Systeme und ihr Umfeld

Security Engineering

FairPay – Verlässlichkeit im elektronischen Zahlungsverkehr

Von Roland Vogt, Saarbrücken

FairPay will das "verletzliche Nervensystem" der deutschen Wirtschaft durch die Entwicklung neuer Sicherheitsstandards im elektronischen Zahlungsverkehr sicherer machen und so Vertrauen in den E-Commerce stärken. Dabei steht Methodologie im Vordergrund: Erst durch die logisch präzise Beschreibung von Bedrohungen und Angriffen gelingt es, die Zuverlässigkeit von Zahlungsverkehrssystemen nachzuweisen oder gegebenenfalls ihre Schwachstellen aufzudecken.

Die wirtschaftlichen Chancen für den E-Commerce sind enorm, da sich nahezu grenzenlose Märkte erschließen, keine beschränkten Geschäftszeiten mehr existieren und die Möglichkeiten der modernen Informationstechnologien für flexible, kundengerechte Angebote ständig weiter ausgebaut werden. Der elektronische Geschäftsverkehr beginnt, sich in allen Lebensbereichen durchzusetzen, wobei jedoch die Geschwindigkeit dieses Prozesses von der Akzeptanz durch die Akteure abhängt. Ein entscheidendes Akzeptanzkriterium ist dabei das Vertrauen in die Verlässlichkeit kommerzieller, vor allem finanzieller Transaktionen.

Über lange Zeiträume gewachsene Strukturen zur zuverlässigen Abwicklung des Zahlungsverkehrs sind in immer komplexer werdenden und faktisch unkontrollierbaren Netzen völlig neuartigen Bedrohungen ausgesetzt. Die Verfügbarkeit und Verlässlichkeit etablierter Systeme und Mechanismen sind in dieser weltumspannenden Infrastruktur besonders gefährdet. In der nahen Zukunft wird nach Einschätzung von Bundesinnenminister Otto Schily "der elektronische Zahlungsverkehr ein Aktionsfeld international organisierter Kriminalität".

Da offene Netzwerke ihrem Wesen nach angreifbar sind, bedarf es erheblicher Anstrengungen, um den elektronischen Geschäftsverkehr im Allgemeinen und den elektronischen Zahlungsverkehr im Besonderen abzusichern, wenn man schließlich den Schritt aus den bisherigen proprietären Netzen in das Internet vollziehen will.

Dies zu erreichen, ist nicht nur von wissenschaftlich-technischem oder betriebswirtschaftlichem Interesse, sondern auch eine Aufgabe der wissenschaftlich-technischen Kriminalprävention mit grenzüberschreitender Bedeutung. Bei aller Euphorie über das immense wirtschaftliche und gesellschaftliche Potenzial bestreitet niemand ernsthaft die damit verbundene Gefährdung. Letztlich stellen unentdeckt bleibende Schwachstellen in der Abwicklung finanzieller Transaktionen eine Bedrohung für die Existenz ganzer Volkswirtschaften dar. In einer Rede vor dem Fachforum "Sicherheit des Zahlungsverkehrs" hat Schily dem Thema IT-Sicherheit "außerordentliche Bedeutung für die innere Sicherheit aller Industrienationen" attestiert.

FairPay – ein Verbundvorhaben

Angesichts der tragenden Rolle der Verlässlichkeit im elektronischen Zahlungsverkehr hat das [externer Link] Bundesministerium für Wirtschaft und Technologie im Frühjahr 2000 das Verbundvorhaben FairPay gestartet. Unter der Federführung des [externer Link] Deutschen Forschungszentrums für Künstliche Intelligenz (DFKI GmbH) wird eine umfassende Methodologie zum Entwurf verlässlicher Zahlungsverkehrslösungen entwickelt. Die Arbeiten im Forschungs- und Entwicklungsprojekt FairPay zielen auf einen ganzheitlichen Security Engineering Process, der Funktionalität und Sicherheit gleichberechtigt integriert. Zur Verwirklichung dieses umfassenden Anspruchs überdecken die Kompetenzen der beteiligten Partner das ganze Spektrum von wissenschaftlicher Forschung über die Entwicklung von praxistauglichen Methoden und Werkzeugen bis hin zu konkreten Anwendungen.

[FairPay-Partner-Logos: Deutsche Bank, HypoVereinsbank, TU München, TU Darmstadt, DFKI, IWW der TH Karlsruhe, debis, SECUDE, emagine, Eurosec, BMWi]
Die Partner im Verbundprojekt FairPay

Auf der Basis der FairPay-Methodologie und der verfügbaren Werkzeuge wandelt sich die Entwicklung zuverlässiger Lösungen des E-Commerce zunehmend von einer durch individuelle Fähigkeiten bestimmten Tätigkeit zur routinemäßigen Ingenieurleistung; so wie man heute im Allgemeinen der Stabilität von Brückenkonstruktionen trauen kann, wird man künftig auch auf die Stabilität von Sicherheitsfunktionen bauen dürfen. Wenn hier von Zuverlässigkeit die Rede ist, dann ist zum einen faktische und zum anderen nachweisliche Zuverlässigkeit gemeint. Durch diese feine Differenzierung soll darauf hingewiesen werden, dass Vertrauen als Basis eines aufblühenden elektronischen Geschäftsverkehrs nicht allein durch faktische Zuverlässigkeit zu gewinnen ist, wenn diese auch im Zentrum aller hier dargestellten Bemühungen steht. Vielmehr kommt es ganz ausdrücklich darauf an, die Zuverlässigkeit von Produkten und Diensten auch überprüfen und kommunizieren zu können.

