Sicherheitsaspekte in der Informationstechnik

Meine sehr verehrten Damen, Meine Herren, namens des Vorstandes der AFCEA Bonn und in Vertretung unseres Vorsitzenden, Flottillenadmiral Dr. Hess, heiße ich Sie zur 5. Fachausstellung unseres Verbandes, die verbunden ist mit der 1. Deutschen Konferenz über Computersicherheit, die wir gemeinsam mit der Zentralstelle für Sicherheit in der Informationstechnik durchführen, sehr herzlich willkommen.

Meine Damen und Herren, auch ich möchte Sie nun im Namen der ZSI begrüßen und mich bedanken, daß Sie unserer Einladung gefolgt sind. Ich freue mich und bin stolz darauf, daß unsere Veranstaltung soviel Resonanz und Interesse gefunden hat. Sodann möchte ich mich bei den Vortragenden und Moderatoren der Vortragsreihen bedanken. Auch hier erfüllt es mich mit Stolz, daß es uns gelungen ist, ausgewiesene Fachleute nicht nur aus Europa, sondern auch aus den Vereinigten Staaten auf unsere Rednerliste zu bringen und natürlich einen leibhaftigen Staatssekretär.

Fragen der Sicherheit der Informationstechnik sind seit einiger Zeit auch in der Bundesrepublik Deutschland zunehmend in den Blickpunkt des öffentlichen Interesses gerückt. Die sensible Frage der erhöhten Verletzlichkeit einer immer stärker von der Informationstechnik abhängigen Gesellschaft, aber auch Gesichtspunkte der Leistungs- und Wettbewerbsfähigkeit von Wirtschaft und Verwaltung bestimmen die öffentliche Diskussion. Auch die Berichte über Pläne zur Errichtung eines “Bundesamtes für Sicherheit in der Informationstechnik” haben dazu beigetragen.

Wesentlich schneller als bei der Entwicklung der Industriegesellschaft sind moderne Informations- und Kommunikationstechniken wichtige Arbeitsmittel in Wirtschaft und Staat, bei Verbänden und gesellschaftlichen Organisationen, in Bildung und Wissenschaft geworden. Oft schon hängt die Arbeitsfähigkeit wesentlicher Teilorganisationen von der Korrektheit und Verfügbarkeit der Informationsverarbeitung ab; Bedrohungen der I&K-Techniken müssen daher vorrangig erkannt und vermieden werden.

Zur Verbesserung der Sicherheit in der Informationstechnik (IT) und zwar ohne Beschränkung auf bestimmte behördlich abgegrenzte Sicherheitsbereiche, ist von der Bundesregierung eine Reihe von Maßnahmen eingeleitet und einige davon sind auch schon getroffen worden, die grundlegende Veränderungen beim Angebot sicherer Computersysteme und Komponenten bewirken werden.

Nach mehrjähriger Tätigkeit der Abteilung Computer-Sicherheit der ZSI soll hier ein Überblick gegeben werden über aber auch über

Als “Meßlatte” zur Beurteilung der Sicherheit informationstechnischer Systeme hat die Zentralstelle für Sicherheit in der Informationstechnik (ZSI) unter Beteiligung von Wirtschaft und Wissenschaft und öffentlicher Verwaltung “IT-Sicherheitskriterien” erarbeitet und veröffentlicht Das “IT-Evaluationshandbuch” stellt eine Ergänzung zu den “IT-Sicherheitskriterien” dar und regelt die Prüfung informationstechnischer Systeme oder selbständiger Komponenten und die Vergabe von Sicherheitszertifikaten. Es soll vor allem eine Gleichbehandlung der an einem Zertifikat interessierten Hersteller und ihrer Produkte gewährleisten.

Es ist Bestandteil der Standardwerke zur IT-Sicherheit und enthält Aussagen und Hinweise, die sich mit organisatorischen Fragen im gesamten Umfeld einer Evaluation befassen.

Wenn erforderlich, wird es fortgeschrieben, damit praktische Erfahrungen aus abgeschlossenen Evaluationen genutzt werden können.

Von 12 Kapiteln orientieren sich die ersten vier Kapitel an den IT-Sicherheitskriterien, die restlichen Kapitel enthalten eigenständige Aussagen zum Umfeld und Ablauf einer Evaluation.

Kapitel 1 gibt zur Einführung der Bewertung von Mechanismen detaillierte Beispiele.

Kapitel 2 erläutert die einzelnen Funktionalitätsklassen und weist besonders darauf hin, daß die Anzahl der Funktionalitätsklassen erweiterbar ist.

Kapitel 3 gibt detaillierte Erläuterungen zu den einzelnen Punkten jeder Qualitätsstufe. Dieses Kapitel steh in engem Zusammenhang mit den Qualitätsstufen der IT-Sicherheitskriterien.

Kapitel 4 enthält detaillierte Ausführungen zum Inhalt und Umfang der bei einer Evaluation vorzulegenden Dokumentation.

Kapitel 5 gibt Erläuterungen zum Qualitätsaspekt “Qualität der Abgrenzung zu nicht zu evaluierenden Systemteilen”.

Kapitel 6 beschreibt das Umfeld einer Evaluation und Zertifikation.

Hier werden insbesondere Aussagen gemacht zu Evaluationsstellen, zur Anmeldung einer Evaluation, zum Evaluationsvertrag, zu den Kosten einer Evaluation, zum Sicherheitszertifikat und zum Schiedsverfahren bei Streitfragen zwischen Evaluationsstelle und Hersteller.

Die anschließenden Kapitel 7 bis 12 beziehen sich auf den Evaluationsvorgang.

So beschreibt Kapitel 7 den Ablauf einer Evaluation, den möglichen organisatorischen Aufbau des Evaluationsteams und gibt Hinweise zum Reviewprozeß, Kapitel 8 die Besonderheiten von begleitenden Evaluationen und Kapitel 9 erläutert, wann eine Reevaluation notwendig wird, und wie in allen anderen Fällen verfahren wird.

Kapitel 10 behandelt die Evaluation von IT-Systemen, die bereits evaluierte Komponenten enthalten.

Kapitel 11 beschreibt den Aufbau einer Werkzeuge- und Methodenliste, die für die Hersteller von IT-Systemen der höheren Qualitätsstufen unbedingt notwendig ist.

Kapitel 12 beinhaltet die Abbildung auf andere Kriterienkataloge, dies wird exemplarisch dargestellt durch die Abbildung auf die Klassen der “Trusted Computer System Evaluation Criteria” des amerikanischen Verteidigungsministeriums.

Es schließt sich ein Glossar der wichtigsten im IT-Evaluationshandbuch verwendeten Begriffe an.

Im Folgenden werden die einzelnen Kapitel in stark verkürzter Form auszugsweise dargestellt.

Die Sicherheit von Rechnersystemen ist in vielen Anwendungsbereichen zu einem zentralen Faktor geworden. Die Zentralstelle für Sicherheit in der Informationstechnik (ZS1) hat, unter Beteiligung von Wirtschaft und Wissenschaft, IT-Sicherheitskriterien zur Bewertung von IT-Systemen im Auftrag der Bundesregierung definiert und am 1. Juni 1989 veröffentlicht. Neben der Herausgabe dieser Kriterien fungiert die ZSI auch als Evaluierungs und Zertifizierungsbehörde. Das von der Siemens AG entwickelte SINIX-System (SINIX ist das UNIX-System von Siemens) wird derzeit bei der ZSI evaluiert. Der nachfolgende Bericht beschreibt die Vorgehensweise und die Erfahrungen, die sich aus der Evaluation des SINIX-Systems gezeigt haben.

In the Summer of 1982, the Committee on Multilevel Data Management Sccurity conducted a Summer Study to identify the formal mathematical concepts, policy issues, techniques and technology required to create certifiable multilevel secure database management systems and applications. Since then, several efforts have been undertaken to apply the findings and recommendations of the published study. Also since the study was conducted, criteria have been written to identify (or mandate) requirements for the evaluation, procurement specification or certification of trusted operating systems and networks, and such criteria are currently being drafted and reviewed for trusted database management systems. This paper assesses the status and trends being taken in current trusted database management technology and applied research in the United States.

