![[grafische Darstellung eines SIZ-PP-Systems]](28-1.jpg)
Gesamtsystem und mögliche Teilsysteme im SIZ-PP (R = Router oder Gateway, PC = Arbeitsplatzrechner)
Das Schutzprofil-Konzept der Common Criteria (CC, [1]) zeichnet sich dadurch aus, dass Schutzprofile nicht nur von IT-Herstellern, sondern insbesondere von IT-Anwendern geschrieben werden können und auch sollen. Sie sind somit nicht produktspezifisch, sondern benutzerorientiert. Auf diese Weise haben IT-Anwender die Möglichkeit, ihre Bedürfnisse bezüglich IT-Sicherheit in Form von maßgeschneiderten IT-Sicherheitskonzepten zu definieren. Damit können beispielsweise Wirtschafts- oder andere Interessensverbände ihre Vorstellungen bezüglich der Sicherheit bestimmter Produkte oder Systeme zum Ausdruck bringen und Standards setzen, die dann auch international anerkannt werden können. Bei der Evaluierung eines Schutzprofils ist es nicht erforderlich, dass bereits ein konkretes Produkt existiert, das die beschriebenen Anforderungen erfüllt. Vielmehr kann ein evaluiertes Schutzprofil dazu dienen, IT-Herstellern zu zeigen, dass es konkrete Bedürfnisse gibt, die durch entsprechende Produkte befriedigt werden können.
Die angestrebte Vereinheitlichung der Datenverarbeitung in der Sparkassen-Finanzgruppe erfordert gemeinsame Sicherheitsstandards sowohl für die Gesamtheit als auch für die einzelnen Komponenten der Anwendungssysteme der Sparkassen-Finanzgruppe. Jedes Computersystem, das an ein Rechenzentrum oder verteiltes Netzwerk angeschlossen ist, soll Sicherheitsleistungen enthalten, die einem akzeptierten Sicherheitsstandard entsprechen oder darüber hinausgehen. Das evaluierte und zertifizierte Schutzprofil SIZ-PP "Schutzprofil Sicherheit für IT-Gesamtsysteme der Finanzdienstleister" wurde mit dem Ziel erstellt, grundlegende Sicherheitsanforderungen für die Entwicklung, den Betrieb und die Beschaffung aller IT-Systeme bei der Sparkassen-Finanzgruppe zu definieren. Dieses Schutzprofil basiert auf bestehenden Arbeiten des Informatikzentrums der Sparkassenorganisation (SIZ), insbesondere auf der Sicherheitsarchitektur Version 1.0 [2] und dem Sicherheitsstandard Version 2.0 [3].
Schutzprofile dienen der Beschreibung eines Konzepts für die Sicherheit von IT-Produkten in einer bestimmten Einsatzumgebung. Auf der Basis dieser Beschreibung werden die Sicherheitsziele des Produkts oder Systems in seiner Einsatzumgebung definiert. Die Sicherheitsziele müssen detaillierten Aufschluß darüber geben, wie den Bedrohungen entgegengewirkt werden soll bzw. wie die Sicherheitspolitik erfüllt werden soll. Es wird dabei zwischen Sicherheitszielen für das Produkt/System und denen für die Umgebung unterschieden. Im Schutzprofil wird nachgewiesen, dass alle Aspekte, die in der Sicherheitsumgebung identifiziert werden, durch die dargelegten Sicherheitsziele abgedeckt werden.
Damit diese Sicherheitsziele erreicht werden, muss das Produkt/System bestimmte funktionale Anforderungen und Anforderungen bezüglich der Vertrauenswürdigkeit erfüllen. Diese Anforderungen werden im SIZ-PP genannt (entnommen aus den Teilen 2 und 3 der CC) und den Sicherheitszielen zugeordnet.
Die Sicherheitsanforderungen wurden auf der Basis des IT-Sicherheitsstandards des SIZ gewonnen, der die Anforderungen der Mitglieder der Sparkassen-Finanzgruppe bezüglich der Sicherheit ihrer IT-Systeme beschreibt und deren Erfahrungen zusammenfasst. Diese Erfahrungen, die im langjährigen Umgang mit der IT-Sicherheit und in der Erfüllung gesetzlicher Vorgaben an die IT-Sicherheit gewonnen wurden, gewährleisten, dass die Sicherheitsanforderungen ein konsistentes und in sich geschlossenes Ganzes bilden.
