Anforderungen an die Informationssicherheit

Transcription

Anforderungen an die Informationssicherheit
Anforderungen an die Informationssicherheit
Wovon wird hier eigentlich geredet?
Einleitung, Grundbegriffe
Anforderungen aus unterschiedlicher Sicht
IT-Sicherheitskriterien
Sicherheitsmanagement
a) Risikoanalyse
b) Sicherheitsplanung
c) Grundmodelle der Sicherheitspolitik
Einleitung, Grundbegriffe
Grundbegriffe:
Datensicherheit (DSi):
(angestrebter/erreichter) Zustand der Daten in allen Phasen ihrer Bearbeitung,
abhängig vom Sicherheitsbedürfnis,
erreichbar durch geeignete Maßnahmen.
Datensicherung: Methoden/Verfahren zur Gewährleistung der technischen DSi
(oft: Sicherung gegen physische Zerstörung) [älter als Datenschutz!]
<besser:>
Informationssicherheit (ISi): Eigenschaft eines IV-Systems, nur zulässige (d. h. sichere) IV-Prozesse auszuführen.
IT-Sicherheit: Sicherheit in der Informationstechnik
Schwierigkeiten bei der Begriffsbildung:
- Beschreibung des erreichten oder des angestrebten Zustands?
- Welches System wird betrachtet: das technische oder das gesellschaftlich-rechtliche?
- System- oder Objekteigenschaften?
Datenschutz: Schutz gegen unerwünschten Zugriff jeder Form
4 Grundwerte:
[anfangs nur 3]
Verfügbarkeit (availability): Wahrscheinlichkeit, daß das System zu einem vorgegebenen Zeitpunkt
Dienstleistungen in zugesicherter Form und Qualität erbringt (in funktionsfähigem Zustand ist);
Ziel auch: Schutz vor unbefugter Vorenthaltung von Informationen bzw. Betriebsmitteln.
Integrität (integrity): Eigenschaft der Daten, jederzeit im erwartbaren korrekten/unverfälschten
Zustand zu sein.
Konsistenz (consistency): innere Widerspruchsfreiheit (Datenunversehrtheit)
Vertraulichkeit (confidentiality): Fähigkeit eines Systems, die in ihm enthaltenen Informationen
nur berechtigten Subjekten zur Kenntnis zu geben
(Schutz vor unbefugtem Informationsgewinn).
Verbindlichkeit/Zurechenbarkeit:
[relativ neu]
Authentizität (Echtheit): Übereinstimmung der behaupteten Identität mit der tatsächlichen.
Identifikation = Namensnennung
Authenti[fi]kation/Authentifizierung (authentication): Echtheitsprüfung. der Zuordnung Information - Urheber
[besonders wichtig im Netz: elektronische Dokumente!]
--------
{zu erreichen für:}
Hardware (Geräte)
Software (Prozesse)
Daten
zusätzliche Ziele:
Zuverlässigkeit (reliability): Fähigkeit (Wahrscheinlichkeit) eines Systems, den vereinbarten Anforderungen während
einer vereinbarten Zeitdauer zu genügen.
Beisp. Software-Zuverlässigkeit: monoton abnehmende Zuverlässigkeitsfunktion
Z(t) mit Z(0) = 1 und Z(∞) = 0 , U(t) + Z(t) = 1 (U: Unzuverlässigkeit)
Maße: MTBF (mean time between failures)
Redundanz = Verhältnis zusätzlicher Ressourcen zu unbedingt nötigen Ressourcen
u. a.
Ordnungsmäßigkeit: Zustand entsprechend extern vorgegebener Regeln / Vorschriften / Gesetze / Ordnungen / Normen / Vereinbarungen
Vertrauenswürdigkeit (trustworthiness): wird erreicht durch Ordnungsmäßigkeit mit vorgegebener Zuverlässigkeit,
Fehlverhalten wird hinreichend behandelt (durch Benachrichtigung und Korrektur)
Verlässlichkeit
Robustheit (z. B. von Software): Fähigkeit, die Folgen von Fehlern zu minimieren
Verantwortlichkeit
Korrektheit: Implementation entspricht nachweislich der Anforderungsspezifikation.
Gefährdungs/Betriebssicherheit (safety): Systemzustand, bei dem das Auftreten
systembedingter Fehler eingeschränkt ist.
Berechtigung/Autorisierung (authenticity/authorization): Verwaltung und Vergabe von Befugnissen, z. B. von Zugriffsrechten
Unterschied theoretische (beweisbare) - praktische Sicherheit.
Sicherheit selten beweisbar, aber Unsicherheit kann durch Gegenbeispiele aufgedeckt werden (z. B. bei kryptographischen Verfahren)
innere (on) / äußere Sicherheit (off system security):
on im wesentlichen durch Software, off durch Orgware
Anforderungen aus unterschiedlicher Sicht
Gründe für Vernachlässigung der Datensicherheit:
o Kosten
o nicht profitabel
o „das passiert mir nicht"
o „Computerhersteller verantwortlich, nicht Firma“
o Umfeld zu komplex
o keine echten Lösgungen
o kein Verantwortlicher
o undankbar (viel Ärger)
o keine Zeit
o Angst vor Bekanntwerden von Mängeln
Gegenteil:
Nachweis der Datensicherheit bringt Wettbewerbsvorteile!
Weitere Forderungen:
- Rechtsverbindlichkeit
- Zugangs/Zugriffskontrolle (physisch / logisch)
- Wahrung der Anonymität, z. B. bei Benutzung von Betriebsmitteln
- Schutz vor unberechtigter Nutzung
- Schutz vor unberechtigtem Kopieren/Verteilen
Rechtliche Sicht:
Grundgesetz Art. 10 Abs. 1 (G10-Gesetz) schützt Fernmeldegeheimnis,
d. h. gute Chancen gegen zu starke Restriktionen!
Handelsgesetzbuch (HGB)
Im 2. Gesetz zur Bekämpfung der Wirtschaftskriminalität (1986, Teil des StGB)
neue Strafbestände (Verfolgung nur bei Anzeige):
§ 202a Ausspähen von Daten (erstmals Datenbegriff, „Anti-Hacker-Paragraph“)
§ 263a Computerbetrug
§ 269 Fälschung beweiserheblicher Daten
§ 270 Täuschung im Rechtsverkehr bei DV-Anlagen
§ 303a Datenveränderung
§ 303b Computersabotage (beides Sachbeschädigung)
Maßnahmen zur Verhütung erforderlich!
