponenten und Systemen.
Auf der Grundlage einer unternehmensweiten Sicherheitsstrategie und der Ergebnisse der Risikoanalyse werden in Abhaengigkeit vom jeweiligen Wert der Daten ein angemessenes Sicherheitsniveau festgelegt und entsprechende Massnahmen ausgewaehlt und realisiert.
Hierbei ist zwischen personellen und materiellen Sicherheitsmassnahmen zu unterscheiden. Zu letzteren gehoeren neben der physischen (wie die Raum- und Gebaeudeabsicherung und die elektrischen und elektromagnetischen Massnahmen) insbesondere die logischen Vorhergehensweisen mit den organisatorischen und den programmtechnischen Strategien wie Verschluesselung und Zugriffskontrollsystem.
Im folgenden soll nur auf die programmtechnischen Massnahmen eingegangen werden. Eine wesentliche Rolle spielt dabei das Sicherheitsniveau der eingesetzten Software. Fuer dessen Bewertung existieren seit mehr als zehn Jahren Bewertungsverfahren, die kontinuierlich verbessert wurden.
An jedes System der Informationstechnik (IT) und jedes Produkt (Hard- oder Software) werden eigene Anforderungen bezueglich der Einhaltung der international akzeptierten Sachziele der Informationssicherheit, das heisst der Vertraulichkeit, Integritaet und Verfuegbarkeit gestellt.
Viele Anwender sind ueberzeugt, dass fuer das Unternehmen auch Sicherheitsmassnahmen in der Informationsverarbeitung lebenswichtig sind. Dementsprechend ist auch ihre Bereitschaft gewachsen, sogenannte sichere Systeme einzusetzen.
Dabei vertrauen sie eher dem Ergebnis einer Bewertung, die von unabhaengiger und neutraler Seite vorgenommenen wurden, als sich auf das Wort des Herstellers zu verlassen oder die Produkte gar selbst zu testen.
Eine solche Beurteilung erfordert objektive und genau definierte Kriterien und eine ueberpruefende Instanz. Diese Zertifizierungsstelle bestaetigt dann, dass die Evaluation ordnungsgemaess durchgefuehrt wurde. Die entsprechenden Kriterien und Bewertungsverfahren wurden von der Europaeischen Gemeinschaft (EG) - heute Europaeische Union (EU) - entwickelt; Zertifizierungsstelle in Deutschland ist das Bundesamt fuer Sicherheit in der Informationstechnik (BSI). Im Maerz 1992 verabschiedete der Rat der Europaeischen Gemeinschaft einen Beschluss mit sechs Action-Lines. Die EG-Kommission startete auf dieser Grundlage eine ganze Reihe anspruchsvoller Projekte 3) und 4). Inzwischen wird jaehrlich ein neuer Aktionsplan zwischen den Mitgliedsstaaten abgestimmt und realisiert. Die Abstimmungen finden in der Senior Officials Group Information Security (SOG-IS) statt. Die Projekte fuer 1994 sind noch nicht abschliessend festgelegt; Richtschnur fuer die Zukunft duerfte das Green Book 5) werden. Alle Projekte der Jahre 1992 bis 1994 lassen sich den Action-Lines des Ratsbeschlusses unmittelbar zuordnen und ihre Ergebnisse sind von erheblichem Einfluss auf den Markt der IT-Produkte.
Hersteller von Hard- und Software und Beratungsunternehmen haben bei der Durchfuehrung ein erhebliches Know-how angesammelt, das unmittelbar in Produkte und ihre Bewertung einfliesst.
Ausser acht bleiben sollen in dieser Untersuchung alle Erzeugnisse, die nach den jeweiligen (veralteten) nationalen Kriterien bewertet wurden, wie sie eine Reihe von Staaten der EU erarbeitet hatten - so Grossbritannien, Frankreich und Deutschland. Beruecksichtigt werden hier vielmehr nur solche Produkte, die nach den neuesten Kriterien der EU bewertet wurden, den sogenannten IT Security Evaluation Criteria (ITSEC) 2).
Die evaluierten und zertifizierten Erzeugnisse sind fuer Deutschland 1) und Grossbritannien in Abbildung 1 und 2 aufgefuehrt.
Zum Vergleich sind in Abbildung 4 die in den USA nach den nationalen Kriterien TCSEC (Trusted Computer Security Evaluation Criteria) 6) und ihren Interpretationen fuer Netzwer- ke 7), fuer Subsysteme 8) und fuer Datenbanksysteme 9) bewerteten und zertifizierten 30 Produkte aufgefuehrt - eine entsprechende Darstellung wurde schon vorgelegt 10).
Mit insgesamt 24 in Grossbritannien und Deutschland zertifizierten Erzeugnissen scheint der vormals deutliche Vorsprung der USA auf dem Gebiet der Informationssicherheit nunmehr aufholbar.
Hingewiesen werden soll hier ausdruecklich auf die in Grossbritannien zertifizierten Datenbanksysteme.
