Es ist mitunter äußerst problematisch, die passende Firewall zur Sicherung einer Internetverbindung auszuwählen. Eine unüberschaubare Vielzahl an Produkten mit Preisspannen zwischen einigen hundert bis zu mehreren zehntausend Mark steht zur Auswahl. Ein unmittelbarer Vergleich der Angebote ist zudem kaum möglich. Firewalls lassen sich jedoch anhand von drei Basiskriterien unterscheiden:
Der Sicherheitslevel sollte logischerweise der Auswahlfaktor Nr. 1 sein. Firewalls werden gekauft, um ein Netzwerk sicher zu machen. Warum sollte ein Kunde hier Kompromisse eingehen? Oft genug resultieren aber aus dem Bedarf an Flexibilität – welche Anwendungen sollen beim End-User unterstützt werden? – Zugeständnisse auf Kosten der Sicherheit. Bei zahlreichen Netzwerkanwendungen liegt die Priorität nicht auf dem Sicherheitsaspekt. Konfiguriert man in einem Unternehmen dann die Firewall nach Maßgabe der Netzwerkanwendungen, kann das zu unvertretbaren Sicherheitslücken in der Firewall selbst führen. Diese Kompromisse im Namen höherer Funktionalität sind normalerweise aus der Literatur der Hersteller nicht ersichtlich.
Die Handhabbarkeit einer Firewall hat nicht nur mit einem eleganten User-Interface zu tun. Ein entscheidendes Kriterium ist auch der Aufwand, den ein Hersteller betreibt, um einen Netzwerk-Administrator sicher durch die Konfiguration der Firewall zu leiten. Die Firewall sollte ohne Zugeständnisse zu Lasten der Sicherheit konfiguriert und der Netzwerkadministrator bei den einzelnen Schritten unterstützt werden; jede bedenkliche Einstellung sollte eine entsprechende Meldung hervorrufen. Die meisten Firewall-Produkte können sicher konfiguriert werden – und alle können falsch konfiguriert werden. Über diesen Unterschied vergleichbare Informationen zu bekommen, ist nicht einfach.
Marktübersichten und Datenblätter neigen dazu, im Namen einer objektiven Übersicht lediglich Funktionalitäten zur einfachen Bedienung aufzuzählen. Eine unabhängige Bewertung mit fundiertem Gesamturteil ist die einzige zuverlässige Informationsquelle über den Sicherheitslevel eines Firewall-Produktes.
Bewertungen von Firewalls und anderen Sicherheitsprodukten werden außer von kommerziellen Anbietern auch von formellen Zertifizierungs-Organisationen vergeben. Die von freien Testlabors vergebenen Bewertungen muss man selbst anhand der Eignung für den eigenen Anwendungsbereich einschätzen und zudem das Vertrauen in das Labor abwägen; die Anforderungen für formelle Zertifizierungen sind hingegen festgelegt und meist erheblich rigoroser und umfangreicher.
Auch positive Rückwirkungen auf die Produkte sind denkbar: "Für mich führen diese Evaluierungen ganz eindeutig zu einem verbesserten Produktdesign. Entwicklungsingenieure sind gezwungen, ihr Design erheblich rigoroser unter die Lupe zu nehmen, als es für das Schreiben von Dokumentationen notwendig wäre", erläutert Andrew Calvert, Principle Engineer bei GEC-Marconi Secure Systems.
Verteidigungsministerien und andere Behörden vieler Länder erheben beispielsweise strenge Auflagen bezüglich einer formalen Zertifizierung der von ihnen eingesetzten IT-Produkte. In der freien Wirtschaft liegen die Anforderungen in der Regel erheblich unter diesen Richtlinien. John McIntosh, einer der Direktoren für PC-Sicherheit in Großbritannien bringt es auf den Punkt: "Die Verwendung eines Personal Computers in einer Regierungseinrichtung und in einer Bank sind praktisch identisch. Der kommerzielle Sektor hingegen hat bisher wenig Verständnis für die Bedeutung einer Sicherheits-Policy gezeigt."
Die meisten formalen Zertifizierungen werden durch Regierungsstellen vergeben. Sie greifen bei der Auswertung häufig auf glaubwürdige kommerzielle Einrichtungen zurück. In Deutschland ist das Zertifizierungsorgan das BSI, das Pendant in Großbritannien ist die CESG, in den USA werden Zertifikate durch die NIAP ausgestellt (National Information Assurance Partnership, ein Zusammenschluss der NSA und des NIST). In der Vergangenheit war es so, dass die europäischen und die nordamerikanischen Einrichtungen jeweils ihre ganz eigenen Zertifizierungsstandards festgelegt hatten. Der Europäische Standard ist der ITSEC mit den Zertifizierungsstufen E1 bis E6 (E6 ist dabei die höchste Zertifizierungsstufe). Das nordamerikanische Äquivalent dazu ist der TCSEC, auch unter der Bezeichnung "Orange Book" bekannt, gewichtet von D über C1 und C2 sowie B1 bis B3 zu A1 (mit A1 als höchster Stufe).