Urheberrechtsgesetz (UrhRG): §106 für Software
Kontroll- und Transparenz-Gesetz (KonTraG) verpflichtet Unternehmen zum Risikomanagement
(verlangt IT-Risiokoanalysen, eine sichere Infrastruktur und Mitarbeiterschulungen)
Kopierschutz (am besten zu erreichen durch DRM = digital rights management)
2003 § 95a: verboten ist bewusstes Knacken/Umgehen eines Kopierschutzes und Verbreiten von Anleitungen
dazu,
auch Privatkopien aus illegalen Quellen (Kopieren von Kopien) [zwar nicht strafbar, aber Schadenersatzforderungen von Rechte-Inhaber denkbar]
erlaubt: Kopien für eigenen privaten Gebrauch und eigene Zusammenstellungen, wenn kein Schutz vorhanden ist
(sonst Widerspruch, da Kopierschutz nicht umgangen werden darf!),
Verbreiten von Software / Hardware, bei der Knacken nur Nebeneffekt ist,
digital abgespielte Stücke analog aufnehmen und digital transformieren.
2006 in Deutschland 25000 Strafanzeigen der Musikindustrie.
Ab 2007 in EU auch Privatkopien wirksam geschützter Datenträger strafbar (in Deutschland droht Gefängnis, in
Frankreich Bußgeld ab 38 €).
Ab 1. 1. 2008 auch Downloads von „offensichtlich rechtswidrig hergestellten Vorlagen“ verboten.
Software: Sicherheitskopien für rechtmäßige Lizenznehmer erlaubt, auch bei Kopierschutz
(aber vermutlich nicht, wenn Verkäufer Ersatz bei Beschädigungen zusichert).
Spiele ebenfalls weniger geschützt, gelten als Software.
§ 53 UrhRG vor Recht auf Kopien; kein Recht auf Kopien; werden aber geduldet, weil nicht verbietbar;
dafür geht Anteil von Pauschalvergütung an den Urheber; einzelne private Kopien bei legaler Vorlage zulässig,
Weitergabe an bis zu 8 Freunden auch noch möglich.
ACTA (anti-counterfeiting trade agreement, also Handelsabkommen zur Abwehr von Fälschungen)
zur Durchsetzung von Rechten des geistigen Eigentums im digitalen Umfeld,
soll weltweit gelten, Anfang 2002 in EU unterzeichnet, aber noch nicht von allen Staaten (auch Deutschland
nicht).
Bundesdatenschutzgesetz BDSG seit 27. 1. 1977
1990 informationelle Selbstbestimmung (Bundesverfassungsgericht), Datenspuren;
2001 Neufassung
fordert auch Realisierung der Informationssicherheit für personenbezogene Daten durch technisch/organisatorische Maßnahmen,
die z. T. (§9) konkret angegeben sind
Gebote des Datenschutzes (erst 10, jetzt 8!):
Es sind Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass . . .
1. Zutrittskontrolle
...
Unbefugten der Zutritt zu DV-Anlagen verwehrt ist.
2. Zugangskontrolle
...
DV-Systeme nicht von Unbefugten genutzt werden können.
3. Zugriffskontrolle
...
auf Daten nur entsprechend den Zugriffsrechten zugegriffen werden kann, und dass Daten nicht
unbefugt gelesen, kopiert, verändert oder entfernt werden können.
4. Weitergabekontrolle
...
Daten bei Übertragung/Transport/Speicherung nicht unbefugt gelesen, kopiert, verändert oder
entfernt werden können, und dass kontrolliert werden kann, an welche Stellen eine Datenübertra
gung vorgesehen ist.
5. Eingabekontrolle
...
nachträglich kontrolliert werden kann, ob und von wem Daten in DV-Systeme eingegeben,
verändert oder entfernt worden sind.
6. Auftragskontrolle
...
Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
7. Verfügbarkeitskontrolle
...
Daten gegen Zerstörung oder Verlust geschützt sind.
8.
. . . zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Genauere Hinweise oft durch Landes-Datenschutz-Beauftragte
EU-Datenschutz-Beauftragter (Peter Hustinx) und unabhängige Datenschutz-Behörde EDPS
IT-Sicherheitsgesetz in Arbeit (Meldepflicht bei Vorkommnissen vorgesehen u. a.) →
Datenschutzgrundsatzordnung.
Patentschutz in EU-Diskussion (zunächst gescheitert); umstritten ist die „Technizität“ (USA sehr großzügig)
Verstärkt Forderungen nach Cyber-Security
DIN-Normen enthalten z. T. ebenfalls Anforderungen.
Das „Google-Spain“-Urteil des Europäischen Gerichtshofs (2014) bestätigt die Möglichkeit von Privatpersonen, die Löschung von Links bei Google-Suchanfragen bedingungslos zu verlangen.
Die Datenschutzgrundsatzordnung gibt evtl. im Artikel 17c den Urhebern des Textes die Möglichkeit, dies im Sinne der Pressefreiheit zu verhindern.
Artikelgesetz IuKDG (Informations- und Kommunikationsdienstegesetz: "Multimediagesetz") seit Aug. 1997 (Apr. 1999
von EU anerkannt), umfasst
+ Signaturgesetz (SigG) + Signaturverordnung (SigV) mit Maßnahmenkatalogen,
Beirat muß <= 5 Jahre Stand der Technik einschätzen (weltweite Pionierrolle)
+ TDG (Teledienstgesetz): regelt Verantwortlichkeiten (z. B. bei Links) für Diensteanbieter (Provider speziell) bei Abrufdiensten
(Internetzugang, Telebanking, Bestellsysteme)
+ TDDSG (Teledienstdatenschutzgesetz) / TDSV (-verordnung)
2007 Nachfolger Telemediengesetz (sieht umfangreiche Informationspflichten für Dienste-Anbieter und Bußgelder für Spam-Mails vor)
„Gesetz über Rahmenbedingungen für elektronische Signaturen“ im Anschluss an EU-Richtlinie 1999/93 sollte digitale Signaturen
persönlichen Unterschriften gleichstellen (USA: „millennium digital commerce act“ seit 1. 10. 2000) führte zum
Formanpassungsgesetz („Gesetz zur Anpassung der Formvorschriften . . . an den modernen Rechtsgeschäftsverkehr“)
als BGB-Ergänzung seit 1. 8. 2001
Fernmeldeanlagenüberwachungsverordnung FUeV in Ergänzung zum Fernmeldeanlagengesetz FAG
Telekommunikationsgesetz TKG (1996, Novellierung vom 26. 7. 2004):
Teil 11 §§ 58 – 93 über Fernmeldegeheimnis, Datenschutz und Sicherung,
z. B. § 87 über Technische Schutzmaßnahmen (4 Ziele)
TKUeV: Okt. 2001, schreibt Abhörzugänge für Internet-Provider vor,
ab 2004 sind neben Telefon-Nummern auch IP-Adressen und Handy-Standorte zu überwachen.
