Mit der Herausgabe der IT-Sicherheitskriterien (1,2) im Juni 1989 hat die ZSI (Zentralstelle für Sicherheit in der Informationstechnik) ihre Position und Aufgabenstellung im Bereich der Informationssicherheit fachlich dokumentiert.

Was ist in den letzten Monaten in dem immer wichtiger werdenden Bereich "Sicherheit der IT" geschehen? Was sind die Ziele und Strategien?

Durch ein in Vorbereitung befindliches Gesetz soll zu Beginn des Jahres 1991 ein "Bundesamt" für Sicherheit in der Informationstechnik (BSI)" errichtet werden. Im Gesetzentwurf sind Aufgaben und Kompetenzen dieses neuen Bundesamtes definiert: Bearbeitung der technisch-wissenschaftlichen Grundlagen der Informationssicherheit sowie die Prüfung von DV-Systemen auf Sicherheit und Vertauenswürdigkeit.

Diese Aufgabenstellung wurde bisher schon (seit Februar 1987) durch die ZSI bearbeitet, die dazu - wie das neue Bundesamt - der Aufsicht der Bundesministerien des Innern untersteht. Das bei der ZSI für den Aufgabenbereich "Computer Security" zuständige Personal soll in das neue Bundesamt übergehen.

Während die ZSI bisher ausschließlich für den Behördenbereich (Bund, Länder und Gemeinden) beratend tätig war, soll das neue Bundesamt sehr viel breitere Aufgaben erhalten: Neben den staatlichen Sicherheitsinteressen in der allgemeinen Verwaltung, insbesondere im Verschlußsachenbereich sollen Unterstützungs- und Beratungsleistungen für den Datenschutz, die Industrie und den Bürger in puncto Informationssicherheit zu einer Kernaufgabe des BSI werden.

Die Aufgaben sind im Detail:

- Erstellung und Aktualisierung von typischen Bedrohungsmodellen, in denen Schwächen von DV- Systemen, Angriffs- und Manipulationsmöglichkeiten erfaßt sind, und damit eine Basis für Schadensanalysen geschaffen wird.

- Definition und Fortschreibung von Standards für die vergleichende Bewertung der Sicherheitseigenschaften von Systemen, Verbreitung solcher Standards international mit dem Ziel der Harmonisierung.

- Kooperation mit der Industrie bei der Entwicklung sicherer DV-Systeme,

- Prüfen und Bewerten von Hard- und Software im Hinblick auf deren Sicherheitseigenschaften (Evaluierung und Zertifizierung), Veröffentlichung einer Liste geprüfter Systeme,

- verstärkte Öffentlichkeitsarbeit im Bereich der Informationssicherheit.

Die genannten Aufgaben spiegeln auch die geplante Organisationsstruktur des neuen Bundesamtes wider.

Systemprüfungen werden allerdings nach dem Entwurf des BSI-Gesetzes kein Monopol des BSI werden, da externe neutrale, das heißt herstellerunabhängige Evaluierungsstellen eingerichtet werden können. Damit wird auch dem Mengenproblem vorgebeugt, da Systemprüfungen nach den IT-Kriterien bei höheren Qualitätsansprüchen sehr aufwendig sind und somit nicht auf Dauer von einer einzelnen Institution durchgeführt werden können.

Die Prüfung eines Systems schließt in der Regel mit einem Zertifikat ab. Was ist bisher von der ZSI an Vorarbeit geleistet worden?

Die bereits eingangs erwähnten IT-Sicherheitskriterien beinhalten eine Meßpalette zur Beurteilung der Sicherheitseigenschaften von DV-Systemen.

Sie erfüllen damit die gleiche Funktion wie das bekannte Orange Book in den USA, ähnliche Kriterien in Großbritannien und andere nationale Kriterien, die zum Teil noch in der Entstehung sind.

In der NATO ist eine Variante des Orange Book - das sogenannte Blue Book - der gemeinsame Standard. Vor einigen Monaten hat man hier entschieden, die deutschen IT-Sicherheitskriterien zur Grundlage eines neuen NATO-Standards zu machen. Aufgrund vielfältiger Aktivitäten darf man erwarten, daß es mittelfristig auf der gleichen Grundlage einen EG-weiten Standard geben wird.

Die vielfach zu beobachtende Abkehr von dem klassischen Vorbild des Orange Book - dessen Bedeutung hier nicht geschmälert werden soll - hat vielfältige fachliche Gründe vgl. (3). Außerdem spielt Export-Restriktion für manche in den USA zertifizierten Systeme eine Rolle.

In der Bundesrepublik gibt es für die Verarbeitung sensitiver Daten eine Reihe von Gesetzen, Vorschriften und Richtlinien: das Bundesdatenschutzgesetz BDSG, verschiedene Richtlinienzur Verarbeitung von Verschlußsachen, ergänzende Bestimmungen im militärischen Bereich, sowie Anforderungen des Wirtschaftsministeriums an Firmen, die im Auftrag der öffentlichen Verwaltung an VS-Aufträgen arbeiten.

Die Gesetze, Richtlinien, Erlasse und Vorschriften sind trotz ähnlicher Zielrichtung kaum harmonisiert. In fast allen angesprochenen Bereichen besteht jedoch zur Zeit Einigkeit darin, daß für die technischen Sicherheitsanforderungen (an Geräte, Systeme, Hard- und Software) die von der ZSI herausgegebenen IT-Sicherheitskriterien der gemeinsame Standard sein sollen, das heißt daß entsprechend zertifizierte Systeme in Zukunft vorrangig zum Einsatz kommen werden.

