Websalon

Das deutsche Orange Book


  In  der  Chalisti 5 hat Terra in  groben  Abrissen  aufgezeigt, 
worum  es in einem deutschen Orange Book geht.  Dazu moechte  ich 
hier  einige  Anmerkungen machen,  da mir  Terras  Meinung  lange 
nicht hart genug ausfaellt.

  Dazu noch einmal eine kurze Einfuehrung.  Im Pentagon wurde  ab 
1978  an Kriterien gearbeitet,  um die Vertrauenswuerdigkeit  von 
EDV Systemen untersuchen und beurteilen zu koennen.  Als Ergebnis 
dieser Untersuchengen erschien die Schrift mit der  Kennzeichnung 
DoD 5200.28-STD / CSC-STD-001-83,  dtd 15. August 1983, die wegen 
ihres  orangefarbenen  Umschlages  fortan  als  Orange  Book  be-
zeichnet  wurde.  Da  diese Schrift sich allerdings nur  mit  den 
Betriebssystemen  der  Rechner  an sich,  nicht  jedoch  mit  der 
Sicherheit von EDV-Netzwerken befasste,  wurde dann im Jahre 1987 
die  Trusted  Network Initiative (TNI) entworfen,  die  nun  auch 
Kriterien  zur Untersucheung der Sicherheit von  Netzwerken  ent-
hielt.   Wie so oft in der Geschichte von Richtlinien und Politik 
versuchten  auch hier die Deutschen wieder einen eigenen  Weg  zu 
gehen,  indem  sie  ein deutsches Orange  Book  entwarfen  (siehe 
hierzu  Chalisti 5 und DFN Nachrichten Juli 1989 und  IT  Sicher-
heitskriterien, Bundesanzeiger, Koeln 1989).
  Ich  moechte hier nicht auf diese  Schriften  weiter  eingehen, 
dazu  moege mich der interessierte Leser direkt anschreiben  oder 
sich  die entsprechenden Quellen besorgen.  Mir geht es hier  nur 
darum, die Schwachstellen derartiger Werke aufzuzeigen.

Zunaechst einmal, was bieten diese Werke?

  Sowohl  die  deutsche wie auch die  amerikanische  Ausgabe  des 
Orange  Books  bzw.  des TNI versuchen  Entwicklern  und  Testern 
Kriterien an die Hand zu geben,  an Hand derer entschieden werden 
kann,  wie sicher ein System einzuschaetzen ist.  Dieser  Schritt 
ist  in  meinem Augen sehr zu  begruessen,  ein  Schatten  faellt 
jedoch ueber die Geschichte,  Deutsches und Amerikanisches Orange 
Book  sind  nur zum Teil deckungsgleich,  so  das  Hersteller  im 
Zweifelsfall  alle notwendigen Sicherheitspruefungen zweimal  ab-
solvieren    muessen.    Doch   dies   ist   nur   ein    kleiner 
Schoenheitsfehler am Rande.

Warum bin ich so kritisch eingestellt?

 Wie schon Terra in der Chalisti 5 ausgefuehrt hat,  waegen diese 
Kriterien   und   die   Einordnung   von   Betriebssystemen    in 
unterschiedliche    Klassen   den   Endverbraucher    in    einer 
truegerischen Sicherheit.   Zunaechst einmal halte ich es mit den 
derzeitigen  Methoden  fuer schlicht  nicht  durchfuehrbar,  eine 
formale Analyse aller Sicherheitselemente eines  Betriebssystemes 
durchzufuehren,  da diese sehr aufwendig und zeitraubend ist  und 
fuer  jede neue Release eines BS neu durchgefuehrt  werden  muss. 
Damit  sind  wir beim zweiten Manko.  Die  Ueberpruefung  erfolgt 
fuer ein definiertes System,  fuer jede Verbesserung des Systemes 
muss   eine   Neubewertung   durchgefuehrt   werden.   Wir,   als 
Informatiker,  wissen,  wie schnell  BSe veralten.  Da  aber  ein 
Pruefung,  je nach Einordnung,  zwischen 2 und 6 Monaten  dauert, 
wuerden Verbesserungen stark behindert werden.  Einen  Lichtblick 
gibt  es jedoch: in der Regel ist die Bewertung  kostenlos,  und 
bei  einer  guten Beurteilung sicher  eine  gute  Werbung.  Jedem 
duerfte  klar  sein,   welche  Aussage  ich  hiermit  implizieren 
moechte.

   Aber  alle bis hierher angesprochenen Punkte sind  nur  kleine 
Schaeden  in  der  Makulatur,   verglichen  mit  dem   wirklichen 
Schwachpunkt dieser Kriterien.
Es  werden  hier explizit nur Systeme und Rechnernetze  bewertet, 
und hier liegt der grosse Haken.