TKUeG (Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen)
mit Umsetzung der EU-Richtlinie 2006/24/EG, gültig ab 1. 1. 2008.
Voraussetzung für Überwachung: richterlicher Beschluss, schwere Straftat mit 5 Jahren drohender Strafe;
ausgenommen: Strafverteidiger, Seelsorger, Bundestagsabgeordnete (bis 2007 auch Journalisten, Ärzte, Anwälte);
Vorratsdatenspeicherung:
Telefondaten (Rufnummern wer mit wem, bei Mobiltelefon auch von wo aus und SMS; Datum/Uhrzeit/Dauer des
Gesprächs) für 6 Monate;
Internet-Daten (IP-Adresse, e-mail-Kopfzeilen, Datum/Uhrzeit/Dauer der Verbindung, VoIP).
Grundsätzlich aber kein Inhalt(!).
Zugriff nur nach einem richterlichen Beschluss möglich.
Ursprünglich 36 Monate und auch für erfolglose Versuche geplant; ab 2009 weitere Daten;
am 2. 3. 2010 vom Bundesverfassungsgericht nach Massenklage von 35000 Menschen gekippt.
EU-Richtlinie von 2006 sieht Speicherung zwischen 6 und 24 Monaten vor, auch von Namen und Anschriften der
Teilehmer, geht selbst über USA hinaus;
in Deutschland noch umstritten, Gegner stimmen bestenfalls einem „quick freeze“ zu (7-Tage-Speicherfrist im Fall
eines konkreten Verdachts).
TDSV (Telekommunikationsdienstleister-Datenschutz-Verordnung)
1) technische Abhörkonzepte der Betreiber und Bereitstellung von Verbindungsdaten an Sicherheitsbehörden vorgeschrieben
(z. Zt. schärfstes Abhörgesetz!?)
2) dem Betreiber dürfen "Abrufe nicht zur Kenntnis gelangen können"
(Chaos-Computer-Club: "Begeisterungswelle unter Hackern!")
G10-Gesetz (nach Grundgesetz Artikel 10) von 2001 erweitert Überwachungsmöglichkeiten noch.
10. 8. 2007: Strafvorschriften zur „Bekämpfung der Computerkriminalität“ verbieten Sicherheitswerkzeuge
(CCC: „Dieses Verbot gefährdet die Sicherheit des IT-Standorts Deutschland“)
Gesetz zum Sperren von kinderpornografischen Inhalten im Internet (Febr. 2010, Ursula von der Leyen)
zeigt lediglich ein virtuelles Stoppschild auf der Basis „schwarzer Listen“,
ist leicht zu umgehen und könnte zur Vorratsdatenspeicherung führen („Zensursula“),
wurde zunächst für ein Jahr ausgesetzt und 2011 ersetzt durch ein
Gesetz zum Löschen der Inhalte beim Urheber und zur Beweissicherung (Leutheusser-Schnarrenberger).
ACTA (anti-counterfeiting trade agreement): Geheimabkommen der EU, durch das eine Haftung für Web-Inhalte festgelegt werden soll (Entwurf 2010),
enthält Festlegungen, z. B. Three-strikes-Prinzip (warnen - mahnen - sperren);
wegen fehlender Transparenz und ggf. drohender Einschränkungen der Informationdfreiheit umstritten; erst von
wenigen Ländern unterzeichnet.
USA: cyber security enhancement act (2002) erleichtert Überwachung von E-Mails und Internetverkehr, droht mit lebenslanger Haft für Computerkriminalität.
2006 Anti-Spam-Gesetz (CAN-SPAM act): Geld/Haftstrafen z. B. auch für Viagra-Strafen.
1994: CALEA (Communications Assistance for Law Enforcement Act) verpflichtet Telekommunikationshersteller,
Backdoors zu Abhörzwecken in ihre Produkte zu integrieren,
ab 2004 auch Internetanbieter; soll 2012 auf Chatdienste wie Facebook oder Skype erweitert werden .
Unerwünscht ist auch die Offenlegung politischer, z. T. geheimer Dokumente, z. B. von Wikileaks
(ist Gründer Julian Assange Verräter von Geheimnissen - Spion - oder garTerorist?
Oder nutzt er nur das Recht auf freie Meinungsäußerung?).
Chiffriergesetze (Kryptoregulierung):
Verbot/Verstaatlichung von Verschlüsselung z. T. angestrebt (vorgegebener Grund: Verbrechensbekämpfung. Vergleich Stasi – BRD zulässig?)
Frankreich: Bis jetzt Verschlüsselungsverbot (Übertragung verschlüsselter Informationen über öffentliche Leitungen
verboten), aber 1999 Freigabe für Privat);
Handel nur mit offen gelegten Verfahren erlaubt.
EU: innerhalb EU frei, z. T. Exporterlaubnis möglich, schwache Verfahren (64-bit-Schlüssel) ganz frei
USA : Exportverbot für kryptographische Verfahren (haben den Status von Waffen!) und Produkte mit solchen,
bestimmte Schlüssellängen (erst 40, dann 56) erlaubt.
Erleichterungen zur Ermöglichung von e-commerce durch Gesetz „Safe” (Security and Freedom through Encryption) ab 2000.
"digital telephone bill" verpflichtet alle Firmen der Telekommunikation, den Staat beim Abhören zu helfen
Rußland, China u. a. ähnlich
Schweden: Verschlüsselungspflicht für Datentransfer
Justiz will Web-Anonymisierer verbieten, würde damit aber auch Tarnkappen der Ermittler verhindern.
Versehentlicher Virenversand nicht strafbar, aber Schadenersatzforderungen denkbar.
