Nach den Kriterien, wie sie für Betriebssysteme nach dem "Orange Book" des amerikanischen Verteidigungsministeriums definiert sind, handelt nun der letzte Teil dieser Serie von Kriterien für unterschiedIiche Typen von Netzwerken. Sie sind weniger bekannt, weil erst jüngeren Datums.

Die TNI besteht aus zwei Teilen und drei Anhängen. Der Teil I enthält die Bewertungskriterien der TCSEC wie oben beschrieben und ihre Interpretation für vertrauenswürdige Netze. Mit Netz ("Network") wird im folgenden ein System bezeichnet, in dem DV-Systeme über Datenübertragungskomponenten zusammenarbeiten.

Der Teil II enthält die Anforderungen für Sicherheitsdienste in Netzen und die Kriterien, nach denen diese Dienste bewertet werden können.

Im Anhang B wird begründet, warum es möglich ist, die TCB eines Netzes auf seine unterschiedlichen Komponenten aufzuteilen, ein Ansatz der als "Partitioned Network Trusted Computing Base" bezeichnet wird.

Im Anhang C wird diskutiert, in welcher Form die Bewertung von Netzen erfolgen kann, bei denen einzelne Teile von unterschiedlichen Sicherheitsbeauftragten zugelassen werden ("Interconnected Accreditec Automated Information System"). Weiterhin ist eine Liste der Abkürzungen und Begriffsbestimmungen beigefügt.

Die TNI unterscheidet aus der Sicht der Bewertungsmöglichkeiten verschiedene Arten von Netzen. Das erste Kriterium ist dabei die Art und Weise, wie ein Netz für die Behandlung von sensitiven Daten zugelassen werden kann.

Im Bereich des amerikanischen Verteidigungsministeriums müssen Netze, genauso wie nicht vernetzte DV-Systeme, für die Verarbeitung und Übertragung von sensitiven Daten zugelassen werden. Damit übernimmt der zulassende Sicherheitsbeauftragte die Verantwortung für die ordnungsgemäße Behandlung der sensitiven Daten im Netz.

Der Fall, in dem ein Netz von einer Organisation realisiert und betrieben und von einem einzigen Sicherheitsbeauftragten zugelassen werden kann, ist unproblematisch. Schwierig wird es, wenn ein Netz aus Teilen besteht, die von unterschiedlichen Sicherheitsbeauftragten zugelassen wurden beziehungsweise zugelassen werden müssen. Damit muß die Verantwortung auf unterschiedliche Personen aufgeteilt werden, und es muß eine Möglichkeit zur Bewertung geschaffen werden, die diese Aufteilung berücksichtigt.

Ein zweites Kriterium, das unmittelbare Auswirkung auf die Art der Bewertung hat, ist das Vorhandensein einer Sicherheitsgesamtarchitektur für das Netz und eines Designs, das diese Architektur realisiert ( "Network Security Architecture and Design"). Dabei sind unterschiedliche Realisierungen dieser Architektur möglich und zulässig. Architektur und Design müssen bekannt sein, bevor die Bewertung eines Netzes begonnen werden kann.

Zunächst gibt es Netze, die so aufgebaut sind, daß auf sie das Konzept des Referenzmonitors angewendet werden kann (zum Beispiel Lokale Netze, private digitale Nebenstellenanlagen, private Fernmeldenetze). Sie haben eine einzige TCB, die in diesem Fall physisch und logisch zwischen den Komponenten des Netzes aufgeteilt ist und als "Network Trusted Computing Base, NTCB" bezeichnet wird, und sie verfügen über eine Sicherheitsgesamtarchitektur. Damit sind sie aus der Sicht der Bewertung vergleichbar mit einem DV-System. Solche Netze können in der Zuständigkeit einer Organisation realisiert und betrieben, durch einen einzigen Sicherheitsbeauftragten zugelassen und mit Hilfe der TCSEC bewertet werden, wobei die Einzelforderungen aus den TCSEC und die zugehörigen Bewertungskriterien gegebenenfalls für Netze interpretiert werden müssen.

Außerdem müssen die Einzelforderungen der TCSEC unter Umständen um netzspezifische Sicherheitsforderungen ergänzt werden. Solche Netze werden in der TNI als "Single Trusted Systems" bezeichnet und sie werden auf der Grundlage der Teile I und II der TNI bewertet.

