Die Common Criteria (CC) [1] sind nicht nur ein Kriterienkatalog für die systematische Evaluation, sondern bieten auch IT-Herstellern und -Anwendern einen Überblick über mögliche Sicherheitsmaßnahmen in IT-Produkten. Die CC beschreiben derzeit gängige Sicherheitsanforderungen, die durch Sicherheitsfunktionen umgesetzt werden sollen. Über Struktur und Gliederung dieser Sicherheitsfunktionen gibt der Leitfaden Auskunft.
Mit dem Leitfaden sollen im Wesentlichen drei Zielgruppen angesprochen werden:
Der Leitfaden präsentiert eine ausführliche Analyse über die gängigsten IT-Sicherheitsanforderungen und -funktionen, wobei theoretische Anforderungen durch praktische Realisierungsvorschläge umgesetzt werden. Die Hersteller von IT-Produkten erhalten damit eine Orientierung und einen Maßstab für die praktische Umsetzung der Sicherheitsanforderungen. IT-Anwender können mithilfe des Leitfadens nachvollziehen, welchen Anforderungen zertifizierte Produkte unterliegen, und daraus Entscheidungen für die Beschaffung von IT-Produkten ableiten. Auch bei hohem Schutzbedarf, wenn die bloße Zusicherung eines Herstellers oder Vertreibers über implementierte Sicherheitsfunktionen nicht als ausreichend angesehen werden kann, informiert der Leitfaden den Anwender über mögliche IT-Sicherheitsfunktionen in Zusammenhang mit den Klassen und Familien der CC. Zur praxisorientierten Anwendung werden IT-Sicherheitsfunktionen in Produktklassen kategorisiert, sodass sowohl Hersteller als auch Anwender konkrete Beispiele für realisierbare technische Maßnahmen auf einfache Weise finden können.
Des Weiteren informiert der Leitfaden über die Zusammenhänge, in denen die IT-Sicherheitsfunktionen stehen. So wird dem Leser zur Information ein Katalog von Bedrohungen zur Hand gegeben. Zusätzlich gibt es Verweise zwischen den Bedrohungen und den zugehörigen Sicherheitsfunktionen. Der Leitfadennutzer kann so feststellen, welche Bedrohungen zu welchen Sicherheitsfunktionen führen und welche Sicherheitsfunktionen gegen welche Bedrohungen wirken.
Die funktionalen Sicherheitsanforderungen erfüllt der Evaluationsgegenstand (EVG) durch seine konkreten Sicherheitsfunktionen. Dies bedeutet, dass jede funktionale Sicherheitsanforderung mindestens eine konkrete Sicherheitsfunktion des Produktes impliziert und andererseits zu jeder Sicherheitsfunktion mindestens eine funktionale Sicherheitsanforderungen existiert. Mithilfe seiner Sicherheitsfunktionen erfüllt der EVG den Sicherheitsbedarf, der sich aus Bedrohungen, organisatorischen Sicherheitspolitiken und Annahmen ergibt. Dieser Zusammenhang wird in den Common Criteria über die Sicherheitsziele hergestellt.
Funktionale Sicherheitsanforderungen beschreiben das vom EVG gewünschte Sicherheitsverhalten, das durch Sicherheitsfunktionen erfüllt werden muss. Im Teil 2 der CC "Funktionale Sicherheitsanforderungen" sind die derzeit nutzbaren IT- Sicherheitsanforderungen sehr vollständig beschrieben. Er bildet die Grundlage für den im Leitfaden präsentierten Überblick über die daraus resultierenden gängigen Sicherheitsfunktionen der untersuchten Produkte. In dem Leitfaden wird eine Statistik präsentiert, in der vorgegebene Sicherheitsanforderungen aus bislang veröffentlichten Sicherheitsvorgaben und Schutzprofilen Verwendung finden. Dadurch werden die zurzeit gängigsten Sicherheitsanforderungen jeder Produktkategorie vorgestellt und den IT-Herstellern auf diese Weise ein Maß zur Orientierung gegeben. Zur besseren Übersicht werden die IT-Produkte in diesem Leitfaden in die folgenden Kategorien eingeteilt: Betriebssysteme, Datenbanken, Datenübertragung, Firewalls, PC-Sicherheit, Public Key und Smartcardsysteme.
Die Sicherheitsfunktionen der verwendeten Sicherheitsvorgaben sind anhand der zugrundeliegenden Sicherheitsanforderungen nach dem Schema der Common Criteria geordnet, wobei das Gliederungsprinzip der Klassen und Familien beibehalten wird. Jeder Sicherheitsanforderung ist mindestens eine Sicherheitsfunktion zugeordnet. Da alle betrachteten Produkte in Kategorien eingeteilt sind, ist es möglich, die konkreten Sicherheitsfunktionen diesen Produktkategorien zuzuordnen. Dies soll vor allem den IT-Herstellern als Maßstab für mögliche Sicherheitsfunktionen in ihren Produkten dienen.