Ziel der IT-Sicherheitskriterien ist es dabei letztlich, für die Betreiber und Hersteller von DV-Anlagen eine definierte Aussage über die Sicherheitseigenschaften ihrer Systeme zu machen. Aufgrund einer Bedrohungsanalyse legt der Betreiber seine Anforderungen an ein DV-System fest und wählt dann aus der Liste der geprüften Produkte ein geeignetes Produkt.

Bei der Bedrohungsanalyse ist in der Regel von den drei klassischen Grundbedrohungen auszugehen, denen ein DV-System ausgesetzt ist: Verlust der Vertraulichkeit, der Verfügbarkeit und der Integrität von Informationen.

Aus diesem Bedrohungsumfeld müssen Anforderungen resultieren, die festlegen,

- welche Sicherheitsfunktionen ein DV-System besitzen muß (die "Funktionalität"),

- welche Qualität diese Funktionen besitzen, das heißt wie resistent sie sich gegenüber "Angriffen" erweisen sollen (die "Qualität"), mit welcher Tiefe und Präzision die Prüfung von Funktionalität und Qualität durchgeführt werden muß (die "Vertrauenswürdigkeit"). Die TI-Kriterien tragen diesen Überlegungen Rechnung: Nach einer Auflistung der relevanten Grundfunktionen sicherer Systeme werden zehn Funktionalitätsklassen (F-Klassen) für typische DV-Anwendungen (unter anderem Betriebssysteme, Datenbanken, Prozeßrechner, Netzwerke) definiert. Die IT-Kriterien sind für neue Klassen beziehungsweise andere Gruppierungen von Einzelfunktionen offen, das heißt die vorgegebenen Klassen sind eher als Beispiele zu sehen.

Danach werden acht Qualitätsstufen (Q-Klassen) festgelegt, die aufsteigend immer höhere Anforderungen an die Angriffsresistenz stellen, gleichzeitig aber auch den Umfang und Detaillierungsgrad der System-Prüfungen festlegen.

Zehn Systeme werden zur Zeit evaluiert

Gemäß diesen Kriterien werden bei der ZSI zur Zeit insgesamt zirka zehn Systeme evaluiert, und zwar in den Bereichen Großrechnerbetriebssysteme, "mittlere Datentechnik", PC und Workstations, lokale Netzwerke. Einige Systeme haben die Prüfung bereits erfolgreich durchlaufen.

Parallel werden zwei weitere Dokumente veröffentlicht:

1 ) das IT-Evaluationshandbuch (erscheint in den nächsten Wochen) - es beschreibt den Prüfvorgang: organisatorischer Ablauf, fachlicher Ablauf, präzisierende Information zur Interpretation der IT-Kriterien, Beispiele für die Bewertung von Mechanismen,

2) das IT-Sicherheitshandbuch (Veröffentlichung Anfang 1991) - es soll Hilfestellung bei der Bedrohungsanalyse vor Ort, der Präzisierung von Sicherheitsanforderungen, Abwicklung der Organisation des "Umfeldes" des betreffenden IT-Systems leisten.

Diese beiden Dokumente werden wie die bereits veröffentlichten IT-Sicherheitskriterien in Arbeitskreisen diskutiert, und zwar unter Mitwirkung von Behörden, Verbänden, Herstellern, Hochschulen und Fachhochschulen .

Diesen Arbeiten an Kriterien wurden von und im Auftrag der ZSI zahlreiche Untersuhungen und Studien angefertigt, in denen Informationen über Sicherheitsprobleme in speziellen Betriebssystemen, Netzwerken und Applikationen konzentriert sind. Es bleibt zu hoffen, daß die vielfältigen Initiativen weitergeführt und damit auch einer breiten Öffentlichkeit zugänglich sein werden.

In der Wagenburg

Wo soviel Pulverdampf in der Luft ist, wie zur Zeit beim Thema ZSI/BSI (siehe auch den Gastkommentar auf Seite 8) sollen auch die Protagonisten in der Wagenburg zu Wort kommen. "Insider" Heinrich Kersten umreißt in seinem Artikel das Aufgabenspektrum und die Organisationsstruktur des künftigen Bundesamtes für Sicherheit in der Informationstechnik (BSI), so es denn zustande kommt. Auch geht er auf das Verfahren ein, das ein Betreiber von Informations- und Kommunikationssystemen künftig einsetzen muß oder kann, wenn er aus der privaten Wirtschaft kommt, um aufgrund einer Bedrohungsanalyse schließlich zu geeigneten Produkten und damit adäquat sicheren Systemen zu kommen.

* Dr. Heinrich Kersten, Leiter der Systemprüfung bei der Zentralstelle für Sicherheit in der Informationstechnik in Bonn und Privatdozent an der Technischen Hochschule Aachen. Anmerkung: Dieser Aufsatz ist die Ausarbeitung eines Vortrages des Verfassers auf der online '90 in Hamburg.

(1) IT-Sicherheitskriterien: Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (IT), Bundesanzeiger-Verlag, Köln 1989, ISBN 3-88784-192-1

(2) IT-Security Criteria: Criteria for the Evaluation of Trustworthiness of Information Technology (IT) Systems, Bundesanzeiger-Verlag, Köln 1989, ISBN 3-88784-200-6

(3) Kersten, H: Der deutsche Kriterienkatalog für die Bewertung von Sicherheit und Vertrauenswürdigkeit von DV-Anlagen, Recht der Datenverarbeitung 2(1989) 11-17