Websperren: können umgangen werden, indem die IP-Adresse statt der Internet-Adresse angegeben wird und so der
DNS-Server nicht angesprochen wird.
Technische Sicht: (gerätetechnisch/baulich und softwaretechnisch [Begriff IT])
Technische Sicherheit und Sicherheit gegen physische Zerstörung
Schutz vor Fehlfunktionen (Ausfallsicherheit)
Software-Sicherheit
Beispiele für Forderungen:
Schutzklassenmodell des BSI für TK-Anlagen (für mittleren / hohen / sehr hohen Schutzbedarf)
TEMPEST-Grenzwerte der NSA (national security agency, Chiffrierbehörde des Pentagon, 1952 gegründet, größer
und geheimer als CIA, ca. 33000 Mitarbeiter, davon 2000 Mathematiker),
gegen kompromittierende Abstrahlung beim Militär, nicht veröffentlicht
(TEMPEST = temporary emanuation and spurious transmission = zeitweise Abstrahlung und verfälschte Übertragung)
COMSEC: Abstufung hinsichtlich zugelassener Abstrahlwerte
Niedrige AFR (annualized failure rate): Prozentsatz der pro Jahr auftretenden Fehler
Technologisch-organisatorische Sicht:
Qualifizierung
Unternehmensberatung
Datenschutz-Beauftragte
Beratungs/Kontrollgremien
Orientierungshilfen der Behörden
Verantwortlichkeit der Unternehmensführung
Betriebsanweisungen (Sicherheitsmanagement)
Wirtschaftliche Sicht:
Höherer Marktwert eines Produkts bei hohem Grad der Informationssicherheit
Überlebenszeitraum eines Unternehmens bei Totalausfall der automatischen Informationsverarbeitung lt. Umfrage:
< 1 Tag
10 %
1 - 2 Tage
32 %
2 - 3 Tage
28 %
3-4 "
6%
4-7 "
22 %
> 1 Woche
2%
d. h. fehlende Informationssicherheit kann zu existentiellen Problemen führen!
Betriebswirtschaftliche Aspekte:
Vereinfachung der sicherheitsrelevanten Infrastruktur, z. B. Erlaubnis-Restriktionen,
Reduzierung von Möglichkeiten, Zentralisierung, Arbeit ohne Disketten/CDs
Abgleich Geschäftsprozesse – Sicherheitsbelange
(England: business protection services)
Gesellschaftliche Sicht: (auch politisch und ethisch-moralisch)
Gegensatz private - staatliche Interessen (NSA u. a.)
Cypherpunks gegen staatliche Reglementierung, z. B. PGP = pretty good privacy) von P. R. Zimmermann (USA,
1991) als Volksnorm (alternativ),
kostenlos im Internet, PGP.EXE unter vielen Microsoft-Oberflächen, auch VoicePGP für Telefon
Datenschutz (wie Umweltschutz) ist erst ein Problem in Industrie/Informationsgesellschaften
G7 sprachen 1995 erstmals auch über Datenschutz!
Aktuell genetische Datenspuren.
2005 „Nationaler Plan zum Schutz der Informationsinfrastrukturen in Deutschland“
Besonders hohe Anforderungen bei Rechnernetzen:
LAN- und Serverräume sind Kommunikationszentralen (z. Zt. nur 5% gesichert!)
Zusätzliche Forderungen: Teilnehmer-Authentikation, Kommunikationsnachweise
Vertrauen in neue Verfahren/Gesetze muß erst entwickelt werden.
Teilweise wird Ausbildung analog Führerschein gefordert!
Widersprüche (Paradoxien):
Weiterentwicklung der IV produziert selbst neue Risiken!
Offenheit (technische Nutzbarkeit [Beispiel Internet]) und Freiheit, über eigenes Sicherheitsbedürfnis selbst zu entscheiden
im Gegensatz zur
Notwendigkeit von Sicherheitsmaßnahmen (z. B. Zugangskontrolle / Zugriffsschutz)
IT-Sicherheitskriterien
für vollständige Computersysteme (jetzt auch Netzwerke); anfangs vor allem für Betriebssysteme
USA:
1983 Orange Book (TCSEC = trusted computer system evaluation criteria): Standard des NCSC (national computer
security center) des Pentagon:
Gruppen/Klassen A-D/1-3 streng hierarchisch (A bzw. 3 am höchsten)
Später weitere "farbige" Bücher:
o trusted network interpretation (Netzwerke aus partitions)
o trusted database interpretation
o password guidelines
o guidelines on discretionary access controls
o evaluated product lists
o Blue Book der NATO
Evaluation nur für USA-Hersteller.
Deutschland/Europa:
1989 IT-Sicherheitskriterien (Grünbuch) der Zentralstelle für Informationsverarbeitung (ZSI),
jetzt BSI (Bundesamt für Sicherheit in der Informationstechnik, 400 Mitarbeiter):
trennt Funktionalität und Qualität:
Funktionalität: Zahl und Granularität der Sicherheitsfunktionen
(Klassen F1 - F10): dadurch nicht streng hierarchisch; es lassen sich mehr Systeme bewerten als im Orange
Book
(z. B. Prozeßrechner, Verschlüsselungssysteme).
Qualität: Maß für die Stärke der Mechanismen und den Grad des Korrektheitsnachweises (Stufen Q1 - Q7).
Zunächst Wertepaare F - Q, aber Qualität (= Vertrauenswürdigkeit) nicht losgelöst von F: hohes F erfordert hohes
Q.
Zusätzlich IT-Sicherheitshandbuch (für Anwender).
1998 IT-Grundschutzhandbuch.
Parallelentwicklungen in England, Frankreich (blau-weiß-rot), Holland führten zu
ITSEC (information technology security evaluation criteria:
harmonisierte europäische IT-Sicherheitskriterien, Weißbuch, 160 S.)
1991 Version 1.2, seit Aug. 92 in Deutschland gültig.
ITSEM (... manual): IT-Evaluationshandbuch (für Bewerter)
Evaluierung: IT-Systeme nach gültigen Prüfkriterien prüfen und bewerten
1) Veranlagung auf Korrektheit (der Ziele)
2) Veranlagung auf Effektivität (der Funktionen)
Evaluierungen und Zertifikate durch BSI mittels akkreditierter Prüfstellen.
