Das deutsche Orange-Book
Wie schon in der Chalisti 3 kurz zu lesen war wird demnaechst
eine Abteilung fuer Computersicherheit in der Bundesrepublik
aufgebaut. Damit haengt sicher auch die Idee zusammen, ein
Bewertungskatalog fuer Sicherheitskriterien zu entwickeln. Als
Vorbild nimmt man sich da das sogenannte Orange-Book, welches vom
US-Verteidigungsministerium herausgegeben wird. Allerdings
moechte man man sich von diesem unterscheiden. Der Unterschied
soll in folgenen Punkten liegen:
- getrennte Bewertung von Funtionalitaet und Qualitaet
- kein festgeschriebenes Sicherheitsmodell
- offen fuer Erweiterungen und kuenftige Systeme
In Deutschland wurden diese "IT-Sicherheitskriterien" (ITSK)
(IT= Informationstechnik) von der Zentralstelle fuer Sicherheit
in der Informationstechnik (ZSI), der Wirtschaft und der
Wissenschaft erstellt.
Die ITSK beschreiben erstmals eine Gruppe von Funktionen die ein
Informationssystems schuetzen sollen:
1. Identifikation und Authentisierung
Das sind als Beispiel Einlogprogramme sowie weitere Verfahren,
um das Vortaeuschen einer falschen Identitaet zu verhindern.
2. Rechteverwaltung
Es muss die Moeglichkeit geben, an Dateien Rechte zu vergeben.
3. Rechtepruefung
Wer darf wie welche Datei ausfuehren. Stuetzt sich also auf
den 2.Punkt ab.
4. Beweissicherung
Protokollieren von Datei- oder Systemzugriffen. Diese muessen
entweder personenunabhaengig erhoben werden oder aber im
Rahmen der Datenschutzbestimmungen.
5. Wiederaufbereitung
Betriebsmittel (z.B. Speicher) muessen so wieder aufbereitet
werden, dass ein nachfolgener Benutzer dieser Betriebsmittel
keine Informationen des vorherigen Benutzers erhalten kann.
6. Fehlerueberbrueckung
Vorhandene Fehler im System sollen moeglichst geringe
Auswirkungen auf die Sicherheit und Ausfuehrung haben.
7. Gewaehrleistung der Funktionalitaet
Sicherheitsfunktionen duerfen nicht ausfallen.
8. Uebertragungssicherung
Datenuebertragung auf Netzen soll geschuetzt werden. Als
Modell dafuer wird das Security Addendum des ISO/OSI-
Schichtenmodells verwendet.
Bei den ITSK gibt es 10 Funktionsklassen und 7 Qualitaetsstufen.
Die Qualitaet bezieht sich dabei nicht auf die Qualitaet der
Software im allgemeinen, sondern allein auf die angewendeten
Verfahren fuer die Sicherheit, um sicherzustellen, dass die
Sicherheitsfunktionen auch sicher sind.
Funktionsklassen
Die ersten 5 Funktionsklassen sind direkt auf das Orange-Book
abbildbar. Die letzten 5 sind nur eine Erweiterung. Mischformen
sind moeglich.
F1: (=C1 im Orange Book) Benutzerbestimmbarerer Zugriff
F2: (=C2) Mechanismen der Protokollierung
F3: (=B1) Festgelegter erzwungener Zugriffsschutz
F4: (=B2) Vertrauenswuerdiger Zugriffspfad
F5: (=B3/A1) Ueberwachung sicherheitskritischer Ereignisse
F6: Grosse Sicherheit bezuegl. der Datenintegritaet (z.B. bei
Datenbanken noetig).
F7: Anforderungen an die Verfuegbarkeit eines Systems (z.B. bei
Prozessrechnern)
F8: Sicherung und Integritaet bei der DFUE durch Identifikation,
Uebertragungs- und Beweissicherung
F9: Geheimhaltung von Daten bei der DFUE
F10:Starke Vertraulichkeit und Integritaet bei vernetzen System
Qualitaetsanforderungen
Die Bewertung ist hierachisch. Jede Q-Stufe muss die
Anforderungen der Vorhergehenden erfuellen.
Q0: Unzureichende Qualitaet (durchgefallen)
Q1: geprueft durch einfache Testdurchlaeufe
Q2: methodisch getestet und geprueft
Q3: methodisch getestet. Teile der Sourcecodes wurden
stichprobenartig analysiert.
Q4: informell anhand des Sourecode analysiert
Q5: semiformal analysiert; die wichtigsten Routinen wurden formal
spezifiziert
Q6: Der gesamte Sourcecode wurde formal analysiert und
spezifiziert
Q7: formal verifiziert; Die Konsistenz zwischen Sourcecode und
formaler Beschreibung ist bewiesen.
Noch befindet sich dieser Einstufungsplan in Vorbereitung,
allerdings bin ich der Meinung, dass mit dieser Einstufung keine
weitere Sicherheit erreicht wird. Hoechstens wird der Eindruck
erzeugt, dass ein solches System sicher ist. Ein Betriebssystem
mit der Einstufung F5Q7 sollte beispielsweise ein wahnsinnig
sicherers System sein. Es ist allerdings fraglich, ob durch eine
formale Analyse (anhand des Sourcecodes) und mit Tests die
Sicherheit eines OS vorliegt. Seiteneffekte wie beispielsweise
bei Unix durch das IFS-Enviroment wuerden auch bei solchen
Analyseverfahren kaum entdeckt werden.
Natuerlich kann man versuchen, sichere Systeme zu entwickeln, wie
es z.B. bei MACH geschieht. Auch durch das konsequente Anwenden
von objektorientierten Konstrukten kann ein Betriebssystem weit-
aus sicherer werden. Gerade letztere Konstrukte koennten die
Virengefahr in Rechnersystemen drastisch verringern.
Sicherheitsstufungen der Art wie es das Orange Book darstellt,
helfen hoechstens, Sicherheit zu suggerieren, nicht aber,
Sicherheit zu schaffen.
Quellen: - DFN Nachrichten Juli 1989
- IT-Sicherheitskriterien, Bundesanzeiger, Koeln 1989
ISBN 3-8878, 192-1, DM 9,60
Terra
-----------------------------------------------------------------------------
|
![[Chaos CD]](../../../images/chaoscd.jpg)
![[ -- ]](../../../images/prev.jpg)
![[ ++ ]](../../../images/next.jpg)
![[Suchen]](../../../images/search.jpg)