  Auf  der CeBIT 1989 sprach ich mit  diversen  Fachleuten  ueber 
dieses Thema.  Einhellige Meinung,  wie auch in der letzten  Zeit 
haeufig   festzustellen,   der  Faktor  Mensch  wird   zu   stark 
vernachlaessigt.  Nirgendwo  steht ein Hinweis,  das  der  Faktor 
Mensch   D E N  Fehler im System darstellt.   Warum  diese  harte 
Beurteilung?
  Viele   Firmen  arbeiten  mit  Hilfe  von  Telefonmodems.  Eine 
Rechneranlage  gegen Eindringlinge via Modem  zu  schuetzen,  ist 
denkbar  einfach.  Wir  bauen lediglich  einen  Vorrechner  (z.B. 
einen  PC  fuer  ein  paar Mark  fuffzig)  ein,  der  nach  einem 
Passwort  und  der Telefonnummer des  Anrufers  fragt,  und  dann 
zurueckruft.  Schon  ist der Anrufer in der Regel sehr leicht  zu 
identifizieren.  Doch muss die entsprechende Firma  zurueckrufen, 
und  das  verursacht  Kosten,  darum  wird  haeufig  von  solchen 
Methoden abgesehen, obwohl die Hardware vorhanden ist.

 Viele BSe bieten schon heute die Moeglichkeit, die Benutzung von 
Resourcen  und  Daten  zu  Protokollieren.   Doch  muessen  diese 
Protokolle  auch ausgewertet werden,  doch dafuer fehlen  in  der 
Regel  entsprechend ausgebildetes Personal,  denn  dieses  kostet 
Geld. Also wird lieber auf eine Protokollierung verzichtet.

   Allen   Computernutzern  sollte   auch   bekannt   sein,   das 
herkoemmliche   Bildschirme   strahlen,   also  die   Daten   mit 
speziellen  Verstaerkern  abgehoert und wieder  sichtbar  gemacht 
werden  koennen.  Hier schuetzen nur spezielle  Bildschirme  oder 
abgeschirmte  Raeume,  doch  auch  dies  verursacht  zusaetzliche 
Kosten.

  Damit  waeren wir bei dem Raeumen.  Und dann war  da  noch  der 
Kollege,  der sprach:"Kannst Du mich mal eben in den Raum lassen, 
habe  meine Karte vergessen ..." und schon war er in einem  Raum, 
von  dem  Zugriffe  auf geschuetzte  Daten  moeglich  sind.  Denn 
Zugriffe  auf  geschuetzte Daten kann  man  so  einrichten.  dass 
diese  nur  von  bestimmten Terminals  in  besonders  gschuetzten 
Raeumen moeglich sind.

  Natuerlich  muessen erst einmal solche Raeume  vorhanden  sein, 
doch auch diese kosten leider viel Geld,  nicht zu vergessen sind 
dabei  auch Tuersicherungsanlagen,  die nicht nur Geld  fuer  die 
Hardware sondern auch Geld fuer die Verwaltung erfordern.

 Und dann sind da noch die Passworter,  alle x Wochen zu aendern. 
Doch was nehme ich da??  Frauennamen oder Hobbybezeichnungen sind 
da gang und gebe.  So wie der Operator auf einem Grossrechner der 
Namen von grossen Schachspielern als Passwoerter gebrauchte,  bis 
er  eine Liste seiner Passwoerter der letzten 6  Monate  erhielt. 
Oder die Leute,  die sich ihr Passwort unter die Tastatur kleben, 
wie ein mir bekannter BTX Anwender.

   Somit  koenne wir feststellen,  nicht jeder Anwender  der  ein 
vermeintlich  so sicheres System hat,  hat wirklich ein  sicheres 
System,    da   aus   oekonomischen   Ueberlegungen   Teile   des 
Sicherheitssystemes  ausser  Kraft  gesetzt  werden,  oder  nicht 
richtig  eingesetzt  werden,  teils aus mangelnder  Schulung  des 
Personals, teils aus Ueberlastung oder Unaufmerksamkeit.

 Somit komme ich zu dem Resuemee,  dass die Kriterien des  Orange 
Book  sicher  dem  Endanwender  bei der  Auswahl  des  BS  helfen 
koennen,  es  sollte allerdings auch hinterfragt werden,  wie  es 
mit dem zusaetzlichem Aufwand an Hardware und Personal  aussieht, 
das gebraucht wird,  um die Anlage mit der optimalen Sicheheit zu 
betreiben.  Damit duerfte das Orange Book sicher ein guter Anfang 
sein,  aber  der Weissheit letzter Schluss ist es mit  Sicherheit 
noch nicht.

Autor: Waldi (rode@uniol.uucp, 077481@doluni1.bitnet)
-----------------------------------------------------------------------------