In sensiblen Einsatzbereichen wie Banken und Versicherungen und mehr noch im staatlichen und militärischen Sektor spielen Vertraulichkeit, Verfügbarkeit und Integrität von Hard- und Software schon immer eine große Rolle.
Vor diesem Hintergrund ist es verständlich, dass Evaluierungsorganisationen typischerweise auf amtliche Stellen zurückgehen, die ursprünglich für eine Bewertung militärischer oder staatlicher Rechnersysteme zuständig waren. Dazu zählt speziell in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Historisch betrachtet spielen in der Sicherheitsdiskussion zwei internationale Gremien eine herausragende Rolle, deren Arbeiten heute in den Common Criteria zusammengefasst sind.
TCSEC und ITSEC
Die Trusted Computer System Evaluation Criteria (TCSEC, "Orange Book") entstanden 1980 im Auftrag des US-Verteidigungsministeriums am National Computer Security Center der NSA. Einige Jahre später wurden sie um die Trusted Network Interpretation zur Einbeziehung vernetzter Systeme erweitert.
Die referenzierten Kriterien orientieren sich stark an den Sicherheitsanforderungen militärischer Systeme und eignen sich daher nur eingeschränkt zur Beurteilung kommerzieller Systeme. Dennoch spielt TCSEC noch immer für solche Anbieter eine wichtige Rolle, zu deren Kunden das amerikanische Justiz- oder Verteidigungsministerium gehören.
Das europäische Gegenstück zu TCSEC stellen die Information Technology Security Evaluation Criteria (ITSEC) dar. In ihnen fassten 1991 Deutschland, Frankreich, die Niederlande und Großbritannien ihre nationalen IT-Sicherheitskriterien zusammen.
Während TCSEC einen klaren Fokus auf die Vertrauenswürdigkeit legt, ergänzt ITSEC die Betrachtungsweise um die Funktionalität. Zudem differenziert ITSEC bei der Vertrauenswürdigkeit zwischen Korrektheit und Wirksamkeit. Bei der Evaluierung kommerzieller Software ist ITSEC daher im Vorteil.
Common Criteria
Die "Common Criteria for Information Technology Security Evaluation" (Common Criteria) entstanden 1999 aus einer evolutionären Fortschreibung von TCSEC und ITSEC. An der Definition beteiligt waren neben den europäischen Staaten Deutschland, Frankreich, den Niederlanden und Großbritannien auch Kanada und die USA.
Mittlerweile liegt die Version 2.1 der Common Criteria vor, die als International Standard ISO/IEC 15408 weltweit Gültigkeit besitzt. Damit verlieren die Zertifikate nationaler Organisationen zunehmend zu Gunsten der international anerkannten Common Criteria an Bedeutung. Zwar sind unabhängige Zertifikate wie die Common Criteria kein Allheilmittel, bieten Anwendern aber wichtige Entscheidungskriterien bei der Auswahl von Produkten.
Evaluierungsstufen
Die Common Criteria bestehen aus mehreren Evaluierungsstufen für Vertrauenswürdigkeit, auf denen Produkte bewertet werden. Innerhalb der Common Criteria werden diese Stufen als Evaluation Assurance Level (EAL) bezeichnet. Dabei ist EAL-1 die niedrigste und EAL-7 die höchste Stufe der Vertrauenswürdigkeit.
Typische kommerzielle Systeme können maximal die vierte Stufe der EAL-Zertifizierung erreichen. Die drei nächsthöheren EAL-Stufen 5 bis 7 sind solchen Produkten vorbehalten, die bereits eigens mit Sicherheitstechniken entwickelt wurden.
Stufe | Anforderungen |
|---|---|
| |
EAL-1 | funktionell getestet |
EAL-2 | strukturell getestet |
EAL-3 | methodisch getestet und überprüft |
EAL-4 | methodisch entwickelt, getestet und durchgesehen |
EAL-5 | semiformal entworfen und getestet |
EAL-6 | semiformal verifizierter Entwurf, getestet |
EAL-7 | formal verifizierter Entwurf, getestet. |
Umfang der Evaluierung
Grundlage der Evaluierung sind die Anforderungen an das zu bewertende Produkt. Für einen konkreten Evaluationsgegenstand können die Anforderungen in einem so genannten Schutzprofil subsummiert werden. Zu Beginn der Evaluierung werden die Sicherheitsanforderungen des Profils in spezielle Sicherheitsvorgaben (Security Target, ST) überführt. Dazu kommen weitere Beschreibungen der Einsatzumgebung und des Produkts. Diese Vorgehensweise verdeutlicht die Kombination des nordamerikanischen TCSEC-Ansatzes (Schutzprofile) mit dem europäischen ITSEC-Vorgehen (Sicherheitsvorgaben).