Für Netze, die nicht auf diese Weise bewertet werden können, weil sie zum Beispiel aus Teilen bestehen, die unabhängig voneinander aufgebaut, betrieben und zugelassen werden und über keine Sicherheitsgesamtarchitektur verfugen, muß ein anderer Ansatz gewählt werden. Solche Netze werden in der TNI als "Interconnected Accredited Automated Information System, AIS" bezeichnet, das heißt, sie bestehen aus unterschiedlichen und getrennt zugelassenen DV-Systemen, die miteinander verbunden sind. Um sicherzustellen, daß die sensitiven Daten bei diesem Austausch ordnungsgemäß behandelt werden, das heißt, daß eine vorgegebene Sicherheitspolitik eingehalten wird, muß bei der Verbindung von Teilen eine Regel eingehalten werden, die in der TNI als Verbindungsregel ("Interconnection Rule") bezeichnet wird.

Der Unterschied zwischen diesen beiden Arten liegt darin, daß als Ergebnis der Bewertung eines Netzes der ersten Art eine klare technische Aussage über die Stärke seiner Sicherheitseigenschaften vorliegt, ausgedrückt durch eine Einstufung in eine Bewertungsklasse zwischen D und A1. Bei einer Bewertung von Netzen der zweiten Art können solche klaren Aussagen nicht gemacht werden. Hier können lediglich technische Hinweise für denjenigen gegeben werden, der ein solches System zulassen muß und es können Regeln formuliert werden, nach denen Teile von Netzen miteinander verbunden werden müssen. Damit ist die technische Aussage über den Grad der Vertrauenswürdigkeit bei Netzen der ersten Art viel stärker als die Angabe von Verbindungsregeln bei der zweiten Art.

Eine dritte Möglichkeit zur Bewertung der Vertrauenswürdigkeit eines Netzes wird in Anhang A der TNI beschrieben. Bei diesem Ansatz werden die Komponenten eines Netzes einzeln bewertet und aus den Bewertungsergebnissen der einzelnen Komponenten wird dann die Vertrauenswürdigkeit des Gesamtnetzes ermittelt.

Die Bewertung von "Single Trusted Systems"

Die Bewertung von "Single Trusted Systems" erfolgt zunächst auf der Grundlage von Bewertungskriterien, die in Teil I der TNI enthalten sind. Diese Bewertungskriterien beschreiben die globalen Funktionalitäts- und Qualitätsforderungen für die Sicherheitsmechanismen eines vertrauenswürdigen Netzes unter dem Gesichtspunkt des Zugriffsschutzes auf Daten, und sie sind nahezu identisch mit den Kriterien aus den TCSEC, sie werden allerdings für die Anwendung in Netzen interpretiert. Das Ergebnis der Bewertung ist eine Einstufung des Netzes in eine der Bewertungsklassen zwischen D und A1.

Das Zusammenwirken von DV-Anlagen über Datenübertragungskomponenten stellt zusätzliche Forderungen an die Gewährleistung der Sicherheit der zu übertragenden Daten, die im Teil I der TNI nicht behandelt werden. Sie sind der wesentliche Inhalt von Teil II und werden dort als Sicherheitsdienste ("Other Security Services") bezeichnet und mit den dazugehörigen Bewertungskriterien beschrieben. Diese Dienste können durch Mechanismen realisiert werden, die außerhalb der NTCB liegen. Im Teil II sind neun Sicherheitsdienste für vertrauenswürdige Netze aufgeführt (Abb. 5).

Statt hierarchisches qualitatives System

Nicht jedes Netz muß alle Sicherheitsdienste beinhalten. Es ist Aufgabe des Benutzers beziehungsweise des Betreibers des Netzes, die Dienste auszuwählen, die über das Netz notwendig sind. Die Auswahl hängt vom Anwendungsfall, von der Einsatzumgebung und insbesondere von der spezifischen Bedrohung der Sicherheit des Netzes ab. Jeder dieser Dienste wird nach drei Kriterien, nämlich nach Funktionalität, Stärke des Mechanismus und Funktionsgarantie bewertet. Das Kriterium "Funktionalität" bezieht sich auf die Aufgabe eines Sicherheitsdienstes und beinhaltet Aussagen zu seinen Merkmalen, Mechanismen und zu seiner Performance. Bei dem Kriterium "Stärke des Mechanismus" wird bewertet, wie gut ein bestimmter Realisierungsansatz für einen Mechanismus die geforderte Aufgabe erfüllt. Das Kriterium "Funktionsgarantie" ist die Grundlage für die Abschätzung, welches Vertrauen in die korrekte Realisierung eines Sicherheitsdienstes wirklich gesetzt werden kann.

