ZfCh bietet Leitlinien für Hersteller und Anwender:

Sicherheitskriterien für DV-Anlagen

28.04.1989

Wachsende Abhängigkeit von Informationstechniken (IT) bedeutet wachsende Abhängigkeit von deren Sicherheit. Aber nach welchen Kriterien ist DV-Sicherheit zu messen? Die Zentralstelle für das Chiffrierwesen (ZfCh) in Bonn entwickelte technisch-wissenschaftliche Grundlagen, mit denen die Sicherheit von Produkten geprüft und bewertet werden kann.

Die Aufgabenstellung der ZfCh auf dem Gebiet Computersicherheit ist mit der des National Computer Security Centers (NCSC) in den USA vergleichbar. Der ZfCh-Katalog wird in den nächsten Wochen veröffentlicht und ist dann die grundlegende Richtlinie für die Produktprüfungen durch die ZfCh.

Ausgangspunkt für diese Sicherheitskriterien sind die Bedrohungen, denen die IT-Systeme ausgesetzt sind. Diese Bedrohungen sind sehr vielfältig. Sie sind zum Beispiel abhängig von der Umwelt, in der das System betrieben wird, und von der Sensitivität der Daten, die in dem System verarbeitet werden. Die Kriterien des Kataloges basieren auf den drei Grundbedrohungen

- Freisetzen von Information (Verlust der Vertraulichkeit),

- Modifikation von Information (Verlust der Integrität),

- Behinderung des regulären Betriebs von DV-Einrichtungen (Verlust der Verfügbarkeit).

Diese Grundbedrohungen können für bestimmte Systeme sehr unterschiedlich gewichtet sein. So ist bei einer öffentlichen Datenbank das Freisetzen von Information keine gravierende Bedrohung, während die Behinderung des regulären Betriebes eine schwerwiegende Gefahr darstellt.

Der Katalog definiert auf der Basis der Grundbedrohungen unterschiedliche Sicherheitsklassen. Dazu wird zwischen der Funktionalität und der Qualität eines Systems unterschieden.

Die Funktionalitätsklassen enthalten Forderungen zu den Grundfunktionen sicherer Systeme wie

- Identifikation und Authentisierung,

- Rechteverwaltung,

- Rechteprüfung,

- Beweissicherung,

- Wiederaufbereitung,

- Fehlerüberbrückung,

- Gewährleistung der Funktionalität und

- Übertragungssicherung.

Die einzelnen Klassen enthalten jeweils Kriterien für eine Anzahl von Grundfunktionen. Damit werden gezielt Sicherheitsforderungen für bestimmte Systeme oder Komponenten wie zum Beispiel Betriebssysteme, Datenbanksysteme, Prozeßsteuerungsrechner oder Netzwerke definiert.

Der Kriterienkatalog ist offen für neue Funktionalitätsklassen. Es wird somit ermöglicht, zum Beispiel auch in der Zukunft entstehende Systeme nach dem Kriterienkatalog zu prüfen.

Die Vertrauenswürdigkeit eines Systems wird getrennt von der Funktionalität bewertet. Dazu enthält der Katalog acht streng hierarchisch geordnete Qualitätsstufen. Wesentliche Merkmale zur Bewertung der

Vertrauenswürdigkeit sind

- die Qualität der Sicherheitsanforderungen,

- die Qualität der Spezifikation der zu prüfenden Systemteile,

- die Qualität der für die funktionalen Grundfunktionen verwendeten Mechanismen,

- die Qualität der Abgrenzung zu nicht geprüften Systemteilen,

- die Qualität des Herstellungsvorganges,

- die Betriebsqualität,

- die Qualität der Anwenderdokumentation.

Dabei wird festgelegt, welche Anforderungen der Hersteller eines zu bewertenden Produktes zu erfüllen hat und wie die Behörde prüft, ob die Vorgaben auch erfüllt sind.