Anforderungen an die Funktionalität untergliedern sich in Klassen und diese noch einmal in Familien. Jede dieser Familien verfügt über mindestens eine Komponente, welche die Sicherheitsanforderungen an die konkrete Funktionalität beschreibt. Hinzu kommen Aspekte wie Identifikation, Authentisierung, Zugriffskontrolle und Beweissicherung. Die Untergliederung in Klassen, Familien und Komponenten bezieht sich sowohl auf die Funktionalität als auch auf die Sicherheitsanforderungen. Die Bewertung der einzelnen Komponenten schließlich führt zu einer Einordnung in eine bestimmte Evaluationsstufe für Vertrauenswürdigkeit.
Schutzprofile
Schutzprofile (Protection Profiles, PP) können zudem die Anforderungen an die Funktionalität und an die Vertrauenswürdigkeit zusammenfassen. Ein ausführlicher Beschreibungsteil stellt das Sicherheitskonzept dar und stellt die Bedrohungen den Anforderungen gegenüber. Solche Schutzprofile helfen dem Anwender, seinen Sicherheitsbedarf kriterienkonform zu bewerten.
Damit gehen die Common Criteria deutlich über die starren traditionellen Sicherheitsanforderungen hinaus und bieten Entwicklern und Nutzern eine Möglichkeit zum formalen Abgleich der Anforderungen.
CC | TCSEC (USA) | ITSEC (Europa) |
|---|---|---|
| ||
- | D: Minimaler Schutz | E0 |
EAL-1 | - | - |
EAL-2 | C1: Zugriffskontrolle auf Basis von Benutzerklassen | E1: informelle Beschreibung der Spezifikationen, einfache Tests |
EAL-3 | C2: Zugriffskontrolle auf Einzelbenutzerbasis | E2: detaillierte informelle Beschreibung der Spezifikationen, methodische Tests |
EAL-4 | B1: mindestens zwei explizite Sicherheitsklassen | E3: formales Sicherheitsmodell |
EAL-5 | B2: Sicherheitseinstufung umfasst gesamtes System; Login auf vertrauenswürdigem Weg | E4: zusätzlich zu E3 müssen Änderungen mitprotokolliert werden |
EAL-6 | B3: Sicherheitssystem erkennt Attacken; ist "widerstandsfähig" gegen Angriffe | E5: nachvollziehbare Abbildung zwischen Spezifikation und Quellcode |
EAL-7 | A1: formaler Nachweis der Sicherheit von Hard- und Software; verifizierte Sicherheit | E6: formale Entwurfsspezifikation; Konsistenz mit dem formalen Sicherheitsmodell ist nachzuweisen |
Fazit
Unabhängige Zertifizierungen wie die Common Criteria werden bei den Bemühungen um mehr Sicherheit in der IT immer wichtiger. Sie bilden eine notwendige Ergänzung zu herstellerspezifischen Anstrengungen wie Microsofts Next Generation Secure Computing Base (NGSCB).
Eigenständige und offen zugängliche Kriterien und Standards haben den Vorteil, dass sie das Vertrauen der Anwender in die IT-Sicherheit erhöhen können. Allgemein anerkannte Maßstäbe versetzen Unternehmen in die Lage, auch zu überprüfen, was Sicherheitssysteme tatsächlich tun. Die dadurch erzeugte Transparenz fördert das Vertrauen und die Verlässlichkeit in neueste Technologien. (jlu)
Zum Autor: Heinz Kraus ist Geschäftsführer der Pointsec Mobile Technologies GmbH in Düsseldorf. Zuvor war Kraus CTO bei SmartForce PROKODA und als Executive Vice President der M2S Group verantwortlich für R&D und Produktion in Europa. Darüber hinaus verfügt er über langjährige Erfahrungen im Bereich Web Based Training in einer Vielzahl national und international tätiger Großunternehmen.