Multilaterale Bedürfnisse

Viele Angebote des elektronischen Zahlungsverkehrs leiden unter dem Mangel einer weitgehend fehlenden Objektivierung der faktischen und damit erst recht der nachweislichen Zuverlässigkeit. Dies zeigt sich einerseits durch die in jüngster Zeit anwachsende Inflation von Prüf- und Gütesiegeln, die als Indikator für die starke, an Überprüfbarkeit orientierte Nachfrage gelten kann. Andererseits werben Anbieter und Betreiber schon einmal mit Aussagen der Art "Wir verwenden SSL-Verschlüsselung mit 128 Bit, das ist so sicher wie Home Banking" und verlangen gleichzeitig auf der Basis solch dubioser Argumente von jedem Käufer beispielsweise die Preisgabe seiner Home Banking PIN und TANs. Auch wenn in einem solchen Fall die Vertraulichkeit der Kommunikation zwischen Händler und Käufer gewährleistet sein mag, so verletzt ein derartiges Vorgehen doch die Schutzbedürfnisse des Käufers und seiner Hausbank an die Vertraulichkeit und Authentizität des Kontozugriffs in grober Weise.

Der Anspruch von FairPay ist, das komplexe Spektrum von Schutzbedürfnissen aller am elektronischen Zahlungsverkehr beteiligten Akteure einschließlich der vielschichtigen multilateralen Abhängigkeiten vollständig zu erfassen. Denn letztlich ermöglicht nur die Orientierung am multilateralen Zusammenspiel der zum Teil sehr unterschiedlichen Schutzbedürfnisse eine wirkliche Objektivierung von Zuverlässigkeitseigenschaften.

Disziplinär reicht das Spektrum der beteiligten Partner von kryptographischen Basistechnologien über spezifische (Software-) Engineering Konzepte bis hin zu adäquaten Prinzipien des Sicherheitsmanagements. Das Verbundvorhaben FairPay erhebt hier ganz explizit den Anspruch vollständige Szenarios, wie etwa die Abwicklung von Internet-Zahlungen, zu betrachten, statt sich nur mit isolierten Komponenten zu befassen, wie etwa Java Applets oder Chipkarten.

Getragen wird dieser Ansatz von der offensichtlichen Feststellung, dass Angriffe immer an Stellen ansetzen, die den geringsten Widerstand bieten. Niemand ließe sich absichtlich teure Stahltüren in Pappwände einbauen. Trotzdem werden im elektronischen Zahlungsverkehr immer wieder vergleichbare Vorfälle bekannt. Die Ursachen sind sicherlich vielfältig. Ein zentrales Problem scheint jedoch darin zu bestehen, dass einerseits die Länge von kryptographischen Schlüsseln ein leicht verständlicher Maßstab für die Sicherheit darstellt, aber andererseits solch quantitative Maßstäbe für Aspekte der Transaktions- und Prozess-Sicherheit prinzipiell nicht existieren. Demzufolge zielen alle fachlichen Arbeiten innerhalb von FairPay hauptsächlich auf die Objektivierung qualitativer Aspekte der IT-Sicherheit.

Security Engineering

Zentrale Aufgabe für den qualitativen Nachweis jeder Aussage zur Zuverlässigkeit ist die Identifikation, Kategorisierung, Katalogisierung und Validation der spezifischen Anforderungen an die jeweilige Lösung. Das Forschungs- und Entwicklungsprojekt FairPay fokussiert auf diesen als Requirements Engineering bekannten Prozess. Es will eine Methodologie etablieren, die unter Berücksichtigung der multilateralen Sicherheitsbedürfnisse des elektronischen Zahlungsverkehrs und der erforderlichen disziplinären Vielfalt eine effektive Gestaltung der Schutzkonzepte ermöglicht.

Technologischer Kern der Objektivierung von Sicherheitsprinzipien und -maßnahmen ist eine werkzeugunterstützte formale Modellierung. Zum Einsatz kommt hier unter anderem das im Auftrag des [externer Link] Bundesamts für Sicherheit in der Informationstechnik (BSI) entwickelte Verification Support Environment (VSE). Dieses Tool hat seine Leistungsfähigkeit und Praxistauglichkeit in mehreren kommerziellen Anwendungen aus dem Bereich der IT-Sicherheit unter Beweis gestellt. Auf der Basis exakter Beschreibungen erlaubt VSE den Nachweis von Zuverlässigkeit mit mathematischer Präzision.

