|
Das deutsche Orange Book
In der Chalisti 5 hat Terra in groben Abrissen aufgezeigt, worum es in einem deutschen Orange Book geht. Dazu moechte ich hier einige Anmerkungen machen, da mir Terras Meinung lange nicht hart genug ausfaellt. Dazu noch einmal eine kurze Einfuehrung. Im Pentagon wurde ab 1978 an Kriterien gearbeitet, um die Vertrauenswuerdigkeit von EDV Systemen untersuchen und beurteilen zu koennen. Als Ergebnis dieser Untersuchengen erschien die Schrift mit der Kennzeichnung DoD 5200.28-STD / CSC-STD-001-83, dtd 15. August 1983, die wegen ihres orangefarbenen Umschlages fortan als Orange Book be- zeichnet wurde. Da diese Schrift sich allerdings nur mit den Betriebssystemen der Rechner an sich, nicht jedoch mit der Sicherheit von EDV-Netzwerken befasste, wurde dann im Jahre 1987 die Trusted Network Initiative (TNI) entworfen, die nun auch Kriterien zur Untersucheung der Sicherheit von Netzwerken ent- hielt. Wie so oft in der Geschichte von Richtlinien und Politik versuchten auch hier die Deutschen wieder einen eigenen Weg zu gehen, indem sie ein deutsches Orange Book entwarfen (siehe hierzu Chalisti 5 und DFN Nachrichten Juli 1989 und IT Sicher- heitskriterien, Bundesanzeiger, Koeln 1989). Ich moechte hier nicht auf diese Schriften weiter eingehen, dazu moege mich der interessierte Leser direkt anschreiben oder sich die entsprechenden Quellen besorgen. Mir geht es hier nur darum, die Schwachstellen derartiger Werke aufzuzeigen. Zunaechst einmal, was bieten diese Werke? Sowohl die deutsche wie auch die amerikanische Ausgabe des Orange Books bzw. des TNI versuchen Entwicklern und Testern Kriterien an die Hand zu geben, an Hand derer entschieden werden kann, wie sicher ein System einzuschaetzen ist. Dieser Schritt ist in meinem Augen sehr zu begruessen, ein Schatten faellt jedoch ueber die Geschichte, Deutsches und Amerikanisches Orange Book sind nur zum Teil deckungsgleich, so das Hersteller im Zweifelsfall alle notwendigen Sicherheitspruefungen zweimal ab- solvieren muessen. Doch dies ist nur ein kleiner Schoenheitsfehler am Rande. Warum bin ich so kritisch eingestellt? Wie schon Terra in der Chalisti 5 ausgefuehrt hat, waegen diese Kriterien und die Einordnung von Betriebssystemen in unterschiedliche Klassen den Endverbraucher in einer truegerischen Sicherheit. Zunaechst einmal halte ich es mit den derzeitigen Methoden fuer schlicht nicht durchfuehrbar, eine formale Analyse aller Sicherheitselemente eines Betriebssystemes durchzufuehren, da diese sehr aufwendig und zeitraubend ist und fuer jede neue Release eines BS neu durchgefuehrt werden muss. Damit sind wir beim zweiten Manko. Die Ueberpruefung erfolgt fuer ein definiertes System, fuer jede Verbesserung des Systemes muss eine Neubewertung durchgefuehrt werden. Wir, als Informatiker, wissen, wie schnell BSe veralten. Da aber ein Pruefung, je nach Einordnung, zwischen 2 und 6 Monaten dauert, wuerden Verbesserungen stark behindert werden. Einen Lichtblick gibt es jedoch: in der Regel ist die Bewertung kostenlos, und bei einer guten Beurteilung sicher eine gute Werbung. Jedem duerfte klar sein, welche Aussage ich hiermit implizieren moechte. Aber alle bis hierher angesprochenen Punkte sind nur kleine Schaeden in der Makulatur, verglichen mit dem wirklichen Schwachpunkt dieser Kriterien. Es werden hier explizit nur Systeme und Rechnernetze bewertet, und hier liegt der grosse Haken. Auf der CeBIT 1989 sprach ich mit diversen