Insgesamt wurden in Europa mehr als die aufgefuehrten 24 Produkte bewertet: So bleiben zum Beispiel die von der franzoesischen Regierung evaluierten Erzeugnisse hinsichtlich Produktname, Funktionsklasse und Evaluierungsstufe unveroeffentlicht, weil sie ausschliesslich fuer die Anwendung in Behoerden geprueft wurden.
In den Abbildungen 3 und 7 sind die Produkte aufgefuehrt, die sich derzeit in Grossbritannien und Deutschland im Evaluierungsprozess befinden.
Hier werden allerdings nur Produkte der Hersteller aufgefuehrt, die ihre Genehmigung dazu erteilt haben; tatsaechlich sind es erheblich mehr: Etwa hundert Erzeugnisse sollen sich in Europa momentan im Bewertungsprozess befinden.
Der Grund fuer die Zurueckhaltung der Unternehmen liegt in der Unsicherheit, ob die gesteckten Sicherheitsziele auch einer unabhaengigen Ueberpruefung und Zertifizierung standhalten werden. Und Hersteller haben naturgemaess ein grosses Interesse an der Geheimhaltung von Misserfolgen. Unter Sicherheitsaspekten erscheint es allerdings kritisch, solche Ergebnisse unveroeffentlicht zu lassen, setzten doch Anwender diese Produkte ein, ohne zu wissen, dass sie unter Sicherheitsaspekten keineswegs dem Stand der Technik entsprechen.
Auch in den USA zieht man es offenbar vor, Fehlschlaege nicht zu publizieren: Produkte, die in die Kategorie der TCSEC fallen, werden nicht aufgefuehrt. Aus der Tatsache, dass einige Erzeugnisse in aktuellen Listen fehlen, lassen sich aber zumindest Rueckschluesse auf zurueckgezogene Zertifikate ziehen 10)/.
Abbildung 8 enthaelt daher auch nur die unbewerteten Produkte der Hersteller, die einer Veroeffentlichung zugestimmt haben. Tatsaechlich duerfte die Zahl der zurueckgezogenen beziehungsweise bei der Evaluierung durchgefallenen Erzeugnisse etwa doppelt so hoch sein. Unberuecksichtigt bleiben hier die unbewerteten Produkte anderer Nationen - insbesondere Grossbritanniens und der USA, da die Ergebnisse nicht bekanntgemacht werden.
Auffallend ist die grosse Zahl der Produkte im Bewertungsprozess Deutschlands und Grossbritanniens von insgesamt 49, von denen ein entscheidender Anteil noch in diesem Jahr zertifiziert werden soll.
In den Anfangsjahren der Evaluierungen wurden vornehmlich Add-on- Produkte beurteilt, weil die meisten Betriebssysteme den Anforderungen wegen fehlender Sicherheitseigenschaften nicht standgehalten haetten. Heute ist der Trend erkennbar, Sicherheitsmechanismen in Betriebssysteme und Anwendungssoftware direkt einzubauen und dann das ganze System evaluieren zu lassen.
Das Sicherheitsniveau steigt bei "richtigem" Einsatz dieser Produkte erheblich an, weshalb im Bereich der auf PC einsetzbaren Betriebssysteme schon in naher Zukunft weiterer Bewertungsbedarf entstehen duerfte.
Noch in diesem Jahr sind bilaterale Abkommen zur Anerkennung der Evaluierungs- und Zertifizierungsergebnisse zu erwarten, so dass die nach den EU-Kriterien ITSEC anerkannten Produkte fuer den Anwender auch offiziell vergleichbar werden.
Er kann dann zwischen 15 zertifizierten und 49 im Evaluierungsstadium befindlichen Produkten entscheiden.
Diese Auswahl sollte bei neuen Verfahren und Anwendungen in das oben skizzierte Sicherheitskonzept eingebaut werden. In Abhaengigkeit vom Wert der Daten ist in diesem Fall eine Software auszuwaehlen, die eine angemessene Evaluationsstufe und Funktionalitaetsklasse aufweist.
Bei laufenden Verfahren und Anwendungen hingegen ist sorgfaeltig zu pruefen, welche zusaetzlichen Risiken auftreten koennen, wenn andere Betriebs- und Datenbanksysteme oder Anwendungssoftware eingesetzt werden sollen. Meist wird ein Austausch hier nicht moeglich sein. Einen um so hoeheren Stellenwert nimmt dann eine Analyse der Informationsfluesse der wertvollsten Daten und die Absicherung der verwundbarsten Schwachstellen ein.
Die deutsche Zertifizierungsinstanz ist das Bundesamt fuer Sicherheit in der Informationstechnik (BSI). Sie kontrolliert die von unabhaengigen Pruefstellen vorgelegten Produktbewertungen. In Abbildung 5 sind die sieben derzeit akkreditierten Pruefstellen aufgefuehrt. In Abbildung 6 erscheinen zwoelf Unternehmen und Vereine, die einen Antrag auf Zulassung gestellt haben. Weitere 32 Unternehmen warten ebenfalls auf ihre Anerkennung, wollen aber noch nicht genannt werden. Insgesamt sind allein in Deutschland bis zum Jahresende 51 akkreditierte Pruefstellen zu erwarten.