Für die Bewertung der Sicherheitsdienste wird ein qualitatives Bewertungssystem verwendet, anstelle des hierarchischen Bewertungssystems in Teil I. Jedes der drei Kriterien (Funktionalität, Stärke des Mechanismus und Funktionsgarantie) kann dabei mit "nicht angeboten", "keine", "minimal", "genügend" oder "gut" bewertet werden . Diese Bewertungen sind zwar qualitativer und subjektiver als Bewertungen nach Teil I, trotzdem vermitteln sie wertvolle Informationen über die Sicherheitseigenschaften des bewerteten Netzes und seine Eignung für die jeweilige Anwendungsumgebung. In dem Abschlußbericht über die Bewertung eines Netzes wird die Bewertungsklasse aus dem Teil I aufgeführt und eine Liste der Sicherheitsdienste, die das Netz zur Verfügung stellt, einschließlich der Bewertung eines jeden Dienstes.

Die Bewertung eines Netzes sieht dann zum Beispiel wie folgt aus:

In der TNI wird an dieser Stelle darauf hingewiesen, daß die Verschlüsselung eine wichtige Möglichkeit zur Gewährleistung der Funktionsgarantie ist. Damit können Daten sowohl vor unbefugter Offenlegung aus auch vor Verfälschung geschützt werden. Allerdings werden in der TNI keine Angaben zu Verschlüsselungsverfahren und ihrer Stärke gemacht. Solche Aussagen bleiben Aufgabe der National Security Agency als der für die Verschlüsselung zuständigen nationalen Behörde in den USA.

Es gibt Netze, die nicht als ein "Single Trusted System" bewertet werden können, weil sie so komplex und heterogen sind, daß es nicht möglich ist, das Vertrauen in die ordnungsgemäße Behandlung sensitiver Daten durch das Netz in einer einzigen Bewertungsklasse auszudrükken. Solche Netze werden in der TNI als "Interconnected, Accredited Automated Information Systems" bezeichnet, das heißt als DV-Systeme, die miteinander verbunden und einzeln für die Verarbeitung von sensitiven Daten zugelassen sind. Diese Netze sind dadurch gekennzeichnet, daß Teile davon in unterschiedlichen Zuständigkeiten realisiert, betrieben und zugelassen wurden oder werden müssen, und daß es keine Sicherheitsgesamtarchitektur für das Rechnernetz gibt. Zur Beurteilung der Vertrauenswürdigkeit muß deshalb ein Ansatz verfolgt werden, der zumindest erkennen läßt, ob sensitive Daten in den unterschiedlichen Teilen des Netzes gegen unbefugte Offenlegung und Änderung geschützt sind. Für die Sicherheitsbeauftragten, die für den Schutz sensitiver Daten in einem solchen Netz verantwortlich sind, werden durch diesen Ansatz zwar keine Aussagen in einer Qualität gemacht, wie sie mit einer Bewertung nach Teil I der TNI möglich sind, es wird jedoch zumindest möglich, Strategien zur Festlegung von zweckmäßigen Verbindungen in einem Rechnernetz zu entwickeln, die die Belange der Sicherheit berücksichtigen.

Netze dieser Art können aus zwei Sichten betrachtet werden. Entweder sie werden als ein Ansammlung von Komponenten gesehen oder sie werden aus einer globalen Sicht betrachtet.

Die komponentenbezogene Betrachtungsweise geht davon aus, daß man die einzelnen DV-Systeme als Geräte betrachten kann, die miteinander Daten austauschen und die jeweils für die Speicherung und Verarbeitung von Daten eines Sensitivitätsgrades oder eines Bereiches von Sensitivitätsgraden zugelassen sind.

Jedes dieser DV-Systeme, das mit einem anderen Daten austauschen will, muß eine Verbindungsregel (Interconnection Rule) durchsetzen, die die Sensivitätsgrade der Daten festlegt, die es senden und empfangen darf. Die Entscheidung, ob Daten eines bestimmten Sensivitätsgrades empfangen und weitergegeben werden können, erfolgt lokal in der Komponente. Aus diesem Grunde ist es bei dieser Betrachtungsweise nicht notwendig, daß eine Komponente die Zulassungsbereiche aller anderen Komponenten des Netzes kennen muß, sie braucht nur die Zulassungsbereiche der unmittelbaren Nachbarn zu kennen, mit denen sie direkt Daten austauscht.