1998 Abkommen über gegenseitige Anerkennung in EU.
Vorteile gegenüber USA führten dort zu den FC = federal criteria (stärker als Konstruktionskriterien,
2 Bände, ca. 500 S., ab 1993, mit Kanada) und schließlich zu den
CC (common criteria): international vereinheitlichte Prüfkriterien der EU (+ FC + ISO) ab Ende 1997, Beschluss 1993,
Ausgabe vom 15. 11. 99: „Kriterien für die Prüfung und Bewertung der Sicherheit in der Informationstechnik“ (ISO
15408), 3 Teile (mit Anhängen), ca. 700 S.
Beteiligte Länder: Kanada, Frankreich, Deutschland, Niederlande, Großbritannien, USA (NSA und NIST)
IT-Grundfunktionen der Datensicherheit lt. ITSEC:
IT-Systeme werden hinsichtlich Grundfunktionen der Datensicherheit untersucht
- Identifikation/Authentisierung,
- Rechteprüfung (Rechte der Subjekte bzgl. der Objekte),
- Rechteverwaltung (Erzeugen/Ändern/Löschen von Rechten),
- Beweissicherung (Protokollierung der Ausübung von Rechten: Accounting + Audit),
- Wiederaufbereitung (der Betriebsmittel vor Wiederverwendung),
- Wahrung der Integrität
- Fehlerüberbrückung (Fehlererkennung und ggf. Korrektur),
- Gewährleistung der Funktionalität,
- Übertragungssicherung:
Authentisierung auf Partnerebene (OSI: peer entity authentication),
Zugriffskontrolle (access control bzgl. unberechtigter Nutzung von Betriebsmitteln),
Vertraulichkeit der Daten (data confidentiality der übertragenen und der Verbindungsdaten),
Integrität der Daten (data integrity),
Authentisierung des Senders (data origin authentication),
Anerkennung der Daten (non-repudiation: Nachweis des Ursprungs und des Empfangs von Daten)
Funktionalitätsklassen:
D
minimaler Schutz ( E0 )
(minimal protection, keine Tests nötig, Ziel von Crackern)
F - C1
benutzerbestimmbarer Zugriffsschutz ( E1 )
[mit Shts. fktnn.]
discretionary security protection: Nutzer-Ident./Authentikation,
einfache Prüfung und Verwaltung der Zugriffsrechte)
F - C2
benutzerbestimmbarer Schutz durch kontrollierten Zugriff ( E2 )
[dto.]
(controlled access security): Nutzerklassen für Datenzugriff,
Audit Trail ("Protokoll-Spur") zur Beweissicherung für
Kommandos und Datenzugriff,
phys. Löschen der temporären Daten bei Abbrüchen/U.)
F - B1
obligator. Schutz (nicht durch Nutzer zu ver ändern) ( E3 )
[sicher]
nachweisbare Shts.stufen (labelled security: unclassified, secret,
top secret) und Gruppenkennungen für jedes Objekt
F - B2
obligator. Schutz durch Strukturierung (structured protection) ( E4 )
[sehr sicher]
durch Modularität): formelles Shts.modell, vertrauenswürdiger
Pfad: System nicht täuschbar durch Spoofing-login z. B.,
namentl. benannter Shts.-beauftragter, Aufgabentrennung
Operator - Systemverwalter, neutrale Tests,
Analyse verdeckter Kanäle
F - B3
obligator. Schutz durch Sicherheitsdomänen (security domains): ( E5 )
[extrem sicher]
vollst. benutzerunabh. Shts.-modell bis hin zur Hardware,
Möglichkeit des Anlegens von Zugriffsausweisen für Objekte u.
Subjekte, alle Zugriffe laufen über einen Referenzmonitor,
Shts.beauftragter getrennt vom Systemverwalter,
Auditing für Einbruchsversuche, Sht. muß nachweisbar sein
(B bedeutet Erhaltung der Sensitivität: Subjekte und Objekte haben gleiche Vertraulichkeit)
F - A1
formal verifizierbarer Schutz ( E6 )
[dto.]
(verified design: formeller Nachweis der Sht.)
Q7 >A1
(Umkehrung gilt nicht!)
F6
für hohe Integrität (z. B. Datenbanken): Identifikation,
Authentikation, Zugangskontrolle, Protokollierung;
Typkonzept: Verwaltung von Subjektgruppen u. Objekttypen
F7
hohe Zuverlässigkeit der Dienste
F8
hohe Integrität beim Datenaustausch
F9
hohe Vertraulichk. beim Datenaustausch durch Verschlüsselung
F10
F8 + F9
Qualität im Hinblick auf 7 Aspekte [s. Original]
Q0
unzureichende Qualität (für höhere Stufe)
Q1
getestet (grobe Spezifikation, einfache Tests: 0 Fehler)
Q2
methodisch getestet (verbale Spezifikation)
Q3
zusätzlich teilanalysiert (stichprobenartig an krit. Stellen)
Q4
informell analysiert
Q5
semiformal analysiert
Q6
formal analysiert
Q7
formal verifiziert
Bewertung durch E-Stufen der Veranlagung (bewerten die Wirksamkeit und Korrektheit)
E0
ungeeignet
E1
schwach
E2
mittelstark
E3
stark
E4
sehr stark, Ausnahmen möglich
E5
sehr stark
E6
praktisch nicht überwindbar
UNIX-Evaluierung:
C liegt nahe, B2 ist mit Mühe erreichbar, A vom UNIX-Konzept her nicht.
C1 (Standard) ® B1 (MLS = multi level security von AT&T)
C2 - B2 (SVR4) durch Zusätze mit Mühe erreichbar
UNIX-Probleme: "Offenes" BS, Allgewalt des Superusers,
zu wenig Benutzerkategorien mit abgestuften Rechten, setuid-Mechanismus,
durch Booten von Diskette kann evtl. Superuser-Status erreicht werden, "Hintertüren"
Häufiger Mangel: Erschleichen von root-Rechten durch Software-Fehler (oft suid-bit,
z. B. sendmail, startx)
X Window unsicher: Einbrüche über X11-Sockets (am besten durche Firewall abschotten!
CMW-Standard des DIA (defense intelligence service) für verteilte (Client-Server-)Umgebungen
[CMW = compartmented mode workstation]
Logisches Gateway zwischen CMW und nichtsicheren Bereichen evtl.
CMW zwischen B1 und B2, aber auch bis A (CMW 1.1).
