Zertifizierung mehrseitiger IT-Sicherheit

Organisationen zur Bewertung der Sicherheit von Informationstechnik (IT) existieren seit den 70er Jahren. Ihre Struktur und die wechselseitigen Abhängigkeiten der Beteiligten sind nicht trivial, ebensowenig deren Interessen. Darum gibt dieses Kapitel eine Einführung in die zu IT-Sicherheit entstandene Zertifizierungs- und Kriterienlandschaft und in die zugehörige Terminologie, soweit sie im weiteren Verlauf der Arbeit benutzt wird. Kapitel 1.1 enthält eine kurze Motivation für Zertifizierung und Evaluation nach Kriterien, Kapitel 1.2 eine Beschreibung der zentralen Begriffe. Kapitel 1.3 gibt eine Übersicht darüber, was evaluiert wurde oder wird. Kapitel 1.4 beschreibt den Vorgang der Evaluation kurz. Die gesetzlichen Grundlagen für die Sicherheitsevaluation in Deutschland wurden im wesentlichen durch das BSI-Errichtungsgesetz geschaffen und werden zusammen mit den Organisationsformen in anderen Staaten in 1.5 vorgestellt. In 1.6 wird betrachtet, wer Kriterien und Zertifikate wozu nutzt, in 1.7, wer welche Kriterien schreibt bzw. bislang geschrieben hat.

IT-Sicherheit ist der Gegenstandsbereich der (Evaluations-) Kriterien und der Zertifizierung. Gerade der Begriff „Sicherheit“ hat im Zuge der Entwicklung der Informationstechnik (IT) und der Verbreitung ihrer Anwendung eine erhebliche Erweiterung seiner Bedeutung erfahren, die in diesem Kapitel zunächst kurz anhand einiger Beispiele diskutiert wird (2.1). Insbesondere bei offenen Kommunikationssystemen kann nicht davon ausgegangen werden, daß sich alle Beteiligten vollständig vertrauen: Da sie üblicherweise unterschiedliche Interessen haben, sind prinzipiell alle Beteiligten auch als potentielle Angreifer zu betrachten (siehe 2.2).

Als erste Evaluationskriterien für die Sicherheit von IT-Systemen gelten die 1983 erstmals und 1985 nahezu unverändert erneut veröffentlichten „Trusted Computer Security Evaluation Criteria“ (TCSEC) des „Department of Defense“ (DoD) der USA¹; oft ist der aus ihrer Einbandfarbe abgeleitete Name „Orange Book“ bekannter.

Die Schwächen der TCSEC (vgl. Kapitel 3.3) und die restriktive US-amerikanische Politik gegenüber evaluationsinteressierten ausländischen Herstellern bewirkten, daß in Europa eigene Kriterien entworfen wurden. 1989 erschien in Deutschland die erste — und bislang einzige — Fassung der ZSISC¹ [D_ZSI 1989a, 1989b], herausgegeben von der damaligen Zentralstelle für Sicherheit in der Informationstechnik (ZSI), der Vorgängerbehörde des BSI. Diese Kriterien unterscheiden zwischen Sicherheitsfunktionalität und Qualitätssicherung. Auch in Frankreich und Großbritannien entstanden Kriterien [F_CSSI 1989; UK_CESG 1989; UK_DTI 1989a, 1989b].

Die in Kapitel 3 und 4 vorgestellten TCSEC und ITSEC sind die Kriterien, die die Praxis der gegenwärtig etablierten Zertifizierungs- und Kriterienlandschaft bestimmen, denn sie sind die von den Trägern der jeweiligen Zertifizierungssysteme derzeit verwendeten Dokumente. Insofern liegen mit ihnen die meisten Erfahrungen vor und fast alle öffentlichen Kommentare, insbesondere jene von seiten der Praxis, konzentrieren sich auf sie¹. Kapitel 51 enthält eine in fünf Aspekte gegliederte Zusammenstellung dieser Kommentare. In Kapitel 5.2 wird auf der Basis der bisher vorliegenden Erfahrungen eine zusätzliche eigene Bewertung der Nutzen und Risiken von Zertifizierung und Kriterien vorgenommen.

Ziel bei Entwicklung der „Common Criteria“ (CC) ist es, die Ansätze der vorliegenden Kriterien, speziell der TCSEC, der ITSEC, der CTCPEC, der FC-ITS¹ und auch der ECITS, zu integrieren und zu harmonisieren. Das Projekt nahm seinen Ausgangspunkt aus der Präsentation der US-amerikanischen FC-ITS (vgl. 8.1).

Die in den letzten drei Kapiteln vorgestellten Post-ITSEC-Kriterien unterscheiden sich teilweise erheblich von den ITSEC. Insofern bietet es sich an, sie im Lichte der in Kapitel 5.1 zusammengestellten Kritik an den ITSEC zu vergleichen, um zu sehen, ob und inwieweit diese Kritik durch die neuen Kriterien überwunden ist.

Die Analysen in den Teilen B (speziell Kapitel 5) und C (speziell Kapitel 9) dieser Arbeit zeigten die Defizite der bislang vorliegenden Kriterien. Ein zentraler Punkt waren dabei die Schwächen der jeweiligen Gliederungen von Sicherheitsfunktionalität, die noch einmal in Kapitel 10.1 zusammengefegt werden. Wegen dieser Schwächen wird in den folgenden Unterkapiteln eine neue Gliederung vorgestellt. Ausgangspunkte für diese Entwicklung waren vor allem die ISO-ECITS in der Fassung vom Winter 1995/96 [ISO/IEC 1995a] sowie die Version 3.0 der CTCPEC [CDN_SSC 1993a]. In 10.2 werden Zweck und Struktur der neuen Gliederung im Überblick vorgestellt, in 10.3 wird sie detailliert erläutert. In 10.4 wird begründet, warum einige der in den ISO-ECITS bzw. den CTCPEC enthaltenen Elemente nicht mehr bzw. nicht mehr in ihrer ursprünglichen Form in der neuen Gliederung enthalten sind.