Die ZfCh hat einen Vorschlag erarbeitet, wie Bewertungen nach dem Kriterienkatalog in das Klassifizierungsschema der amerikanischen "Trusted Computer Systems Evaluation Criteria" umgesetzt werden können.

Dieses sogenannte Orange-Book des NCSC existiert bereits seit einigen Jahren. Der deutsche Kriterienkatalog stimmt in der Zielrichtung die Vertrauenswürdigkeit von IT-Systemen zu bewerten, mit dem Orange-Book überein. Eine Abbildung zwischen den Katalogen ist daher grundsätzlich möglich. Durch die getrennte Bewertung von Funktionalitäts- und Qualitätsaspekten ist das Prüfungsergebnis nach dem deutschen Kriterienkatalog jedoch detaillierter. Das feinere Bewertungsschema führt außerdem zu einer genaueren Zuordnung der Produkte zu den Bewertungsklassen.

Der deutsche Katalog definiert außerdem Kriterien für alle wichtigen IT-Systeme beziehungsweise Komponenten. Es ist deshalb nicht notwendig, für bestimmte Komponenten wie zum Beispiel Netzwerke und Subsysteme besondere Kriterienkataloge herauszugeben. Somit wird vom deutschen Kriterienkatalog nicht nur die Zielrichtung des Orange-Book abgedeckt, sondern auch das gesamte Spektrum seiner Interpretationen wie zum Beispiel die Trusted Network Interpretation des Orange-Book ("Red Book").

Im deutschen Katalog ist im Gegensatz zum Orange-Book keine vorgegebene Sicherheitspolitik enthalten. Der Hersteller hat die Freiheit, aber auch die Verpflichtung, selbst festzulegen, welche Sicherheitsanforderungen von seinem Produkt erfüllt werden sollen. Die Güte der Sicherheitsanforderungen ist ein wesentliches Qualitätsmerkmal. Ein Teil des Prüfungsvorganges besteht darin zu testen, ob die Sicherheitsanforderungen im Produkt wie vorgegeben realisiert sind.

Der deutsche Kriterienkatalog richtet sich gleichermaßen an DV-Hersteller und -Anwender. Die im Katalog enthaltenen Informationen sollen beiden Gruppen aufzeigen, was und wie geprüft wird.

Die Hersteller können ihre Produkte sehr genau in das Bewertungsschema einordnen. Die Anwender können ihren Sicherheitsbedarf anhand des Kataloges in Funktionalitätsklassen und eine Qualitätsstufe umsetzen und dann entsprechend geprüfte Produkte einsetzen.

Zur Zeit wird als Ergänzung zum Kriterienkatalog ein Evaluationshandbuch und ein Anwenderhandbuch erarbeitet.

Das Evaluationshandbuch enthält Erläuterungen zu den Funktionalitätsklassen und Qualitätsstufen, gibt Beispiele und legt den Prüfprozeß der Behörde detailliert fest.

Im Anwenderhandbuch wird erläutert, wie der Anwender durch eine Bedrohungsanalyse feststellen kann, welche Funktionalitätsklasse und Qualitätsstufe in der betreffenden Konstellation zu wählen ist.

Prüfung und Bewertung von DV-Sicherheit

Unter dem Titel "Prüfung und Bewertung von DV-Systemen" veranstaltet die Fachzeitschrift COMPUTER UND RECHT am 8. Mai 1989 ein Seminar zu diesem Thema. Referenten sind Dr. Gerhard Weck. leitender Mitarbeiter der Fa. Infodas GmbH, Köln, und Dipl.-Ing. Christian Jahl, IABG, München.

Das Seminar wendet sich an die mit Datenverarbeitung befaßten Angehörigen der Geschäftsleitung privater und öffentlicher Unternehmen auf Anwender- und Anbieterseite, an die DV- und Organisationsleiter, an die Leiter der Rechenzentren, an spezialisierte Versicherungen, an Unternehmensberater, an Wirtschaftsprüfer etc.