Audit-Format ES in Arbeit als Standard BRD-USA
CC (common criteria):
Anwendungsbereich:
o
bilden die Grundlage für die Prüfung und Bewertung der Sicherheitseigenschaften von Produkten und
Systemen der Informationstechnik (IT)
o
schaffen Vergleichbarkeit der Ergebnisse
o
unterstützen den Anwender bei der Einschätzung
o
dienen als Richtschnur für die Entwicklung
Die Darstellung der Sicherheitsanforderungen erfolgt in den zwei Kategorien
funktionale Sicherheitsanforderungen
und
Anforderungen an die Vertrauenswürdigkeit
Zielgruppen der CC:
drei Gruppen mit einem allgemeinen Interesse an einer Prüfung und Bewertung von Sicher-heitseigenschaften
eines IT-Produkts oder -Systems:
Anwender (Konsumenten)
Entwickler
Evaluatoren.
Weitere Interessengruppen:
Systembetreuer und Systemsicherheits-Beauftragte,
Prüfer (sowohl interne als auch externe)
Sicherheitsarchitekten und -designer
Akkreditierer, die für die Annahme eines IT-Systems zum Gebrauch in einer bestimmten Umgebung verantwortlich
sind
Antragsteller einer Prüfung und Bewertung
Zertifizierungsstellen
Grundbegriffe:
o
o
o
o
o
o
o
o
o
o
Evaluationsgegenstand (EVG/TOE = target of evaluation) können zum Beispiel Betriebssysteme, Rechnernetze,
verteilte Systeme und Anwendungen sein
TSF = TOE Security Functions
PP = Protection Profile (Schutzprofil)
SF = Security Function (Sicherheitsfunktion)
ST = Security Target (Sicherheitsvorgaben)
Vertrauenswürdigkeitsstufe (EAL = evaluation assurance level)
Komponente (beschreibt eine spezielle Menge von Sicherheitsanforderungen, kleinste auswählbare Menge von
Sicherheitsanforderungen)
Paket: eine als Zwischenstufe verwendete Zusammenstellung von Komponenten
Familie (family): Eine Gruppe von Komponenten mit gemeinsamen Sicherheitszielen
Klasse (class): Eine Gruppe von Familien, die eine gemeinsame Zielsetzung verfolgen
(allgemeinste Gruppierung der Sicherheitsanforderungen); alle Mitglieder einer Klasse haben dieselbe Zielrichtung,
unterscheiden sich aber in der Abdeckung der Sicherheitsziele.
CC enthalten nicht:
o
o
o
o
Kriterien für die Prüfung und Bewertung der Sicherheit von administrativen Sicherheitsmaßnahmen,
schließen aber nicht aus, daß oft ein bedeutender Teil der Sicherheit durch administrative Maßnahmen erreicht
werden kann,
wie durch organisatorische, personelle, materielle und verfahrenstechnische Kontrollen.
Kriterien für die Bewertung inhaltlicher Qualitäten kryptographischer Algorithmen
Überwachung elektromagnetischer Abstrahlung
die zu verwendenden Verfahren
Funktionale Sicherheitsanforderungen (Teil 2 der CC)
beschreiben das gewünschte Sicherheitsverhalten des Evaluationsgegenstands (EVG) und sind dazu bestimmt,
die in PP oder ST dargelegten Sicherheitsziele zu erfüllen.
Konsumenten können sie zur Auswahl von Komponenten verwenden, die die in einem PP oder in ST dargestellten Sicherheitsziele erfüllen.
Entwickler, die beim Erstellen eines EVG auf Konsumenten-Sicherheitsanforderungen reagieren,
können Verfahren zum Verständnis dieser Anforderungen
und Grundlagen für eine weitergehende Definition der EVG-Sicherheitsfunktionen und -Mechanismen finden.
Evaluatoren können die funktionalen Anforderungen benutzen, um zu verifizieren,
dass die im PP bzw. in den ST dargestellten funktionalen Anforderungen den IT-Sicherheitszielen genügen,
dass alle Abhängigkeiten berücksichtigt wurden,
und sie können prüfen, ob ein bestimmter EVG den dargelegten Anforderungen genügt.
Struktur der funktionalen Familie:
funktionale Familie - Familienname - Familienverhalten
- Komponentenabstufung (Hierarchie der Komponenten)
- Protokollierung (Anforderungen aus der Klasse FAU) - Management - Komponenten
Klassen: (in Teil 2 alphabetisch geordnet, ebenso die Familien))
FIA: Identifikation und Authentisierung
Authentisierungsfehler (FIA_AFL)
Definition der Benutzerattribute (FIA_ATD)
Spezifikation der Geheimnisse (FIA_SOS)
Benutzerauthentisierung (FIA_UAU)
Benutzeridentifikation (FIA_UID)
Benutzer-Subjekt-Bindung (FIA_USB)
FDP: Schutz der Benutzerdaten
Zugriffskontrollpolitik (FDP_ACC)
Zugriffskontrollfunktionen (FDP_ACF)
Datenauthentisierung (FDP_DAU)
Export nach außerhalb der TSF-Kontrolle (FDP_ETC)
Politik der Informationsflußkontrolle (FDP_IFC)
Funktionen der Informationsflußkontrolle (FDP_IFF)
Import von außerhalb der TSF-Kontrolle (FDP_ITC)
EVG-interner Transfer (FDP_ITT)
Schutz bei erhalten gebliebenen Informationen (FDP_RIP)
Rückgängig (FDP_ROL)
Integrität der gespeicherten Daten (FDP_SDI)
Schutz der Benutzerdatenvertraulichkeit bei Inter-TSF-Transfer (FDP_UCT)
Schutz der Benutzerdatenintegrität bei Inter-TSF-Transfer (FDP_UIT)
FAU: Sicherheitsprotokollierung
Automatische Reaktion der Sicherheitsprotokollierung (FAU_ARP)
Generierung der Sicherheitsprotokolldaten (FAU_GEN)
Analyse der Sicherheitsprotokollierung (FAU_SAA)