Mithilfe formaler Methoden gesicherte Ergebnisse erreichen damit ein Niveau an faktischer Zuverlässigkeit, das keine Schwachstellen unentdeckt lässt. Die durch formale Methoden erreichbare Zuverlässigkeit führt zu kalkulierbaren und insbesondere nachprüfbaren Sicherheitsgarantien durch Anbieter oder Betreiber von Produkten und Diensten des elektronischen Zahlungsverkehrs. FairPay entwickelt deshalb einen an international anerkannten Kriterienwerken (insbesondere ITSEC und Common Criteria) orientierten Katalog von Anforderungen, die einen unabhängigen Prüfer in die Lage versetzen, die erreichten Zuverlässigkeitsmerkmale zu bewerten. Anwender der FairPay-Methodologie können dadurch ein FairPay-spezifisches und qualitativ hochwertiges Gütesiegel erwerben, das Dank seiner Konformität zu anerkannten Kriterienwerken auch internationale Wertschätzung finden dürfte.

----------Anfang Textkasten----------

Formale Methoden

Im Hinblick auf die Zielsetzung von FairPay, eine einheitliche Methodologie für den Security Engineering Process zu etablieren, ist es notwendig, von methodischen Anforderungen der auf dem Gebiet der IT-Sicherheit relevanten Kriterienwerke (ITSEC und Common Criteria) auszugehen. In FairPay wird daher die in diesen Kriterien allgemein beschriebene Rolle von formalen Methoden soweit präzisiert, dass sich hierauf aufbauend technische Konzepte entwickeln und insbesondere existierende Ansätze bewerten lassen.

Ausgangspunkt der Arbeiten bildet die Feststellung, dass beim Einsatz formaler Methoden im Bereich der IT-Sicherheit die nutzbringende Einbettung in den Entwicklungsprozess einerseits und die Berücksichtigung der Anforderungen der Evaluationskriterien andererseits in Übereinstimmung gebracht werden müssen. Zu diesem Zweck wird die abgebildete Struktur vorgeschlagen:

[Funktionale Spezifikation —validiert→ Sicherheitsmaßnahmen —verifizieren→ Sicherheitsmodell —validiert→ Funktionale Anforderungen —validieren→ Sicherheitsziele]
Einbettung formaler Methoden in den Entwicklungsprozess

Kernbestandteil des Vorschlags ist die Auslegung der Anforderungen der Evaluationskriterien an formale Sicherheitsmodelle. Diese Anforderungen geben zwar Hinweise auf den Zweck formaler Sicherheitsmodelle, lassen aber deren innere Struktur völlig offen. Die in FairPay verwendete Gliederung in die beiden Bestandteile Sicherheitsmaßnahmen (Security Features) und Sicherheitsprinzipien (Security Principles) gestattet die Konkretisierung der Einbettung formaler Sicherheitsmodelle in den Entwicklungsprozess.

Durch Gegenüberstellung von formalen Sicherheitsprinzipien mit den funktionalen Sicherheitsanforderungen einerseits und von formalen Sicherheitsmaßnahmen mit der funktionalen Sicherheitsspezifikation andererseits ist eine Validierung der formalen Repräsentation der Sicherheitspolitik gegenüber den abstrakten Sicherheitszielen möglich. Weiterhin bringt die formale Verifikation der Sicherheitsprinzipien auf der Basis der Sicherheitsmaßnahmen einen deutlichen Zugewinn an Sicherheits- und Entwicklungsqualität in Bezug auf den Nachweis der vollständigen und korrekten Umsetzung der Sicherheitsanforderungen in die Sicherheitsspezifikation.

Besondere Beachtung muss hierbei die Balance zwischen den verschiedenen formalen und informellen Beschreibungen finden. Eine ausgewogene Abstufung des Abstraktionsgrades ist essenzielle Voraussetzung für die Qualität der erreichten Ergebnisse.

----------Ende Textkasten----------

Das gesamte Konsortium von FairPay stellt sich zudem den Forderungen an den Wissenstransfer. Das Deutsche Forschungszentrum für Künstliche Intelligenz als Koordinator von FairPay lädt alle Interessenten ein, mit ihm Kontakt aufzunehmen (s. a. http://fairpay.dfki.de/). Wer an verwandten Fragestellungen arbeitet, sei es nun auf wissenschaftlichem Gebiet oder bei der Entwicklung oder dem Betrieb von konkreten Zahlungsverkehrslösungen, ist zum Erfahrungsaustausch und gegebenenfalls zur Kooperation aufgerufen. Die methodischen Ergebnisse von FairPay sollen allen zur Verfügung stehen, die dadurch in die Lage versetzt werden, den elektronischen Geschäftsverkehr im Allgemeinen oder den elektronischen Zahlungsverkehr im Besonderen zuverlässiger zu machen. Wenn die Verlässlichkeit des E-Commerce wächst, dann ist die moderne Informationsgesellschaft besser gegen Organisierte Kriminalität geschützt. FairPay soll dazu einen Beitrag leisten.

Dipl.-Inform. Roland Vogt ist technischer Leiter der Prüfstelle für IT-Sicherheit und Mitglied des Leitungsteams FairPay beim Deutschen Forschungszentrum für Künstliche Intelligenz GmbH.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2000, Seite 52