Vor einiger Zeit wurde unter dem Namen Common Criteria ein neuer gemeinsamer Standard entwickelt. Die Common Criteria sind international anerkannt und wurden von folgenden Einrichtungen unterschrieben (vgl. KES 4/2000, Seite 42): AISEP (Australien), CSE (Kanada), SCSSI (Frankreich), BSI (Deutschland), NLNCSA (Niederlande), CESG (UK), NIST (USA) und NSA (USA). Die Zertifizierungsstufen reichen von EAL 1 bis EAL 7; EAL 7 (Evaluation Assurance Level) ist die höchstwertige Stufe.
Durch dieses multinationale Zertifizierungsschema ist es wesentlich einfacher, Produkte miteinander zu vergleichen. Schließlich sind sie alle nach einem einheitlichen Schema zertifiziert worden. Ungleich schwieriger ist der Versuch, ein ITSEC-E3-zertifiziertes Produkt mit einem "vergleichbaren" B1-zertifizierten Produkt aus dem Orange Book in Relation zu setzen. Die Common Criteria definieren Anforderungsprofile für verschiedene Produktarten so auch für Internet Firewalls. ITSEC und TCSEC bieten eher allgemeinere Zertifizierungen, die für ausgesprochene Spezialprodukte nicht geeignet sind.
----------Anfang Textkasten----------
Inzwischen gibt es eine Reihe von Produkten, die nach den Common Criteria (CC) Richtlinien zertifiziert wurden. Die folgende Tabelle dokumentiert die mit Stand Oktober 2000 erreichten Firewall-Zertifizikate.
----------Ende Textkasten----------
Von den traditionellen Zertifizierungsschemata unterscheiden sich die Common Criteria durch eine wesentlich vollständigere Definition der Produktfunktionalität. Zusätzlich wird eine detaillierte Dokumentation abgefragt, wie diese Funktionalitäten ein sicheres Operieren ermöglichen. Die Stufe der Dokumentation hängt vom angestrebten Zertifizierungslevel ab. Für EAL4 (diesen Level fordern beispielsweise viele Regierungsorgane von einer Firewall) muss die Zertifizierung folgende Inhalte abdecken:
Diese umfassende Prozedur stellt sicher, dass die zertifizierten Produkte unparteiisch und umfassend analysiert und ihrer Einsatzumgebung entsprechend getestet wurden. Andere Zertifizierungssansätze mögen einen vergleichbaren Zertifizierungslevel, aber keine derart detaillierte Produktanalyse bieten.
Die Common Criteria erfordern zudem eine Aussage über den Zertifizierungsumfang. Die Angabe des "Scope of Certification" stellt sicher, dass künftige Anwender sich über den Umfang der Evaluierung völlig im Klaren sind, insbesondere über die Details von bei der Prüfung ausgelassenen Optionen, Konfigurationen oder Sub-Systemen. Wenn Funktionen, die ein Anwender zu nutzen beabsichtigt, beim Zertifizierungsprozess außer Acht gelassen wurden, so senkt das den Wert des Zertifikates für diesen Benutzer.
Beim Vergleich verschiedener zertifizierter Produkte ist daher der Zertifizierungsumfang mit zu berücksichtigen. Es gibt durchaus Fälle, in denen Firmen gerade diejenigen Features von der Zertifizierung ausgenommen haben, die Anwender durchaus als Wettbewerbsvorteil ansehen könnten. Zu diesen Vorteilen gehören beispielsweise die Verwendung von mehr als zwei Netzwerk-Schnittstellen, die Nutzung der Grafikschnittstelle sowie der Einsatz von Network Address Translation (NAT).
Wer eine formale Zertifizierung als Maßstab für den Sicherheitslevel einer Firewall akzeptiert, sollte auf eine hinreichend vollständige Zertifizierung achten, welche die üblicherweise genutzten Funktionen umfasst.
Bleibt die Frage, welchen Zertifizierungs-Level ein Anwender benötigt und welches Zertifizierungsschema dafür geeignet ist: Zahlreiche Regierungsstellen fordern mittlerweile eine Produktzertifizierung gemäß ITSEC E3 oder Common Criteria EAL 4. Nach übereinstimmender Meinung ist damit ein optimaler Sicherheitslevel für den Schutz von Netzwerken, Systemen und Applikationen durch Firewalls gegeben. Derzeit werden in den meisten Fällen noch beide Standards akzeptiert, es gibt allerdings eine lebhafte Diskussion, bei speziellen Produkten wie Internet Firewalls nur noch Common Criteria EAL 4 Zertifizierung zuzulassen.
Peter Cox ist Vice President der BorderWare Technologies Inc.
Weitere Informationen zu den Common Criteria Zertifizierungen liefern die Websites der Certifications Bodies und Standardisierungs-Organisationen:
| Land | Organisation |
|---|---|
| Australien |  AISEP |
| Deutschland | BSI |
| Frankreich | SCSSI |
| Großbritannien | CESG |
| Großbritannien | UK
ITSec |
| Kanada | CCSE |
| Niederlande | NLNCSA |
| USA | NIAP |
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2000, Seite 71