Als Beispiel für die Tauglichkeit der in Kapitel 10 neu entwickelten Gliederung wird in diesem Kapitel die Sicherheitsfunktionalität für digitale Telekommunikationsanlagen (TK-Anlagen) näher untersucht und gegliedert. Typische digitale TK-Anlagen sind ISDN-fähige Nebenstellenanlagen. Ausgangspunkt der Untersuchung ist ein Entwurf einer „ITSEC-Funktionalitätsklasse für die Sicherheit von digitalen TK-Anlagen“ ([Mackenbrock 1995], in diesem Kapitel im folgenden kurz ITSEC-Funktionalitätsklasse genannt). Auf diesen Entwurf sowie einige notwendige Erweiterungen wird die in Kapitel 10 entwickelte Gliederung angewandt. Im einzelnen enthält dieses Kapitel dazu die folgenden Unterkapitel:

Wie sich in den vorangegangenen Abschnitten¹ dieser Arbeit gezeigt hat, sind die vorliegenden IT-Sicherheitsevaluationskriterien in vielerlei Hinsicht defizitär. Manche schwerwiegende Defizite lassen sich auf der Basis der in Teil D vorgeschlagenen Verbesserungen beseitigen. Dennoch werden auch neue und bessere Kriterien allein aus sich heraus nicht alle Probleme der Zertifizierungs- und Kriterienlandschaft beseitigen können. Dies gilt etwa für die vielfach als unzureichend angesehene Aussagekraft und Verwertbarkeit der Ergebnisse (vgl. 5.1.4 bzw. 9.4), die als zu hoch beklagten Kosten sowie besonders für die als zu gering erachtete Effizienz des Evaluations- und Zertifizierungsprozesses (vgl. 5.1.3 bzw. 9.3). Um diese Probleme einer Lösung zumindest näher zu bringen, sind auch Verbesserungen der Organisation von Zertifizierung, Evaluation und Weiterentwicklung der fachlichen Grundlagen nötig. Vorschläge dafür sind der Inhalt des Teils E.

Während der Zertifizierung entstehen u.a. das Zertifikat und der Zertifizierungsbericht. Sie sind die Ergebnisse des gesamten Zertifizierungs- und Evaluationsprozesses, die am meisten nach außen wirken. Vielen Antragstellern ist insbesondere das Zertifikat wichtig (vgl. 1.6.1). Aus diesen Gründen hat die Zertifizierungsstelle eine herausgehobene Stellung und trägt eine besondere Verantwortung, die sich in einer geeigneten Organisationsform wiederspiegeln muß.

Die Evaluation ist der Teil des gesamten Zertifizierungs- und Evaluationsprozesses, in dem die eigentliche technische Prüfung stattfindet. Vor allem aus Kostengründen wird die Evaluation im allgemeinen nicht von der Zertifizierungsstelle selbst, sondern von einer Evaluationsstelle durchgeführt. Auch wenn die Zertifizierungsstelle die Evaluation begleitet und vor der Ausgabe des Zertifikates Nachfragen stellen kann, ist sie durchaus auf die Ergebnisse der Evaluationsstelle und deren Qualität angewiesen. Entsprechend ergeben sich Anforderungen an die Evaluationsstelle, vor allem fachliche Kompetenz, Unvoreingenommenheit und Unabhängigkeit (vgl. 12.4).

Die Akkreditierung von Evaluationsstellen dient hauptsächlich der Sicherstellung der Qualifikation, Objektivität und Neutralität der Evaluationsstellen sowie der Vergleichbarkeit der Evaluationsverfahren und -ergebnisse. Sie kann als übergreifende Evaluation der Evaluateure angesehen werden und stellt ähnliche prinzipiell ähnliche Anforderungen an die Akkreditierungsstelle (vgl. 12.5) wie die Produktzertifizierung und -evaluation an die Zertifizierungs- und Evaluationsstellen¹. Da es jedoch in mancherlei Hinsicht um eine Oberaufsicht geht, sind diese Anforderungen entsprechend bedeutender.

Information der Nicht-Insider ist eines der Hauptziele der Zertifizierung, denn sie soll schließlich zu einer Steigerung der Markttransparenz beitragen, so daß auch diese Nicht-Insider sachgerechte Entscheidungen treffen können. In Kapitel 12.6 wurden zwei Typen von Informationen unterschieden:

Bislang ist weder das Thema „Sicherheit in der Informations- und Kommunikationstechnik“ vollständig verstanden, noch ist abschließend klar, mit welchen Maßnahmen welchen Problemen begegnet werden kann. Die Weiterentwicklung der Technik, ihrer Anwendungen und der damit verknüpften Sicherheitsanforderungen¹ sorgt dafür, daß die Weiterentwicklung von Kriterien und Methoden wohl noch einige Zeit in Anspruch nehmen wird, wenn es sich nicht gar wegen des anhaltenden technischen Fortschritts um eine Daueraufgabe handelt. Vier Teilbereiche dieser Aufgabe waren in Kapitel 12.7 identifiziert worden: