Mit zunehmender
Abhängigkeit heutiger Unternehmen von der Funktionsfähigkeit der
Informationssysteme werden auch die Sicherheitsaspekte zu einem wichtigen Faktor. Um die
Sicherheit von Informationssystemen auch nach objektiven Kriterien einheitlich beurteilen zu
können, wurden Richtlinien geschaffen.
Der erste bedeutende Kriterienkatalog war das sogenannte (TCSEC - Trusted Computer
System Evaluation Criteria), welches vom amerikanischen Verteidigungsministerium
herausgegeben wurde. Darauf aufbauend folgten weitere, wie aus folgender Abbildung zu sehen
ist.
Das Orange Book
Im Orange Book
werden Informationssysteme (auch IT-Systeme genannt) in die sieben
Sicherheitsklassen D, C1, C2, B1, B2, B3 und A1 unterteilt.
Das Orange Book
ist das "militärische" Modell von Sicherheit mit dem primären Ziel der
Einhaltung der Vertraulichkeit und betrifft nur die Sicherheit eines Hosts und nicht eines
Netzwerks. Das Modell umfasst immer Systeme d.h. die ganze Hard- und Software inkl. aller
Anschlüsse, den Ort an dem sich das System befindet und die komplette Dokumentation. Es ist
deshalb nicht möglich ein Betriebssystem zu kaufen welches z.B. C2 sicher ist; Software ist
allenfalls C2 zertifizierbar im Rahmen eines kompletten Systems!
In der Klasse
D sind alle Systeme eingeordnet, welche die Anforderungen für die Klassen C
bis A nicht erfüllen. Das System kann zwar sehr sicher sein, erfüllt aber mindestens eine
Anforderung der anderen Klassen nicht. Die Klasse D beschreibt den geringsten
Sicherheitsstandard.
Die Klasse C wird in die zwei Sicherheitsebenen C1 und C2 unterteilt.
C1 beschreibt die Sicherheitsmechanismen, welche normalerweise auf einem typischen Unix-
System verfügbar sind. Die Benutzer müssen sich dem System gegenüber mit einem
Loginnamen und einem Passwort legitimieren. Durch diese Kombination werden auch die
Zugangsrechte für die Benutzer festgelegt.
C2 verlangt zusätzlich zu den Sicherheitsmechanismen von C1, dass alle oder bestimmte
Operationen der einzelnen Benutzer überwacht und gespeichert werden können.
Die Klasse-B-Kriterien fordern zusätzliche Mechanismen zu den Kriterien der Klasse C. Die
Klasse B wird in die drei Sicherheitsebenen B1, B2 und B3 unterteilt.
In B1 werden verschiedene Sicherheitsniveaus wie nicht vertraulich, vertraulich, geheim oder
streng geheim unterschieden. Die Rechte der Besitzer und Benutzer können nur durch den
Systemoperator verändert werden.
B2 verschärft die Sicherheitskriterien der Ebene B1 weiter und fordert zusätzlich:
- Zugangskontrollen zu allen Komponenten
des Systems
- gesicherter Kommunikationspfad zwischen
Benutzer und System
- Abschirmung gegen elektromagnetische Abstrahlung
nach aussen
- Unterscheidung zwischen Operator und Systemverwalter
- Markierung aller Einrichtungen mit der
jeweiligen Geheimhaltungsstufe
- Formelle Beschreibung des Sicherheitsmodells
B3 Systeme
erfüllen noch höhere Kriterien und müssen in der Regel von Grund auf als solche
konzipiert und entwickelt werden. Dabei sind unter anderem zusätzliche Mechanismen zur
Wiederherstellung des ursprünglichen Systemzustands nach Systemfehlern zur Verfügung zu
stellen.
Die Klasse-A-Kriterien fordern keine zusätzliche Systemerweiterung. Um diese
Sicherheitsklasse jedoch zu erhalten, müssen alle Bedingungen der unteren Klassen erfüllt
und
zusätzlich bis auf das kleinste Detail dokumentiert sein.
Der ITSEC-Kriterienkatalog
Auch in Europa
wurde ein Kriterienkatalog für die Beurteilung der Sicherheit von
Informationssystemen geschaffen. ITSEC (Information Technology Security Evaluation
Criteria) wurde in Anlehnung an das Orange Book auch in sieben Klassen aufgeteilt , welche in
der Definition auch ungefähr mit dem Orange Book übereinstimmen, wie aus folgender Tabelle
zu entnehmen ist:
|
Übersicht über die Sicherheitsklassen
|
|
Orange
Book
|
ITSEC
|
Sicherheit
|
|
D
|
E0
|
unzureichend
|
|
C1
|
E1
|
getestet
|
|
C2
|
E2
|
methodisch getestet,
Konfigurationskontrolle und kontrollierte
Verteilung
|
|
B1
|
E3
|
teilanalysiert
(Schaltpläne, Quellcode)
|
|
B2
|
E4
|
formales
Sicherheitsmodell, Spezifikation in semi-formaler Notation
|
|
B3
|
E5
|
nachvollziehbare
Abbildung von Spezifikation/Quellcode
|
|
A1
|
E6
|
Anforderungen und
Grob-Spezifikation in formaler Notation,
Konsistenz mit dem formalen Sicherheitsmodell nachweisen
|
Sicherheit im
OSI-Modell
ISO hat zusammen
mit IEC, JTC1 und SC21 ebenfalls eine Sicherheitsarchitektur [ISO 7498-
2] entwickelt. In dieser Sicherheitsarchitektur werden verschiedene Sicherheitsdienste
defininiert, welche mittels Sicherheitsmechanismen realisiert werden können.
Untenstehende Abbildung zeigt die Zusammenhänge:
Ein Problem ist
allerdings, dass OSI die Sicherheitsarchitektur für offener Systeme definiert hat.
Dies führt dazu, dass die Definition so offen ist, dass man sie genauer definieren muss, um
überhaupt damit arbeiten zu können. In der Industrie werden meist sog. Subsets definiert.
Diese
genaueren Definitionen sind nun die Sicherheitsdienste in obiger Abbildung. Das
Zusammenwirken aller Sicherheitsdienste gewährleistet schlussendlich die Gesamtsicherheit
eines Systems.
1. Sicherheit (Kurzfassung)
