Websalon

Das deutsche Orange-Book


Wie schon  in der Chalisti  3 kurz  zu lesen war  wird demnaechst
eine  Abteilung  fuer  Computersicherheit in  der  Bundesrepublik
aufgebaut.  Damit  haengt  sicher  auch die  Idee  zusammen,  ein
Bewertungskatalog  fuer Sicherheitskriterien  zu entwickeln.  Als
Vorbild nimmt man sich da das sogenannte Orange-Book, welches vom
US-Verteidigungsministerium   herausgegeben   wird.    Allerdings
moechte  man man sich von diesem unterscheiden.  Der  Unterschied
soll in folgenen Punkten liegen:

- getrennte Bewertung von Funtionalitaet und Qualitaet
- kein festgeschriebenes Sicherheitsmodell
- offen fuer Erweiterungen und kuenftige Systeme

In  Deutschland  wurden  diese  "IT-Sicherheitskriterien"  (ITSK)
(IT= Informationstechnik)  von der Zentralstelle  fuer Sicherheit
in  der   Informationstechnik  (ZSI),  der  Wirtschaft   und  der
Wissenschaft erstellt.

Die ITSK beschreiben erstmals eine  Gruppe von Funktionen die ein
Informationssystems schuetzen sollen:
1. Identifikation und Authentisierung
   Das sind als Beispiel Einlogprogramme sowie weitere Verfahren,
   um das Vortaeuschen einer falschen Identitaet zu verhindern.
2. Rechteverwaltung
   Es muss die Moeglichkeit geben, an Dateien Rechte zu vergeben.
3. Rechtepruefung
   Wer darf  wie welche Datei  ausfuehren. Stuetzt sich  also auf
   den 2.Punkt ab.
4. Beweissicherung
   Protokollieren von Datei-  oder Systemzugriffen. Diese muessen
   entweder  personenunabhaengig  erhoben  werden  oder  aber  im
   Rahmen der Datenschutzbestimmungen.
5. Wiederaufbereitung
   Betriebsmittel (z.B.  Speicher) muessen so  wieder aufbereitet
   werden, dass  ein nachfolgener Benutzer  dieser Betriebsmittel
   keine Informationen des vorherigen Benutzers erhalten kann.
6. Fehlerueberbrueckung
   Vorhandene   Fehler  im   System  sollen   moeglichst  geringe
   Auswirkungen auf die Sicherheit und Ausfuehrung haben.
7. Gewaehrleistung der Funktionalitaet
   Sicherheitsfunktionen duerfen nicht ausfallen.
8. Uebertragungssicherung
   Datenuebertragung  auf  Netzen  soll  geschuetzt  werden.  Als
   Modell   dafuer  wird  das  Security  Addendum  des   ISO/OSI-
   Schichtenmodells verwendet.

Bei den ITSK gibt es  10 Funktionsklassen und 7 Qualitaetsstufen.
Die  Qualitaet bezieht  sich dabei  nicht auf  die Qualitaet  der
Software  im  allgemeinen,  sondern allein auf  die  angewendeten
Verfahren fuer die Sicherheit, um sicherzustellen, dass die
Sicherheitsfunktionen auch sicher sind.

Funktionsklassen

Die  ersten  5 Funktionsklassen sind direkt auf  das  Orange-Book
abbildbar.  Die letzten 5 sind nur eine Erweiterung.  Mischformen
sind moeglich.

F1: (=C1 im Orange Book) Benutzerbestimmbarerer Zugriff
F2: (=C2) Mechanismen der Protokollierung
F3: (=B1) Festgelegter erzwungener Zugriffsschutz
F4: (=B2) Vertrauenswuerdiger Zugriffspfad
F5: (=B3/A1) Ueberwachung sicherheitskritischer Ereignisse
F6: Grosse  Sicherheit bezuegl.  der  Datenintegritaet (z.B.  bei
    Datenbanken noetig).
F7: Anforderungen an  die Verfuegbarkeit eines Systems  (z.B. bei
    Prozessrechnern)
F8: Sicherung und Integritaet bei  der DFUE durch Identifikation,
    Uebertragungs- und Beweissicherung
F9: Geheimhaltung von Daten bei der DFUE
F10:Starke Vertraulichkeit und Integritaet bei vernetzen System


Qualitaetsanforderungen

Die   Bewertung   ist   hierachisch.   Jede  Q-Stufe   muss   die
Anforderungen der Vorhergehenden erfuellen.

Q0: Unzureichende Qualitaet (durchgefallen)
Q1: geprueft durch einfache Testdurchlaeufe
Q2: methodisch getestet und geprueft
Q3: methodisch   getestet.   Teile   der   Sourcecodes   wurden
    stichprobenartig analysiert.
Q4: informell anhand des Sourecode analysiert
Q5: semiformal analysiert; die wichtigsten Routinen wurden formal
    spezifiziert
Q6: Der   gesamte   Sourcecode   wurde  formal   analysiert   und
    spezifiziert
Q7: formal  verifiziert; Die  Konsistenz zwischen  Sourcecode und
    formaler Beschreibung ist bewiesen.

Noch   befindet  sich  dieser  Einstufungsplan  in  Vorbereitung,
allerdings bin ich der Meinung,  dass mit dieser Einstufung keine
weitere  Sicherheit erreicht wird.  Hoechstens  wird der Eindruck
erzeugt,  dass ein solches System sicher ist.  Ein Betriebssystem
mit  der  Einstufung  F5Q7 sollte beispielsweise  ein  wahnsinnig
sicherers System sein.  Es ist allerdings fraglich, ob durch eine
formale  Analyse  (anhand des Sourcecodes)  und  mit  Tests  die
Sicherheit  eines OS vorliegt.  Seiteneffekte wie  beispielsweise
bei  Unix  durch  das  IFS-Enviroment wuerden  auch  bei  solchen
Analyseverfahren  kaum  entdeckt werden.
Natuerlich kann man versuchen, sichere Systeme zu entwickeln, wie
es z.B.  bei MACH geschieht.  Auch durch das konsequente Anwenden
von objektorientierten Konstrukten  kann ein Betriebssystem weit-
aus  sicherer werden.  Gerade  letztere  Konstrukte koennten  die
Virengefahr in Rechnersystemen drastisch verringern.

Sicherheitsstufungen  der Art wie es das Orange  Book  darstellt,
helfen  hoechstens,   Sicherheit  zu  suggerieren,   nicht  aber,
Sicherheit zu schaffen.


Quellen: - DFN Nachrichten Juli 1989
         - IT-Sicherheitskriterien, Bundesanzeiger, Koeln 1989
           ISBN 3-8878, 192-1, DM 9,60

                                                        Terra
-----------------------------------------------------------------------------