Methoden der Beschreibung von Computer-Systemen und deren Eigenschaften, des Nachweises solcher Eigenschaften und generell der Analyse von Systemen nennen wir formal, wenn sie sich der Sprache und der Methoden der Mathematik, insbesondere der mathematischen Logik, bedienen. Formale Methoden spielen in der Computersicherheit eine herausragende Rolle. Die Bedeutung formaler Methoden für den Nachweis, daß ein Computer-System gewisse Sicherheitsanforderungen erfüllt, ist schon früh erkannt worden. Entsprechend wurde in den Kriterien zur Bewertung der Vertrauenswürdigkeit von Computer-System sowohl für die USA [6] wie auch später für die Bundesrepublik [15] vorgeschrieben, daß bei der Entwicklung von Systemen, die eine der höchsten Qualitätsstufen erreichen sollen, die Anwendung formaler Methoden erforderlich ist.

Dieser Beitrag erörtert formale Methoden im Zusammenhang mit Computersicherheit. Insbesondere geht er darauf ein, warum formale Methoden für den Bereich der Computersicherheit besonders wichtig sind, welche Methoden hier relevant sind, wie der derzeitige Stand des Einsatzes solcher Methoden und zugehöriger Werkzeuge gesehen wird und wie die weitere Entwicklung aussehen könnte.

Durch die zunehmende Verbreitung von Expertensystemen in vielen industriellen Bereichen und öffentlichen Institutionen kommt der Zuverlässigkeit dieser Systeme bei der Verarbeitung sensitiver Daten immer größere Bedeutung zu. Mit dem hier vorgestellten Konzept von Funktionalitätsklassen für Expertensysteme wird ein Ansatz erläutert, der es gestattet, die Sicherheit und Zuverlässigkeit von Expertensystemen und Expertensystem-Shells zu bewerten. Darüberhinaus wird die Thematik der Verifikation lernfähiger, d.h. adaptiver Systeme (wie z.B. Neuronale Netzwerke) angesprochen. Hier ergeben sich gänzlich neuartige Problemstellungen für die Forschung.

Auf die sicherheitstechnischen Probleme beim Einsatz von Expertensystemen wurde bereits mehrfach hingewiesen (siehe [1], [2] S.62ff und [3] S. 12ff ). Wegen der zunehmenden Verbreitung von Expertensystemen wird es immer wichtiger, die Sicherheit dieser Systeme beurteilen zu können und Werkzeuge zur Verfügung zu stellen, mit denen vertrauenswürdige Expertensystemanwendungen realisiert werden können. Wir wollen deshalb hier das in [1] erarbeitete Konzept der Funktionalitätsklassen vorstellen, auf deren Grundlage eine Sicherheitsbewertung von Expertensystemen und Expertensystem-Shells möglich ist.

Die sicherheitstechnische Bewertung von Expertensystemen geht zunächst davon aus, daß eine direkte Evaluation von Expertensystemen mit ihren jeweiligen konkreten Wissensbasen aus vielfältigen Gründen nicht sinnvoll ist. Das Haupthindernis dabei ist, daß bei einer Evaluation die spezielle Ausprägung der Wissensbasis des Expertensystems für die Sicherheit des Systems eine entscheidende Rolle spielen kann. Wissensbasen, die sich ihrem Inhalt nach nur in einem einzigen Element (etwa einer Regel oder einer Meta-Regel) unterscheiden, können sich dennoch hinsichtlich ihrer Sicherheitseigenschaften wesentlich unterscheiden.

Aus diesem Grund müßte jede spezielle Version, jede Veränderung, Erweiterung, Portierung etc. und der aktuelle Inhalt der Wissensbasis bei einer Evaluation berücksichtigt werden. Ein derartiger Ansatz würde jeden sinnvollen organisatorischen Rahmen einer Sicherheitsüberprüfung (und insbesondere einer Evaluationsbehörde) sprengen. Zudem ist gerade die relativ leichte Veränderbarkeit und Erweiterbarkeit von Wissensbasen gegenüber konventionellen Programmsystemen wichtig für die Akzeptanz von Expertensystemen.

Wir haben daher in [1] einen Ansatz vorgeschlagen, der die Evaluierung von Expertensystem-Shells zum Ziel hat. Da wir aber Expertensysteme lediglich als eine Betriebsart (Anwendung) von Expertensystem-Shells ansehen und definieren, können wir die Sicherheit von Expertensystem-Shells wiederum auf die Sicherheit ihrer Anwendungen zurückführen und erhalten dadurch indirekt auch eine Evaluierung der Expertensysteme (jedoch unabhängig vom aktuellen Inhalt ihrer Wissensbasen 1)

Durch die Definition der Expertensysteme als spezielle Anwendungsformen oder Betriebsweisen von Expertensystem-Shells erhalten wir eine Normierung zu betrachtender Systeme und eine Reduzierung der potentiellen Anzahl zu evaluierender Systeme. Es müssen nur noch die Entwicklungswerkzeuge für Expertensysteme, die Shells, bewertet werden und nicht etwa diverse Applikationen pro Shell.

Die Idee ist, Expertensystem-Shells als eine Art Compiler zu betrachten, die andere Programme erzeugen — hier die jeweiligen Expertensysteme. Nur durch diesen “Trick” wird die Evaluierung von Expertensystemen mit vertretbarem Aufwand durchführbar und praktikabel.

Zugriffsschutz ist ein tragendes Element der Sicherheit von Computersystemen. Der Zugriffsschutz in Standard-UNIX ist vor dem Hintergrund verschiedener Sicherheitsanforderungen auch aus dem kommerziellen und öffentlichen Bereich verbesserungswürdig. Die IT-Sicherheitskriterien formulieren weitere Anforderungen an Zugriffsschutz in “vertrauenswürdigen” Systemen.

Vor diesem Hintergrund beschreibt der vorliegende Beitrag Randbedingungen der UNIX-Sicherheit und eine erste Realisierung von erweitertem Zugriffsschutz in UNIX System V sowie mögliche Weiterentwicklungen.

Die kompromittierende Abstrahlung ist nahezu bei jedem informationsverarbeitendem elektrischen Gerät als unerwünschter (jedoch in der Regel die Gerätefunktion und Leistungsmerkmale nicht störender) Nebeneffekt (Schmutzeffekt) vorhanden. Die Einschätzung des Risikos einer Kompromittierung (Bewertung des Verlustes der Vertraulichkeit) ist nur möglich, wenn die Geräte komplexen Prüfmethoden der Hochfrequenzmeßtechnik unterzogen werden. Jahrzehntelange Erfahrung, hochmoderne Meßausstattungen und Prüfvorgaben sind in der Zentralstelle für Sicherheit in der Informationstechnik (ZSI) für alle Belange des staatlichen Geheimschutzes vorhanden.

Mit der Umwandlung der Zentralstelle (ZSI) in das Bundesamt (BSI) sind zusammen mit den Geräteherstellern entsprechende Abstrahlmeßvorgaben für den Datenschutz allgemein zu erarbeiten.

Wesentlich billigere abstrahlarme Geräte (für den VS- und Datenschutz) lassen sich herstellen, wenn die Abstrahlschutzmaßnahmen schon zum Zeitpunkt der Geräteentwicklung berücksichtigt werden.

Die in den IT-Sicherheitskriterien definierten SicherheitsGrundfunktionen lassen sich als allgemeine Dienstleistungsfunktionen moderner Betriebssysteme zur Verfügung stellen. Bei geeigneter Software-Qualität dieser Funktionen wird dadurch die gebotene Sicherheit wesentlich erhöht.

Zur Zeit liegen in der Bundesrepublik nur geringe Erfahrungen der Entwicklung sicherer Systeme nach den Maßgaben der höheren Qualitätsstufen der IT-Sicherheitskriterien [l] vor. An einem überschaubaren kleinen Beispiel werden in der vorliegenden Arbeit einige Schritte einer derartigen Systementwicklung und dabei auftretende Probleme der Evaluation solcher Systeme diskutiert.

Die am 1.6.1989 veröffentlichten IT-Sicherheitskriterien stellen einen ersten wichtigen Schritt auf dem Weg zu sicheren IT-Systemen dar, dem jedoch möglichst bald, weitere Schritte folgen müssen. Der folgenden Artikel beschreibt, wie es zu den IT-Sicherheitskriterien kam, ihre Intention und Struktur sowie die nächsten Schritte, die nach Meinung des Autors nun folgen müssen, um ein möglichst hohes Maß an Sicherheit bei der Anwendung der Informationstechnik zu erreichen.

Sehr geehrte Damen und Herren, ich habe die Aufgabe und Ehre, eine zusammenfassende Schlußbetrachtung der 1. Deutschen Konferenz für Computer-Sicherheit zu geben.