Aufsichtsbehörden fordern Begutachtung von DV-Systemen:

TÜV Bayern prüft Mikros auf Datensicherheit

16.11.1984

Im Jahre 1979 wurde von Vertretern der Aufsichtsbehörden und der für den Datenschutz zuständigen Fachgremien erstmals die Forderung nach einer Typprüfung von DV-Systemen unter dem Aspekt der Datensicherheit erhoben, Durch eine solche Prüfung sollte festgestellt werden, ob das untersuchte System über Eigenschaften verfügt, die dem BDSG entsprechen, Auf Anregung der bayerischen Aufsichtsbehörden für den Datenschutz begann der TÜV Bayern deshalb 1980, Möglichkeiten für eine Begutachtung von DV-Systemen unter dem Aspekt der Datensicherheit zu untersuchen, Diese Bemühungen führten zu einem Anfang 1984 abgeschlossenen Forschungsvorhaben, über dessen wesentlichste Ergebnisse hier berichtet wird.

Die Ausgangssituation dafür stellt sich, speziell im Hinblick auf die Systemsoftware folgendermaßen dar:

- Es gibt keine Normen oder Standards, die im kommerziellen Bereich Aussagen über Anforderungen an die Systemsoftware im Hinblick auf die Datensicherheit machen.

- Es existiert noch kein verbindlich festgelegter Sicherheitsbegriff, der als Grundlage für eine Typenprüfung geeignet wäre.

- Software ist ein schwieriger Prüfgegenstand. Erschwerend wirkt außerdem daß in der Regel keine (...)nreichend detaillierte, umfassende Dokumentation der Sicherungsmechanismen angeboten wird, und daß es keine in sich geschlossene Implementierung der Sicherungsmechanismen (im Sinne eines Sicherheitskerns) eines Systems gibt.

Bei Softwareproduktion noch viele Fragen offen

Ganz allgemein ist festzustellen, daß bei Software im Vergleich zu anderen industriemäßig hergestellten Produktenhinsichtlich der Methode für die Sicherheitsanalyse noch viele Fragen offen sind.

Um erste Grundlagen für die Prüfung von Systemsoftware zu erarbeiten, wurde beim TÜV Bayern mit Unterstützung des BMFT das Forschungsvorhaben durchgeführt. Es befaßt sich schwerpunktmäßig mit kommerziell angebotenen Mehrbenutzer-Betriebssystemen von Minirechnern. Die Aufgaben ergaben sich gemäß der geschilderten Ausgangssituation:

- Festlegung des Prüfungsinhaltes

- Festlegung der Analysemethoden

- Praxistest für Prüfkriterien und Analysemethoden anhand konkreter DV-Systeme.

Aufgrund der derzeitigen Situation bei Konzept und Implementierung von Betriebsystemen waren umfassende Quelltextuntersuchungen im Rahmen des Forschungsvorhabens nicht möglich. Realisierbar erschienen dagegen folgende Ziele:

- Untersuchung von Sicherheitskonzepten, vor allem auf Vollständigkeit und Widerspruchsfreiheit,

- Untersuchung der Systemdokumentation auf eine vollständige, explizite und eindeutige Beschreibung der Sicherheitskonzepte,

- Untersuchung konkreter Systemkonfigurationen auf Übereinstimmung von Funktion und Beschreibung der Konzepte.

An diesen Zielen orientierte sich die Erarbeitung der inhaltlichen und methodischen Grundlagen für die Analyse von Systemsoftware unter dem Aspekt der Datensicherheit.

Für die Erstellung von Prüfkriterien standen zunächst nur die Datensicherungsanforderungen der Anlage zu °6 Abs. 1, Satz 1, BDSG, (mitunter auch die, 10 Gebote" der Datensicherung genannt) zur Verfügung. Diese Anforderungen erwiesen sich jedoch aus systemtechnischer Sicht für den vorgesehenen Zweck als wenig geeignet, da sie weder vollständig noch überdeckungsfrei sind.

Deshalb wurde für die Erstellung der Prüfkriterien ein anderer Ansatz gewählt. Er besteht darin, Basisfunktionen zu defilieren, die in einem gewissen Maße an einem DV-System realisiert sein müssen, wenn dieses einem bestimmten Sicherheitsstandard genügen soll.

Diese Basisfunktionen sind geeignet, um Datensicherheitsanforderungen an Hard- und Software eines DV-Systems vollständig und überdeckungsfrei zu formulieren, und damit ausschließlich die für den Aspekt der Datensicherheit relevanten Teile eines solchen Systems untersuchen und beurteilen zu können. Für die Durchführung des Vorhabens wurden fünf Basisfunktionenausgewählt:

- Identifizierung und Authentifizierung

- Autorisierung

- Zugriffsüberprüfung

- Protokollierung

- Überwachung

Für diese Basisfunktionen wurden Prüfkriterien zur Untersuchung von Mehrbenutzer-Betriebssystemen von Minirechnernentwickelt. Um eine möglichst große Akzeptanz der Sicherheitsanforderungen zu erreichen, wurden diese regelmäßig in einem projektbegleitenden Gremium, das sich aus Vertretern der GMD, des DIN, des BfD, von Hochschulen und des Bifoazusammensetzte, diskutiert und teilweise modifiziert.

Aus dem vollständigen Katalog der im Rahmen des Forschungsvorhabens aufgestellten Prüfkriterien wurde im Projektbeirat ein Sicherheitsbegriff abgeleitet: "Ein untersuchtes System, das die Anforderungen des Anforderungskataloges vollständig erfüllt kann als konzeptionell sicher bezeichnet werden." Dabei ist berücksichtigt, daß Realisierungen von Sicherheitsmechanismen im Rahmen des Forschungsvorhabens nicht untersucht wurden.

Bei der Analyse von Sicherungsmechanismen eines DV-Systems stellt sich das Problem, anhand der Systemmanuale und anderer verfügbarer Information die für die einzelnen Basisfunktionen relevanten Elemente und ihre Beziehungen zu finden und explizit und vollständig darzustellen. Ein ähnliches Problem stellt sich beim Entwurf von Informationssystemen. Dort werden zur Informationsanalyse unter anderem konzeptionelle Datenmodelle eingesetzt.

Ein solches Datenmodell wurde auch im Rahmen des Forschungsvorhabens als Analysegrundlage für einzelne Basisfunktionen herangezogen. Es erwies sich als besonders hilfreich für das Erkennen von Lücken und Widersprüchen in den Sicherungskonzepten der untersuchten Systeme. Ergänzt wurde diese Analysemethode vor allem durch den Einsatz von Entscheidungstabellen zur Analyse der Effektivität von Zugriffsbedingungen in den einzelnen Systemen.

Die bei der Analyse der Sicherungskonzeption der untersuchten Systeme entdeckten Lücken, Widersprüche und Mehrdeutigkeiten bilden eine wichtige Grundlage für die Formulierung von Funktionstests, die an einer konkreten Systemkonfiguration ausgeführt wurden. Mit Hilfe dieser Tests sollten einerseits die erkannten Stärken und Schwächen der Sicherheitskonzepte in ihrer praktischen Auswirkung untersucht und andererseits Widersprüche zwischen dokumentierten und realisierten Sicherungsmechanismen aufgedeckt werden.

Drei auf dem Markt angebotene Minirechnerbetriebssysteme wurden im Rahmen des Forschungsvorhabens auf der Grundlage des Anforderungskataloges und mit Hilfe der zusammengestellten Analysemethoden untersucht. (Anm. d. Red.: Der TÜV Bayern e.V. wurde im Rahmen des Forschungsprojektes vertraglich zur Geheimhaltung der Prüfobjekte, verpflichtet.) Im folgenden werden die Untersuchungsergebnisse, dem Ansatz der Basisfunktionen folgend, im Überblick dargestellt.

Zur Identifizierung und Authentifizierung:

Im Hinblick auf die Identifizierbarkeit von Subjekten und Objekten im System waren keine besonderen Schwächen erkennbar. Identifizierung und Authentifizierung von Benutzern erfolgte generell im Rahmen einer Logon-Prozedur mit Hilfe von Paßworten. Ansätze für eine Authentifizierung von Programmen wichen nur in einem der untersuchten, Systeme vorhanden (Prüfsumme) Generell war keine Authentifizierung der Systeme gegenüber den Benutzern erkennbar. Auch die Forderung nach Wiederholung der Authentifizierung nach Verzögerungen oder Störungen wurde von keinem untersuchten System erfüllt.

Zur Autorisierung:

Die Ergebnisse der Untersuchungen zur Autorisierungsfunktion der einzelnen Systeme lassen sich wegen der sehrunterschiedlichen Autorisierungskonzepte nur schwer vergleichen. In jedem der Systeme konnten Benutzer in zwei Modi arbeiten: im Transaktionsmodus und im Systemmodus. Im Transaktionsmodus konnten Benutzer nur Programme ausführen. Die Auswahl der Programme war durch benutzerspezifische Menüs festgelegt. Ein Benutzer im Systemmodus konnte Kommandos ausführen, hatte Zugriff (...) Editorfunktion und konnte, abhängig von seiner Berechtigungsklasse, auch Programme entwickeln. Die Berechtigung zum Arbeiten im System beziehungsweise im Transaktionsmodus wurde durch die Zuweisung einer Benutzerkennung, einer Berechtigungsklasse und von bestimmten Menüs zum Berechtigungsprofil des Benutzers festgelegt.

Die Berechtigungen zum Arbeiten im Systemmodus beziehungsweise im Transaktionsmodus waren in den untersuchten Systemen unterschiedlich klar getrennt.

Generell läßt sich feststellen, daß in keinem der untersuchten Systeme Beschreibung und Realisierung der Autorisierungsmechanismen vollständig übereinstimmten.

Zur Zugriffsüberprüfung:

In jedem der untersuchten Systeme wurden Möglichkeiten gefunden, Festlegungen und Autorisierungsfunktion zu umgehen. Als besondere Schwachstelle erwiesen sich dabei die - Editorfunktion und die in der Praxis nahezu unbegrenzten Möglichkeiten eines Benutzers mit Programmierberechtigung.

Zur Protokollierung:

Die Protokollfunktion wies in allen untersuchten Systemen Mängel auf, insbesondere hinsichtlich der Protokollierung unberechtigter Zugriffsversuche und von Aktivitäten im Systemmodus. Ein Schütz der Protokollinformation war lediglich in einem System realisiert.

Zur Überwachung:

In keinem der untersuchten Systeme wurden bei wiederholt falschen Logon-Versuchen besondere Maßnahmen ergriffen. Dasselbe gilt bei wiederholt unbefugten Zugriffsversuchen auf Objekte. Die Protokollfunktion konnte in zwei der untersuchten Systeme selbst von Benützern mit niedriger Berechtigungsstufe unbemerkt außer Kraft gesetzt werden.

Insgesamt läßt sich feststellen, daß die untersuchten Systeme nur gegenüber menü-geführten Benutzern als "konzeptionellsicher" bezeichnet werden können.

Obwohl sich der vorliegende Bericht auf Sicherheitsprüfungen von Minirechnern bezieht, ist zu erwarten, daß sich die Ergebnisse des Forschungsvorhabens auch auf Rechner anderer Größenordnungen übertragen lassen. Die Sicherheitsmängel in heutigen DV-Systemen lassen sich langfristig nur beseitigen, wenn allgemein akzeptierte Sicherheitsanforderungen zu einem Standard für Sicherungsmechanismen in den DV-Systemen fuhren.

Eine herstellerneutrale Prüforganisation kann hierzu einen Beitrag leisten durch

- Beratung der Hersteller im Hinblick auf Sicherheitseigenschaften zukünftiger Systeme.

- Beratung der Anwender hinsichtlich der Auswahl von Systemen für sicherheitskritische Anwendungen.

- Unterstützung der Aufsichtsbehörden für den Datenschutz bei der Durchführung ihrer Überwachungsaufgaben durch Bekanntgabe der in den untersuchten Systemen realisierten Sicherungsmechanismen.

* Frank Heymann ist Leiter des Fachbereichs Informationstechnik beim TÜV Bayern e.V., München.

Bernd Breutmann war Projektleiter des Forschungsauftrages beim TÜV Bayern e.V., München, und ist jetzt Professor an der Fachhochschule Würzburg, Bereich Informatik