Fachleuten ueber dieses Thema. Einhellige Meinung, wie auch in der letzten Zeit haeufig festzustellen, der Faktor Mensch wird zu stark vernachlaessigt. Nirgendwo steht ein Hinweis, das der Faktor Mensch D E N Fehler im System darstellt. Warum diese harte Beurteilung? Viele Firmen arbeiten mit Hilfe von Telefonmodems. Eine Rechneranlage gegen Eindringlinge via Modem zu schuetzen, ist denkbar einfach. Wir bauen lediglich einen Vorrechner (z.B. einen PC fuer ein paar Mark fuffzig) ein, der nach einem Passwort und der Telefonnummer des Anrufers fragt, und dann zurueckruft. Schon ist der Anrufer in der Regel sehr leicht zu identifizieren. Doch muss die entsprechende Firma zurueckrufen, und das verursacht Kosten, darum wird haeufig von solchen Methoden abgesehen, obwohl die Hardware vorhanden ist. Viele BSe bieten schon heute die Moeglichkeit, die Benutzung von Resourcen und Daten zu Protokollieren. Doch muessen diese Protokolle auch ausgewertet werden, doch dafuer fehlen in der Regel entsprechend ausgebildetes Personal, denn dieses kostet Geld. Also wird lieber auf eine Protokollierung verzichtet. Allen Computernutzern sollte auch bekannt sein, das herkoemmliche Bildschirme strahlen, also die Daten mit speziellen Verstaerkern abgehoert und wieder sichtbar gemacht werden koennen. Hier schuetzen nur spezielle Bildschirme oder abgeschirmte Raeume, doch auch dies verursacht zusaetzliche Kosten. Damit waeren wir bei dem Raeumen. Und dann war da noch der Kollege, der sprach:"Kannst Du mich mal eben in den Raum lassen, habe meine Karte vergessen ..." und schon war er in einem Raum, von dem Zugriffe auf geschuetzte Daten moeglich sind. Denn Zugriffe auf geschuetzte Daten kann man so einrichten. dass diese nur von bestimmten Terminals in besonders gschuetzten Raeumen moeglich sind. Natuerlich muessen erst einmal solche Raeume vorhanden sein, doch auch diese kosten leider viel Geld, nicht zu vergessen sind dabei auch Tuersicherungsanlagen, die nicht nur Geld fuer die Hardware sondern auch Geld fuer die Verwaltung erfordern. Und dann sind da noch die Passworter, alle x Wochen zu aendern. Doch was nehme ich da?? Frauennamen oder Hobbybezeichnungen sind da gang und gebe. So wie der Operator auf einem Grossrechner der Namen von grossen Schachspielern als Passwoerter gebrauchte, bis er eine Liste seiner Passwoerter der letzten 6 Monate erhielt. Oder die Leute, die sich ihr Passwort unter die Tastatur kleben, wie ein mir bekannter BTX Anwender. Somit koenne wir feststellen, nicht jeder Anwender der ein vermeintlich so sicheres System hat, hat wirklich ein sicheres System, da aus oekonomischen Ueberlegungen Teile des Sicherheitssystemes ausser Kraft gesetzt werden, oder nicht richtig eingesetzt werden, teils aus mangelnder Schulung des Personals, teils aus Ueberlastung oder Unaufmerksamkeit. Somit komme ich zu dem Resuemee, dass die Kriterien des Orange Book sicher dem Endanwender bei der Auswahl des BS helfen koennen, es sollte allerdings auch hinterfragt werden, wie es mit dem zusaetzlichem Aufwand an Hardware und Personal aussieht, das gebraucht wird, um die Anlage mit der optimalen Sicheheit zu betreiben. Damit duerfte das Orange Book sicher ein guter Anfang sein, aber der Weissheit letzter Schluss ist es mit Sicherheit noch nicht. Autor: Waldi (rode@uniol.uucp, 077481@doluni1.bitnet) ----------------------------------------------------------------------------- |
[Contrib]
[Chalisti]
[06]
Das deutsche Orange Book