Die Auflistung der Sicherheitsfunktionen zeigt dem Anwender, wie Sicherheitsfunktionen zu den funktionalen Anforderungen der CC in Beziehung gebracht werden können. Durch Gegenüberstellung von Sicherheitsfunktionen verschiedener Produktkategorien erhält der Anwender einen Überblick, wie jeweils die entsprechende Sicherheitsanforderung umgesetzt wird. Aus diesem Überblick kann sich für Hersteller und Anwender ein Synergieeffekt entwickeln, der eine Verbesserung der Qualität von Sicherheitseigenschaften der IT-Produkte ermöglicht.
Die immer weiter wachsende Funktionalität und Komplexität von IT-Produkten birgt den Trend, dass relevante Sicherheitsfunktionalitäten aus geeigneten Produktkategorien in die Entwicklung anderer Produkte mit einfließen. Bei dieser Vorgehensweise bietet der Leitfaden Unterstützung, sodass Hersteller zum Beispiel auf der Grundlage von existierenden Schutzprofilen und Sicherheitsvorgaben die Sicherheit ihrer Produkte verbessern und Anwender immer mehr Produkte finden können, die möglichst genau ihren Sicherheitsbedürfnissen entsprechen.
Im Leitfaden werden die Sicherheitsanforderungen der CC den aus Sicherheitsvorgaben der untersuchten Produkte entnommenen Anforderungen in einer Statistik gegenübergestellt. Zur Übersichtlichkeit ist die Tabelle nach den Klassen der Common Criteria eingeteilt. Die Unterteilung der Produktkategorien erfolgt anhand der Familien des Teil 2 der CC. Aus dieser Statistik lassen sich für Hersteller sowie Benutzer wichtige Informationen ableiten.
Diese Übersicht unterstützt den Benutzer wie auch den Hersteller bei der Umsetzung der Sicherheitsanforderungen. Sie bietet einen Überblick über häufig verwendete Sicherheitsanforderungen in der betrachteten Produktkategorie, ermöglicht aber auch eine Information über Sicherheitsanforderungen, die in anderen Produktkategorien Verwendung finden.
Eine Häufung zeigt, dass sich diese Sicherheitsanforderung in diesem Zusammenhang als wichtig erwiesen hat, ein Fehlen hingegen, dass diese Sicherheitsanforderung nicht in die Funktionalität der Produktkategorie mit einfließt oder von anderen Systemkomponenten übernommen wird. Weiterhin existieren Sicherheitsanforderungen, die nur aufgrund der speziellen Funktionalität bestimmter Produkte benötigt werden.
Der IT-Hersteller und -Anwender erhält einen Maßstab für die notwendigen Sicherheitsmaßnahmen eines Produktes, indem er aus der Statistik der gängigen Sicherheitsanforderungen diejenigen Sicherheitsanforderungen heraussucht, die das Produkt erfüllen kann oder soll. Oft stellt sich die Frage, mit welchen Sicherheitsfunktionen die notwendigen Sicherheitsanforderungen erfüllt werden können. Dem Leser bietet sich in der elektronischen Version des Leitfadens die Möglichkeit per Hyperlink in den Katalog der Sicherheitsfunktionen zu springen und auf diejenigen Sicherheitsfunktionen verwiesen zu werden, die die Sicherheitsanforderungen erfüllen können. Der Aufbau des Leitfadens ermöglicht es, tabellarisch den Rückschluss auf die auslösende Bedrohung zu ziehen und die Abhängigkeiten der einzelnen Sicherheitsfunktionen zu verfolgen. Die konkreten Beispiele, die je nach Interessengebiet mit minimalem Aufwand über alle Sicherheitsaspekte (von den Bedrohungen zu den Sicherheitsfunktionen) hinweg verfolgt werden können, sind schnell zu finden und leicht nachzuvollziehen.
Am Anfang jeder Entwicklung, das heißt mit der Spezifikation der Produktidee sollte die Frage gestellt werden, ob und gegebenenfalls nach welcher Vertrauenswürdigkeitsstufe das Produkt zertifiziert werden soll. Die Auswahl der Vertrauenswürdigkeitsstufe ist eine wichtige Grundlage für die Evaluation, sie beeinflusst den Evaluationsumfang und die aufzuwendenden finanziellen und personellen Mittel. Im Leitfaden werden formale Aspekte für die Auswahl der Vertrauenswürdigkeitsstufe diskutiert. Zusätzlich werden, auf der Grundlage von abgeschlossenen Evaluationen, produktbezogene Statistiken gezeigt, die die Auswahl der Vertrauenswürdigkeitsstufe erleichtern können.