Netze können DV-Systeme enthalten, die nicht für alle Sensitivitätsgrade zugelassen sind, die im Netz erlaubt sind oder deren Benutzer nicht für alle dieser Sensitivitätsgrade ermächtigt sind. Trotzdem muß sichergestellt werden, daß eingestufte Daten nur entsprechend ermächtigten Benutzern zur Kenntnis gelangen können. Diese Forderung kann erfüllt werden, wenn die Komponenten beim Datenaustauch bestimmte Regeln durchsetzen. Dazu geht man davon aus, daß der Datenaustauch zwischen den DV-Systemen des Netzes über die I/O-Kanäle dieser Systeme erfolgt. Diese Kanäle müssen für die Übertragung von Daten eines bestimmten Sensitivitätsbereiches zugelassen sein, und diese Zulassung muß innerhalb des zugelassenen Sensitivitätsbereiches des DV-Systems liegen.

Für den Datenaustausch ist folgende Regel festgelegt:

- Daten, die über einen l/O-Kanal gesendet oder empfangen werden, der nur für einen Sensitivitätsgrad zugelassen ist, werden implizit mit dem Sensitivitätsgrad des Kanals versehen;

- Daten, die von einem I/O-Kanal gesendet werden, der für mehrere Sensitivitätsgrade zugelassen ist, müssen durch ein vereinbartes Protokoll mit dem jeweiligen Sensitivitätsgrad versehen werden, wenn dies nicht implizit dadurch erfolgt, daß eine Verbindung benutzt wird, die immer einen einzigen Sensitivitätsgrad hat.

- Daten, die mit einem Sensitivitätsgrad versehen sind, können nur an einen empfangenden I/O-Kanal gesendet werden, wenn dessen Zulassungsbereich diesen Sensitivitätsgrad oder einen höheren enthält. Wenn der l/O-Kanal diesen Sensitivitätsgrad nicht enthält, wird das Datum beim Empfang automatisch mit einem höheren Sensitivitätsgrad versehen, der im Zulassungsbereich des empfangenden l/O-Kanals vorhanden sein muß.

Die Zulassung des DV-Systems und die Festlegung der Zulassungsbereiche der I/O-Kanäle muß in Zusammenarbeit zwischen den Sicherheitsbeauftragten der einzelnen DV-Systeme und dem Netzadministrator erfolgen. Die Parameter, die dabei festgelegt werden, sind im allgemeinen statisch und jede Änderung wird als Rekonfiguration des Netzes angesehen.

Es sind Fälle denkbar, in denen trotz der Zulassung aller DV-Systeme eines Netzes für Speicherung und Verarbeitung von sensitiven Daten und der Einhaltung der beschriebenen Regel das Risiko einer Offenlegung oder einer unbefugten Änderung sensitiver Daten vorhanden sein kann. Diese Risiken werden als "Propagation of Local Risk" und als "Cascading Problem" bezeichnet. Lösungen für diese Fälle können nur gefunden werden, wenn man das Netz nicht mehr aus der Sicht der einzelnen Komponente betrachtet, sondern aus einer globalen Sicht.

Das Problem der Weiterverbreitung eines lokalen Risikos entsteht dadurch, daß in vielen Fällen DV-Systeme eines Rechnernetzes aus betrieblichen Gründen und aus einer genauen Kenntnis der Einsatzumgebung für einen Sensitivitätsbereich zugelassen wurden, obwohl sie die Voraussetzung für die dafür erforderliche Bewertungsklasse nicht erfüllen. In einem solchen Fall wurde das damit verbundene Risiko zwar für die lokalen Nutzer dieses DV-Systems akzeptiert, in dem Augenblick jedoch, in dem ein solches System Teil eines Rechnernetzes ist, werden die damit verbundenen Risiken unkontrolliert durch das Netz weitergegeben. Zur Minimierung dieses Risikos müssen im wesentlichen einschränkende Maßnahmen, wie zum Beispiel Verbindungen nur in einer Richtung (ohne Quittung), Isolation des DV-Systems mit kryptografischen Mitteln oder eine manuelle Überprüfung der zu übertragenden Daten eingesetzt werden.