Durchsicht der Sicherheitsprotokollierung (FAU_SAR)
Ereignisauswahl für die Sicherheitsprotokollierung (FAU_SEL)
Ereignisspeicherung der Sicherheitsprotokollierung (FAU_STG)
FMT: Sicherheitsmanagement
Management der TSF-Funktionen (FMT_MOF)
Management der Sicherheitsattribute (FMT_MSA)
Management der TSF-Daten (FMT_MTD)
Widerruf (FMT_REV)
Verfall der Sicherheitsattribute (FMT_SAE)
Rollen im Sicherheitsmanagement (FMT_SMR)
FTP: Vertrauenswürdiger Pfad/Kanal
Inter-TSF Vertrauenswürdiger Kanal (FTP_ITC)
Vertrauenswürdiger Pfad (FTP_TRP)
FPR: Privatsphäre
Anonymität (FPR_ANO)
Pseudonymität (FPR_PSE)
Unverkettbarkeit (FPR_UNL)
Unbeobachtbarkeit (FPR_UNO)
FCS: Kryptographische Unterstützung
Kryptographisches Schlüsselmanagement (FCS_CKM)
Kryptographischer Betrieb (FCS_COP)
FPT: Schutz der EVG-Sicherheitsfunktionen
Test der zugrundeliegenden abstrakten Maschine (FPT_AMT)
Sicherer Fehlerzustand (FPT_FLS)
Verfügbarkeit von exportierten TSF-Daten (FPT_ITA)
Vertraulichkeit von exportierten TSF-Daten (FPT_ITC)
Integrität von exportierten TSF-Daten (FPT_ITI)
EVG-interner TSF-Datentransfer (FPT_ITT)
Materieller TSF-Schutz (FPT_PHP)
Vertrauenswürdige Wiederherstellung (FPT_RCV)
Erkennen von Wiedereinspielung (FPT_RPL)
Referenzverbindung (FPT_RVM)
Bereichsseparierung (FPT_SEP)
Protokoll zur Zustandssynchronisierung (FPT_SSP)
Zeitstempel (FPT_STM)
Inter-TSF TSF-Datenkonsistenz (FPT_TDC)
TSF-Datenkonsistenz bei EVG-interner Datenreproduktion (FPT_TRC)
TSF-Selbsttest (FPT_TST)
FRU: Betriebsmittelnutzung
Fehlertoleranz (FRU_FLT)
Priorität der Dienste (FRU_PRS)
Betriebsmittelzuteilung (FRU_RSA)
FTA: EVG-Zugriff
Begrenzung des Anwendungsbereiches der auswählbaren Attribute (FTA_LSA)
Begrenzung bei mehreren gleichzeitigen Sitzungen (FTA_MCS)
Sperren der Sitzung (FTA_SSL)
EVG-Zugriffswarnmeldung (FTA_TAB)
EVG-Zugriffshistorie (FTA_TAH)
EVG-Sitzungseinrichtung (FTA_TSE)
FCO: Kommunikation
Nichtabstreitbarkeit der Urheberschaft (FCO_NRO)
Nichtabstreitbarkeit des Empfangs (FCO_NRR)
Evaluationskriterien:
Aussagen darüber, ob die spezifizierten Sicherheitsfunktionen des EVG den funktionalen Anforderungen genügen und
dadurch
die Sicherheitsziele des EVG wirksam erfüllen,
ob die spezifizierten Sicherheitsfunktionen des EVG korrekt implementiert sind:
Menge der Vertrauenswürdigkeitskomponenten, -familien und -klassen.
Stufen der Vertrauenswürdigkeit
Sicherheitsmanagement
Sicherheitspolitik/vorschriften/leitlinien (security policy)
zur Sicherung der Unternehmenswerte
zur Wahrung gesetzlicher Vorschriften
muß von Leitung voll getragen und unterstützt werden.
Computer-Notfall-Teams: CERTs (computer emergency[Notfall] response[Antwort] team)
seit 1989 (nach Internet-Wurm), z. B. DFN, BSI
(Dachorganisation FIRST = forum of incident response and security teams)
Tiger-Teams in Unternehmen zur Aufdeckung von Sicherheitslücken
IT-Forensiker
Denkbare Strategien zur PC-Sicherheit:
1) Verwendung von Betriebssystem-Bordmitteln
2) Freeware-Tools
3) kommerzielle Tools
4) Profi-Sicherung: z. B. Firewall in separatem Router, Daten-Verschlüsselung, Backup-Konzept
Risikoanalyse
Risiko = Störungswahrscheinlichkeit * Schadenshöhe
[DIN VDE 31000]
Erfassung - Analyse - Synthese
Vorgehensweise lt. IT-Sicherheitshandbuch (4 Stufen, 12 Schritte):
(systematisch durchgehen vor allem bei hohen Schadenswerten!)
1) Ermittlung der Schutzbedürftigkeit (Strukturanalyse, Systemabgrenzung):
1. Erfassung aller Anwendungen und Daten
2. Bewertung hinsichtlich des Grundwerte-Verlustes
2) Bedrohungsanalyse (inkl. Schwachstellenanalyse):
3. Erfassung der bedrohten Objekte
(8 Gruppen: Infrastruktur, Hardware, Datenträger, Paperware, Software, Daten, Kommunikation, Personen)
4. Bestimmung der Grundbedrohungen
5. Schwachstellenanalyse (oft mittels Checklisten, auch im Handbuch zu finden)
was - von wem - warum - wie - wann - wo ?
Szenarioanalysen, Simulationen
Automatische Werkzeuge (Scanner / Audits, z. T. umstritten, da auch als Hackerwerkzeuge benutzbar), z. B.
SATAN (security administrator tool for analyzing networks, Dan Farmer, von SGI
deshalb entlassen)
COPS (computer oracle and password system, USA-Informatik-Professor Gene Spafford und Dan Farmer, lokal,
Perl/C-Programmpaket)
TIGER (lokal)
Tamu (Werkzeugsammlungzur Erkennung von Angriffsmustern)
Tcpdump (UNIX-Sniffer)
Crack (entschlüssselt UNIX-Passwörter
CRAMM, Nessus
Leaktest-Tools (suchen Löcher)
Wichtig auch Strom-Last-Analyse
Objektorientierte RiskEngines
u. a.
3) Risikoanalyse mit Bewertung:
6. Bewertung der bedrohten Objekte, z. B. unternehmenskritische Anwendungen
7. Bestimmung der Häufigkeit von Schäden
kardinal (Zahlenwerte für Wahrscheinlichkeiten, bevorzugt in USA) oder
ordinal (verbale Angabe von Kategorien, BSI)
evtl. Abschätzung von Eintrittswahrscheinlichkeiten mit Gewichten, z. B.