Die Auswahl der Vertrauenswürdigkeitsstufe beruht im Wesentlichen auf dem geplanten Verwendungszweck des Produktes. Dabei müssen unterschiedliche Aspekte berücksichtigt werden, die sich gegenseitig beeinflussen. Der im Allgemeinen wichtigste Aspekt ist das Maß an Vertrauenswürdigkeit in die vom Hersteller angegebene Funktionalität. In engem Zusammenhang dazu steht die unabhängige Bestätigung der Qualität des Produktes. Ferner können Anforderungen aus rechtlichen oder organisatorischen Gegebenheiten die Auswahl einer Vertrauenswürdigkeitsstufe bestimmen. Ein Beispiel hierfür sind spezielle Anforderungen der Signaturgesetzgebung. So ist beispielsweise beim Schlüsselmanagement vom Gesetzgeber eine Mindest-Vertrauenswürdigkeitsstufe vorgegeben, die zur Erlangung eines Zertifikates nicht unterschritten werden darf. Ein anders Beispiel ist die technische Spezifikation der kassenärztlichen Bundesvereinigung (KBV), die Anforderungen an die Vertrauenswürdigkeit von Chipkartenlesegeräten definiert. Weiterhin kann eine Evaluation als externe Maßnahme zur Qualitätssicherung beziehungsweise zum Qualitätsmanagement benutzt werden. Bei höheren Evaluationsstufen werden diesbezügliche Prozesse in der Entwicklungsumgebung analysiert und können gegebenenfalls verbessert werden.
Die Statistik im Leitfaden zeigt, dass zum Beispiel von 35 evaluierten Betriebssystemen insgesamt 22 nach der Vertrauenswürdigkeitsstufe EAL4 zertifiziert worden sind. Ein Antragsteller, der vor die Frage gestellt wird, nach welcher Vertrauenswürdigkeitsstufe sein Betriebssystem zu evaluieren ist, erhält damit eine Vorstellung über die evaluierten Konkurrenzprodukte. Der Antragsteller kann sich zum Beispiel überlegen, dass er mit der Vertrauenswürdigkeitsstufe EAL3 bei einem Betriebssystem keinen überaus großen Werbeeffekt erzielt. Andererseits kann er dadurch, dass es bereits zwei nach EAL5 zertifizierte Betriebssysteme gibt, erkennen, dass die Sicherheitsanforderungen, die bei dieser Vertrauenswürdigkeitsstufe an ein Betriebssystem gestellt werden, durchaus auch erfüllbar sind. Natürlich kann die Statistik damit nur einen Anhaltspunkt für die Auswahl der Vertrauenswürdigkeitsstufe geben. Im Rahmen der Vorbereitung der Evaluation kann der Antragsteller Hilfestellung bei der Auswahl der geeigneten Vertrauenswürdigkeitsstufe durch die Prüfstelle oder Zertifizierungsstelle bekommen.
Es ist offensichtlich, dass die erforderlichen Dokumentationen
des zu evaluierenden Produktes von der Art des Produktes und
insbesondere von der gewählten Vertrauenswürdigkeitsstufe
abhängig sind. Für die Zusammenstellung der notwendigen
Dokumente gibt es die Möglichkeit einer elektronischen
Unterstützung durch die "CC – Toolbox" [2]. Dieses datenbankgestützte Werkzeug kann
unter ![[externer Link]](../../../../images/link.gif)
www.commoncriteria.org oder cctooolbox.sparta.com kostenfrei
bezogen werden. Analog zu den CC Teil 3 können damit die
Entwickleraktionen und die Liste der für den Nachweis der
Sicherheitsfunktionalität in den Produkten notwendigen
Dokumente erstellt werden.
Der vorliegende Leitfaden kann und will bei einer anstehenden Evaluation die bestehenden Hinweise wie "BSI-Zertifizierung, Hinweise für Hersteller und Vertreiber" [3] sowie "ISO/IEC 15446 Information technology – Security techniques – Guide for the Production of Protection Profiles and Security Targets, Version 0.9 WD 15446 vom 04.01.2000" [4] nicht ersetzen, sondern nur ergänzen. Für die Formulierung von Sicherheitsvorgaben bietet er jedoch eine sinnvolle Unterstützung bei der Auswahl und Zuordnung funktionaler Anforderungen und Funktionen. Aus der (noch) relativ geringen Anzahl von 44 untersuchten Sicherheitsvorgaben folgt, dass dieser Leitfaden nicht als letztgültige Norm für die Auswahl von Sicherheitsanforderungen und -funktionen dienen kann, sondern nur als Orientierungshilfe für Anwender und Hersteller gedacht ist. Ob er diesen Anspruch erfüllt, muss die Praxis zeigen. Es ist sicherlich notwendig, diese Studie in bestimmten Zeitabständen zu aktualisieren und im Hinblick auf weitere Produktkategorien zu ergänzen. Der Leitfaden kann unter www.bsi.bund.de/cc/ bezogen werden.
www.bsi.de/cc/index.htm http://niap.nist.gov/tools/cctool.html,
www.commoncriteria.org/ oder: http://cctooolbox.sparta.com/ www.bsi.bund.de/aufgaben/ii/zert/7138.pdf http://csrc.nist.gov/cc/t4/wg3/27n2449.pdf© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 4/2001, Seite 52