Das Kaskadenproblem tritt dann auf, wenn es einem Penetrator gelingt, durch Benutzung des Netzes sensitive Daten so herabzustufen, daß sie einen Benutzer mit einer niedrigeren Ermächtigung zur Kenntnis gebracht werden können, als dies ursprünglich erforderlich gewesen wäre. Im folgenden Beispiel wird ein solcher Fall beschrieben:

Von zwei DV-Systemen der Klasse B2, ist eines (System A) für "Streng Geheim" und "Geheim" zugelassen, das andere DV-System (System B) für "Geheim" und "Vertraulich" (Abb. 7). Es wird angenommen, daß ein Penetrator in der Lage ist, die Sicherheitsmechanismen im System A zu überwinden und zu erreichen, daß als Streng-Geheim eingestufte Daten als Geheim-Daten an das System B übertragen. Der Penetrator überwindet nun auch die Sicherheitsmechanismen in System B und stuft diese Daten auf vertraulich herab.

Durch ein solches Vorgehen können Daten eines hohen Sensitivgrades so herabgestuft werden, daß sie Benutzern zugänglich gemacht werden können, die eine niedrigere Ermächtigung besitzen.

Im Anhang C der TNI werden zwei heuristische Algorithmen beschrieben, mit denen ermittelt werden kann, ob in einem Netz Kaskaden auftreten können.

Der oder die Sicherheitsbeauftragten müssen zusätzlich die Forderungen festlegen, die an die Datenübertragungsverbindungen gestellt werden. Dazu gehören insbesondere Verfahren zur Sicherung gegen Übertragungsfehler, hier können zum Beispiel kryptografische Prüfsummen, geschützte Übertragungsverbindungen oder zuverlässige Übertragungsprotokolle eingesetzt werden. Immer wenn eine sichere Kommunikation zwischen unterschiedlichen Elementen gefordert wird (zum Beispiel für Identifizierung und Authentisierung der Komponenten oder für die Verwaltung von kryptografischen Schlüsseln), muß eine vertrauenswürdige Verbindung realisiert werden.

Bewertung von Netzkomponenten

Die Teile I und Il der TNI betrachten ein Netz als ein "Single Trusted System". Man kann ein Netz aber auch als eine Anordnung von vertrauenswürdigen Komponenten ansehen, dabei kann eine Komponente Teil eines größeren Systems sein und selbst wieder aus Komponenten bestehen (zum Beispiel ist ein Kommunikationssubnetz eine Komponente eines größeren Systems, das aus Paketvermittlungsrechnern, Vorrechnern und Gateways zusammengesetzt sein kann). Die Komponentensicht ist besonders deswegen von Bedeutung, weil die Annahme unrealistisch ist, daß viele Hersteller vollständige Netze für einen kommerziellen Markt anbieten werden. Es ist deshalb sinnvoll, Einzelkomponenten von Netzen zu bewerten, um damit ihre Sicherheitseigenschaften zu ermitteln und dann aus der Betrachtung der bewerteten Einzelkomponenten eine Gesamtbewertung der Vertrauenswürdigkeit eines Netzes abzuleiten. Diese Vorgehensweise erlaubt eine Bewertung von Komponenten mit Hilfe der TCSEC, obwohl sie nicht alle der dort geforderten Funktionen zur Durchsetzung einer Sicherheitspolitik unterstützen, und sie ermöglicht außerdem die Wiederverwendung von bewerteten Komponenten in anderen Netzen ohne die Notwendigkeit einer erneuten Bewertung. Es wird allerdings nicht gefordert, daß alle Netze aus bewerteten Komponenten zusammengesetzt sein müssen.

Die Bewertung von Netzkomponenten erfolgt auf der Grundlage der Kriterien, die in den Teilen I und II beschrieben sind. Ziel ist es, einem Netz oder einem Netzprodukt eine einzige Bewertungsklasse zuzuerkennen. Dazu wurden die Kriterien aus Teil I weiter detailliert, während die Kriterien aus Teil II ohne weitere Interpretation gelten.