Das Schutzprofil definiert einen Satz grundlegender Sicherheitsanforderungen zur Absicherung von IT-Systemen, wie sie typischerweise im Kreditgewerbe bei Finanzdienstleistern zum Einsatz kommen. Das IT-Gesamtsystem kann dabei aus Arbeitsplatzrechnern, Servern, Hosts und den sie verbindenden Netzkomponenten und der zum Betrieb der Anwendungen notwendigen Software bestehen. Dieses Schutzprofil ist daher auf Systeme anwendbar, die sich aus Hardwarekomponenten, Betriebssystemen, system- und anwendungsnaher Software (so genannter Middleware) sowie Anwendungsprogrammen zusammensetzen.
Bei der Evaluation des SIZ-PP wurde nachgewiesen, dass alle Aspekte des Schutzprofils in sich und untereinander konsistent und damit sinnvoll und widerspruchsfrei sind. Die Nutzung des Schutzprofils als Basis für die Entwicklung oder Evaluierung von (Teil-)Systemen bietet sich damit an.
SIZ-PP-konforme Systeme können in sensitiven Umgebungen des Kreditgewerbes eingesetzt werden, in denen ein hoher Grad an Vertrauenswürdigkeit erforderlich ist und in denen die Vertraulichkeit und Integrität der verarbeiteten Informationen jederzeit gewährleistet sein muss. Auch die Verfügbarkeit der Informationen muss weitestgehend garantiert sein, insbesondere sind keine unbemerkten und nicht wiederherstellbaren Verluste von geschäfts- und sicherheitsrelevanten Daten tolerabel. Für bestimmte Transaktionen muss zudem deren Verbindlichkeit sichergestellt werden.
Das Schutzprofil SIZ-PP gewährleistet einen Schutz, der für eine Umgebung angemessen ist, in der der Zugriff auf Informationen und Systemressourcen auf dazu berechtigte Benutzer beschränkt werden muss. Dabei sind die Benutzer im Rahmen der ihnen zugeteilten Rechte als vertrauenswürdig anzusehen. Dies gilt insbesondere auch für den Umgang der Benutzer mit den Informationen, deren Dateneigentümer sie sind. Es ist jedoch erforderlich, sie für jede ihrer Aktionen jederzeit zur Verantwortung ziehen zu können.
Das SIZ-PP fordert daher eine Reihe von Schutzmechanismen, die die Umsetzung der Sicherheitspolitik einer Organisation sowie der daraus abgeleiteten fachlichen und technischen Sicherheitsanforderungen ermöglichen. Zu diesen Schutzmechanismen gehört neben der Zugriffskontrolle die Möglichkeit einer starken Authentisierung sowie die Möglichkeit einer umfassenden Protokollierung und Beweissicherung.
Von anderen Schutzprofilen unterscheidet sich das SIZ-PP dadurch, dass es
Gesamtsystem und mögliche Teilsysteme im SIZ-PP (R = Router
oder Gateway, PC = Arbeitsplatzrechner)
Bei der Zertifizierung des SIZ-PP hat sich gezeigt, dass das Schutzprofil-Konzept der Common Criteria auch für die Beschreibung eines Sicherheitskonzepts für relativ komplexe IT-Systeme wie das der Sparkassen-Finanzgruppe geeignet ist. Derzeit werden bereits weltweit Schutzprofile zum Beispiel zu den Themen Firewalls, Chipkartenanwendungen (E-Business) und digitale Signatur entwickelt und evaluiert. Es ist zu hoffen, dass auch in Deutschland IT-Anwender ihre Chance verstärkt wahrnehmen, ihre Bedürfnisse und Interessen zur IT-Sicherheit in Form von Schutzprofilen zum Ausdruck zu bringen und registrieren zu lassen.
In einem ISO-Arbeitsentwurf über "Protection Profile Registration Procedures" (WD 15292) wird festgelegt, wie Schutzprofile auf internationaler Ebene registriert werden sollen. Auf diese Weise werden die Qualität und die weltweite Anerkennung von Schutzprofilen gewährleistet. Hier haben IT-Anwender(-gruppen) die Möglichkeit, ihren Bedürfnissen nach IT-Sicherheit Ausdruck zu verleihen, übrigens auch in ihrer Landessprache. Zurzeit wird die Registrierung noch von nationalen Stellen vorgenommen, in Deutschland vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Mittelfristig soll die Registrierung jedoch bei der ISO international vereinheitlicht werden. Eine solche Registrierung ist auch für das SIZ-PP vorgesehen.
Das SIZ-PP-Schutzprofil sowie die Common Criteria können
von der ![[externer Link]](../../../../images/link.gif)
BSI-Website bezogen werden.
© BSI, D-53133 Bonn,
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2000, Seite 28