Abbildung 9 enthaelt die vier akkreditierten Instanzen (Commercial Licensed Evaluation Facilities = CLEFS) Englands aufgefuehrt. In Abbildung 10 werden die im Akkreditierungsprozess befindlichen Pruefstellen Frankreichs (4) und der Niederlande (1) genannt. Bald sind die Hersteller also nicht mehr auf die Pruefstellen ihres Landes angewiesen, sondern koennen dann unter 60 europaeischen Stellen auswaehlen.
In der Vergangenheit hat eine Reihe von Nationen eigene Bewertungskriterien entwickelt und veroeffentlicht. Dazu gehoeren auch die USA, die in juengerer Zeit die Federal Criteria erarbeitet haben.
Die Zukunft liegt allerdings nicht in diesen seit 1983 praktizierten nationalen Alleingaengen, sondern vielmehr in den Bemuehungen der EU mit den USA und Kanada hinsichtlich der Entwicklung gemeinsamer Bewertungskriterien, die als Common Criteria (CC) bezeichnet werden. Dieses dann international abgestimmte Werk soll bereits im naechsten Jahr abgeschlossen sein.
Darueber hinaus wird der Entwurf der CC schon parallel in der International Standards Organisation (ISO) behandelt. Der Anwender kann davon ausgehen, dass es sowohl Ueberleitungsregeln von den bisherigen EU-Kriterien ITSEC als auch gegenseitige Anerkennungsverfahren auf der Grundlage der CC zwischen den Nationen geben wird.
Mit dieser summarischen Darstellung wird erstmals der Versuch gemacht, alle in den verschiedenen Laendern evaluierten und zertifizierten Produkte zusammenzustellen. Bisher sind diese nur in unterschiedlichen Werken zu finden und fuer den Anwender nur unter Schwierigkeiten zu erhalten. Waehrend das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) seine Liste gegen ein Entgelt abgibt, versendet die zustaendige britische Stelle ihre Uebersicht kostenfrei.
Verhaltensaenderung
Nichts sehen, nichts hoeren, nichts sagen - das Camorra-Gesetz der Omerte gilt nicht mehr. Sicherheitsrisiken aller Art, auch menschliche, muessen auf den Tisch. Zu viel steht auf dem Spiel.
Literatur:
1)Bundesamt fuer Sicherheit in der Informationstechnik (BSI): BSI- Zertifizierung - Zertifizierte IT-Systeme und -Komponenten. Bonn 1994
2) Commission of the European Com- munities. DG XIII B: Kriterien fuer die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC). Vorlaeufige Form der harmonisierten Kriterien. Bruessel 1991
3) Commission of the European Com- munities. DG XIII B: Information Security INFOSEC '92. Security Investigations. Brussels 1992.
4) Commission of the European Com- munities. DG XIII B: INFOSEC '93 Security Investigations. The Security of Information Systems. Brussels 1993
5) Commission of the European Communities. DG XIII B: Green Book on the Security of Information Systems. Draft 4.0. Brussels 1993
6) Department of Defense Standard: Department of Defense Trusted Computer System Evaluation Criteria. Washington 1985. Abgedruckt in: Pohl, H.; Weck, G.: Internationale Sicherheitskriterien. Kriterien zur Bewertung der Vertrauenswuerdigkeit von IT-Systemen sowie von Entwicklungs- und Pruefumgebungen. Muenchen 1993
7) National Computer Security Center:
Trusted Network Interpretation of The Trusted Computer System Evaluation Criteria. Washington 1987
8) National Computer Security Center: Computer Security Subsystem. Interpretation of the Trusted Computer System Evaluation Criteria. Washington 1988
9) National Computer Security Center: Trusted Database Management System. Interpretation of the Trusted Computer System Evaluation Criteria. Washington 1991
10) Pohl, H.; Huette, L.: Der Stand der Dinge bei der Zertifizierung in den USA - Bewertungstrend geht zu Klasse B1.
Computerwoche 12, 48-50, 23. Maerz 1990
11) Pohl, H.; Weck, G.: Stand und Zukunft der Informationssicherheit. In: Pohl, H.; Weck, G. (Hrsg.): Einfuehrung in die Informationssicherheit. Muenchen 1993. Aktualisierte Fassung in: Datenschutz und Datensicherung 1, 18-22 und 2, 78-86, 1993
12) Rossnagel, A.; Wedde, P.; Hammer, V.; Pordesch, U.: Die Verletzlichkeit der "Informationsgesellschaft". Opladen 1989
13) The UK ITSEC Scheme Certification Body: UK IT Security Evaluation and Certification Scheme. Publication No. 6. UK Certified Product List. Issue 4.0. Cheltenham 1994
14) Vossbein, R.: Der Schutz von IT-Systemen: Praktikable Konzepte. KES 2, 40-48, 1993