10
für mehrmals pro Tag
9
einmal pro Tag
7
einmal pro Woche
5
einmal pro Monat
3
einmal pro Jahr usw. (evtl. mit Zwischenstufen)
8. Bestimmung der tragbaren / untragbaren Risiken
worst-case-Analyse für Notfallplanung
4) IT-Sicherheitskonzept: angemessene Maßnahmen gegen die untragbaren Risiken
9. Auswahl von Maßnahmen
(mission critical applications)
10. Bewertung der Maßnahmen hinsichtlich ihrer Wirkung auf die Bedrohungen und den Betrieb: Qualität der Maßnahmen)
11. Kosten-Nutzen-Betrachtung: Begründung der Angemessenheit der Maßnahmen
Ziel: Kosten für Datensicherheit < etwaige Verluste im Schadensfall (anders als z. B. beim Militär: hier wird
Null-Risiko angestrebt)
12. Analyse des Restrisikos, evtl. Überarbeitung ab Schritt 9
Auch andere Vorgehensweisen möglich: z. B. 5 Stufen eines Aktionsplans
1)
Entwicklung der IT-Sicherheitspolitik (Ziele, Niveau, Personen)
2)
Entwicklung eines IT-Sicherheitskonzepts (Schutzwürdigkeitsanalyse, Einordnung in Kategorien, Risikoanalyse,
Schadenswahrscheinlichkeit: Risikomatrix)
3)
Realisierung der Maßnahmen (Kosten, Arbeitsplan, Verantwortlichkeit, Kontrollmechanismen)
4)
Schulung und Sensibilisierung mit Konsequenzen bei Verstößen
5)
IT-Sicherheit im laufenden Betrieb (Security Auditing, Reaktion auf sicherheitsrelevante Veränderungen)
Sicherheitsplanung
Befugnisse und Sicherheitsmaßnahmen müssen in geeigneter Form festgelegt werden: Sicherheitskomponente Administration.
Sicherheitskonzept/plan:
+ situationsbedingte Verhaltensmaßregeln (auch wer was nicht tun sollte)
+ Zuständigkeiten festlegen
+ Sicherheitshandbuch
+ Maßnahmen zur Einführung
Besonders wichtig bei Strukturveränderungen (z. B. neue Netzverbindungen, Reorganisationen, Downsizing) und
Vorbereitung auf Revisionen (zur Einhaltung der Datenschutzgesetze, bei Arbeiten für Behörden).
Sicherheitsplan ständig aktualisieren, damit die einmal erreichte Sicherheit nicht durch Veränderungen unterlaufen
werden kann:
security-change-management.
Besonders umfangreich naturgemäß in Kommunikationssystemen
Beispiele:
Britischer Standard ISMS (information security management system) von 1995:
meist Baseline-Sicherheitskontrollen (universell anwendbar),
z. T. selektiv anwendbare Kontrollmaßnahmen,
10 Schlüssel-Kontrollmaßnahmen:
- Vorschriftendokument zur Informationssicherheit
- Zuweisung der Verantwortung für Informationssicherheit
- Ausbildung und –Schulung in Informationssicherheit
- Meldung von Sicherheitsvorfällen
- Viruskontrollen
- Planungsprozeß für die Geschäftskontinuität
- Kopierkontrolle von Softwarebeständen
- Sicherung organisationseigener Aufzeichnungen
- Datenschutz
- Einhaltung der Sicherheitsvorschriften
7 Ebenen der Meta-Group (Bemühungen um Standardisierung)
Sicherheitsplanung oft manuell nicht mehr möglich, ggf. Steuerung mit Security-Tools von zentraler Konsole aus:
Überprüfung und Verhinderung sicherheitsrelevanter Aktivitäten. Vorher Festlegung der Anforderungen mittels Baseline.
Umfassende (z. B. in Behörden bevorzugte) monolithische Software-Systeme oder gute Einzellösungen (stärker in
Unternehmen)
Umfassende Software enthält:
Netzwerk-Proben
intelligente Agenten
Risiko-Einschätzg
x
x
Intrusion Detection
x
x
Grundlage oft Audit(Protokoll)-Systeme, z. B. „Consule/Audit“ mit Security-Assistent (Policy Generator) auf Basis
der Aufzeichnungen
(zunehmend integrierte Software mit allen Komponenten)
Havarie-/Krisen-/Notfall-/Katastrophen-Management (Vorsorge):
1) Konzepte / Plan für Sofortmaßnahmen im Notfall
2) Organisatorische Vorbereitung des Personals
3) Maßnahmen für alternativen Rechenbetrieb
4) Wiederanlaufplanung (Wiederherstellung der Arbeitsfähigkeit, oft mit Hilfe von Desaster-Recovery-Unternehmen)
Notfallhandbuch: Sofortmaßnahmen u. a.
Möglichst vorher testen!
Grundmodelle der Sicherheitspolitik
1) Diskrete Zugriffskontrolle (DAC = discretionary access control):
Zugriffskontrollmatrix (ACL = access control list):
Subjekte (aktive Personen, Maschinen, Prozesse) mit Lese-/Schreib-/Abarbeitungs-/Lösch-Rechten für
Objekte (schützenswerte/sensitive Daten, Geräte, Personen, Prozesse)
O1
O2
O3
O4
...
S1
r
x
r
S2
rwxd
r
S3
rw
r
S4
rwx
r
rw
....
2) Schutzklassen (globale Zugriffskontrolle): z. B.
- VS-NfD (unbefugte Kenntnis kann nachteilig sein)
- VS-vertraulich ( . . . schädlich)
- geheim ( . . . kann zu schwerem Schaden führen)
- streng geheim (bestandsgefährdend, sehr selten)
[VSA = Verschlußsachen-Anordnung des Innenministers, EU-Harmonisierung in Arbeit]
oder: offen - NfD - VD - geheim (VVS) - streng geheim (GVS) [DDR]
[secret]
[top secret]
3) Zuständigkeit (ebenfalls global: need to know)
Strenge Forderung: Verboten ist alles, was nicht ausdrücklich erlaubt ist!
4) Bell-LaPadula: Kombination aus (2) und (3)
5) Clark-Wilson: speziell gegen Verlust der Integrität, speziell für Datenbanken
© kd rieck
febr. 2015