Das Kefk Network Wiki befindet sich im Testbetrieb.
Deutsche IT-Sicherheitskriterien
Aus Kefk.
Die Deutsche IT-Sicherheitskriterien (ITS oder ITSK, auch bekannt als Grünbuch) sind eine 1989/1990 von der Zentralstelle für Sicherheit in der Informationstechnik (heute BSI) erarbeitete Richtlinie für die Bewertung und Zertifizierung von Computersystemen und Software. Sie ist das deutsche Gegenstück zum amerikanischen Orange Book und bildet die Grundlage für neuere Standards wie ITSEC und die Common Criteria.
Die Bewertung erfolgt ähnlich wie bei ITSEC, aber entlang nur zweier Achsen: der Funktionalität und der Verlässlichkeit. Die Verlässlichkeit wird in Bezug auf die Wirksamkeit der Methode und auf die Korrektheit der Implementation untersucht, beide Werte werden dann zu einer Qualitätsklasse zusammengefasst.
Funktionalitätsklassen
Im Gegensatz zum amerikanischen Orange Book bewerten diese IT-Sicherheitskriterien die Funktionalität und die Vertrauenswürdigkeit (Qualität), bei der Vertrauenswürdigkeit wird weiter nach Korrektheit und Wirksamkeit unterschieden. So ergeben sich drei Dimensionen der Bewertung, wobei nur die ersten 5 der insgesamt 10 Funktionalitätsklassen eine hierarchische Ordnung bilden:
| ITSK F | ITSEC F | Bedeutung | TCSEC |
|---|---|---|---|
| F1 | F-C1 | Einfache Sicherheit, kooperative Nutzer | C1 |
| F2 | F-C2 | Login-Mechanismus, Daten einzelner Benutzer getrennt, (einfache) Protokollierung | C2 |
| F3 | F-B1 | Sicherheitsmodell, regelbasierte Schutzstufen | B1 |
| F4 | F-B2 | Formales Sicherheitsmodell, sicherer Datenfluss bei der Authentisierung | B2 |
| F5 | F-B3 | Referenzmonitor-Eigenschaften, formal verifizierbar. | B3/A |
Daneben existieren weitere Funktionalitätsklassen, die sich auf die Konsistenz von Daten und die Verfügbarkeit von Diensten beziehen:
| ITSK F | ITSEC F | Bedeutung |
|---|---|---|
| F6 | F-IN | Regelwerk zur Wahrung der Integrität und Konsistenz der Daten, Typkonzept (insbesondere für Datenbanksysteme: Constraints und Transaktionen) |
| F7 | F-AV | Verfügbarkeit, Fehlerüberbrückung, Ausfallwahrscheinlichkeit (Vorkehrungen für Stromausfall, redundante Hardware, Backups) |
Zusätzlich gibt es drei Funktionalitätsklassen, die sich auf die Übertragung von Daten (insb. in Netzwerken) beziehen:
| ITSK F | ITSEC F | Bedeutung |
|---|---|---|
| F8 | F-DI | Sicherung der Integrität und Authentizität von Nachrichten (Elektronische Unterschrift) |
| F9 | F-DC | Sicherung der Vertraulichkeit von Nachrichten (Verschlüsselung) |
| F10 | F-DX | Anforderungen an sichere Netzwerke |
Qualitätsklassen
Bei der Bewertung der Qualität (Vertrauenswürdigkeit) eines Computersystems wird zwischen der Wirksamkeit der Methode und der Korrektheit der Implementation unterschieden. Diese beiden Werte werden dann zu einem Qualitätswert vereinigt.
Die Wirksamkeit bezeichnet die Widerstandsfähigkeit eines Schutzmechanismus gegen Umgehungsversuche. Die Wirksamkeit wird in der ITSEC in 3 Stufen unterschieden, wohingegen in der ITSK eine feinere Bewertung (sechsstufig) definiert ist:
| ITSK | ITSEC | Bedeutung | TCSEC |
|---|---|---|---|
| ungeeignet | - | kein Schutz | D |
| schwach | niedrig | Nur Schutz gegen zufällige, unbeabsichtigte Verstöße gegen die Sicherheitsregeln. Leicht zu umgehen. | |
| mittelstark | mittel | Schutz gegen absichtliche Verstöße von Angreifern mit beschränkter Gelegenheit und Mitteln. | C1-C2 |
| stark | stark | Guter Schutz, nur mit hohem Aufwand zu umgehen. | B1-B2 |
| sehr stark | Sehr guter Schutz, nur mit sehr hohem Aufwand zu umgehen. | B3-A | |
| z.Zt. nicht überwindbar | Zur Zeit nicht zu überwinden, bisher keine Schwachstelle bekannt. |
Die Beurteilung der Qualität erfolgt in acht Stufen. Dabei wird die Wirksamkeit der Methode mit der bestandenen Prüftiefe für die Implementation kombiniert. Die Korrektheit der Implementation wird wiederum in sechs Stufen beurteilt. Dabei wird insbesondere auf Programmfehler geprüft, sowie darauf, in wie weit die Implementation tatsächlich die zuvor bewertete Methode realisiert. Im Gegensatz zur der BSI-Richtlinie ITSK fasst ITSEC die Wirksamkeit und Vertrauenswürdigkeit nicht zusammen, sondern behandelt die Werte getrennt.
| ITSK Q | Wirksamkeit | Korrektheit | ITSEC E | TCSEC |
|---|---|---|---|---|
| Q0 | ungeeignet | unwirksam | E0 | D |
| Q1 | mittelstark | Informelle Spezifikation der Architektur, Funktionstest, gezielte Angriffe | E1 | C1 |
| Q2 | mittelstark | Zusätzlich informelle Beschreibung des Feinentwurfs (Detailspezifikation) | E2 | C2 |
| Q3 | stark | Analyse des Quellcodes bzw. des Hardwarelayouts | E3 | B1 |
| Q4 | stark | Formales Sicherheitsmodell, semiformale Detailspezifikation | E4 | B2 |
| Q5 | sehr stark | Detailspezifikation muss nachvollziehbar auf Quellcode abbildbar sein | E5 | B3 |
| Q6 | sehr stark | Zusätzlich formale Spezifikation und Analyse der Architektur | E6 | |
| Q7 | z.Zt. nicht überwindbar | Zusätzlich formale Spezifikation und Verifikation der Architektur | A |
Weblinks
Informationen über die deutschen IT-Sicherheitskriterien beim BSI