Die Bewertung eines Produktes für einen möglichen Einsatz als Komponente in einem vertrauenswürdigen Netz erfolgt dadurch, daß zunächst der Typ der Komponente ermittelt wird, der eine Aussage darüber macht, welche Politiken die Komponente unterstützt. In einem weiteren Schritt wird die Bewertungsklasse ermittelt, die den Grad des Vertrauens angibt, das in die Realisierung der Sicherheitsmechanismen gesetzt werden kann. Schließlich wird die Zielarchitektur betrachtet, in der die Komponente eingesetzt werden soll. Die Beschreibung der Zielarchitektur muß eine Beschreibung der Dienste enthalten, die von anderen Komponenten zur Verfügung gestellt werden.

Reinrassige oder kombinierte Grundtypen

Ausgangspunkt für die Bewertung von Komponenten sind vier Grundtypen, die definierte Sicherheitspolitiken unterstützen, und die so festgelegt wurden, daß es jeweils eine Komponente gibt, die den festgelegten Zugriff (M-Komponente), den benutzerbestimmbaren Zugriff (D-Komponente), die Auditfunktion (A-Komponente) und die Identifizierungs- und Authentisierungsfunktion (I-Komponente) unterstützt. Diese vier Grundtypen können entweder reinrassig auftreten oder sie können miteinander kombiniert werden, damit sind die Komponententypen M, D, A, I, MD, MA, MI, DA, DI, IA, MDA, MDI, MIA, IAD und MIAD möglich (Abb. 7). Eine weitere Komponententype ist nicht besonders bezeichnet, jedoch zulässig, nämlich die Komponente, die keine der vier Politiken unterstützt.

Die Einordnung einer Komponente in eine Bewertungsklasse setzt voraus, daß sie alle Forderungen erfüllt, die im Anhang A für den betreffenden Komponententyp aufgeführt sind. Diese Forderungen sind zunächst Interpretationen der TCSEC, wie sie im Teil I der TNI erfolgt sind, sie werden jedoch für die Bewertung von Komponenten in Teilen nochmals erweitert. Jeder Komponententyp kann mit einer Bewertungsklasse versehen werden, die sich zwischen einer minimalen und einer maximalen Bewertungsklasse bewegt und die ebenfalls aus Abb. 8 entnommen werden kann.

Damit Netzen oder (Sub-)Systemen, die aus Komponenten zusammengesetzt sind, eine einzige Bewertungsklasse zugewiesen werden kann, müssen die Komponenten so miteinander verbunden werden, daß durch diese Verbindung die Annahmen nicht verletzt werden, die bei der individuellen Bewertung der Komponenten gemacht wurden. Die Zusammensetzung von bereits bewerteten Komponenten zu bewertbaren Netzen oder (Sub-)Systemen erfolgt nach Regeln, die nach den möglichen 15 Kombinationen der vier Grundtypen gegliedert und in Anhang A der TNI zusammengestellt sind.

Eine getrennte Bewertung einzelner Komponenten ist zudem eine Möglichkeit, um zu einer vorläufigen Bewertung der Vertrauenswürdigkeit eines Netzes zu kommen. Voraussetzung dafür ist, daß eine solche komponentenorientierte Bewertung auf der Sicherheitsgesamtarchitektur eines Netzes aufbaut, und daß aus der Sicherheitspolitik für das Gesamtnetz die Politiken abgeleitet werden, die von den einzelnen Komponenten unterstützt werden müssen.

Die US-Hersteller akzeptieren den Ansatz

Mit der Veröffentlichung der TCSEC und der TNI wurde in den USA der Versuch unternommen, ein objektives Bewertungssystem und die zugehörigen Bewertungskriterien für vertrauenswürdige DV-Systeme und Rechnernetze zu schaffen. Gleichzeitig wurden damit auch die Forderungen präzisiert, die an solche Systeme zu stellen sind, damit besteht für die Hersteller eine konkrete Forderungsgrundlage für ihre Produktentwicklungen.

Dieser Ansatz wird von den amerikanischen Herstellern akzeptiert, dies beweist die wachsende Zahl von Produkten, die in die Evoluated Products List aufgenommen werden. Allerdings zeigen die bisher gewonnenen Erfahrungen auch Schwachstellen auf, die sowohl im Bereich der Struktur der Kriterien als auch in ihrer Handhabbarkeit liegen. In der Bundesrepublik hat die Zentralstelle für Chiffrierwesen begonnen, mit deutschen DV-Herstellern und Softwarehäusern einen Kriterienkatalog für die Bewertung vertrauenswürdiger Systeme zu erarbeiten.