D21 ist eine Initiative der deutschen Wirtschaft mit der Zielsetzung, den Wandel von der Industrie- zur Informationsgesellschaft in Deutschland zu beschleunigen. Dadurch sollen der aktuelle Rückstand Deutschlands im Vergleich zu anderen Ländern aufgeholt und die Chancen der Informationsgesellschaft bezüglich Wettbewerbsfähigkeit, Wachstum und Beschäftigung besser genutzt werden. Die Initiative D21 hat in der Arbeitsgruppe 1 "Ordnungsrahmen und Verbreiterung des Zugangs zum Internet" Qualitätskriterien für Internet-Angebote entwickelt, die als Maßstab für die Anbieter von Gütesiegeln dienen sollen. Um dem Aspekt der IT-Sicherheitsfragen zusätzlich Rechnung zu tragen, ist von der Arbeitsgruppe 5 "Sicherheit und Vertrauen im Internet" das Projekt "IT-Sicherheitskriterien und IT-Grundschutz-Zertifikat/Qualifizierung" initiiert worden. Zielsetzung des Projekts war im ersten Schritt die Erarbeitung eines Leitfadens zu den bekannten IT-Sicherheitskriterien, das nicht nur Hilfe zur Selbsthilfe geben soll, sondern aus dem sich auch ein Standard-Sicherheitsniveau für Dienstleistungen im Internet ableiten lässt. Die Autoren dieses Artikels haben das Projekt geleitet.
Das traditionelle Verfahren zur Erarbeitung von Sicherheits- und Schutzkonzepten für Produkte oder Gesamtsysteme ist die umfassende Risikoanalyse mit anschließender Auswahl individueller, speziell auf den vorliegenden Anwendungsfall abgestimmter Sicherheitsmaßnahmen oder -mechanismen. Sicherheitsverantwortliche sehen sich dabei jedoch vielfach mit zwei verwandten Problemfeldern konfrontiert:
Ähnliche Probleme ergeben sich oft bei der Revision oder dem Transparentmachen von IT-Sicherheit. Um den erforderlichen Gesamtaufwand für IT-Sicherheit zu minimieren, wird daher in der Praxis meist auf Standard-Kriterienwerke zurückgegriffen, die den Sicherheitsverantwortlichen in methodischer oder inhaltlicher Hinsicht unterstützen. Sowohl für Produkte als auch für Gesamtlösungen haben sich nebeneinander unterschiedliche Kriterienwerke im Themenbereich IT-Sicherheit etabliert. Diese IT-Sicherheitskriterien überlappen sich teilweise inhaltlich, setzen jedoch unterschiedliche Schwerpunkte und richten sich an verschiedene Zielgruppen.
Für Unternehmen ergeben sich dadurch unter anderem die folgenden Fragestellungen:
Der Leitfaden "IT-Sicherheitskriterien im Vergleich" soll als Hilfsmittel bei der Beantwortung dieser Fragen in konkreten Anwendungsfällen dienen. Hierzu werden in Form einer Gegenüberstellung einige gängige Kriterienwerke im Themenumfeld IT-Sicherheit betrachtet, beispielsweise das IT-Grundschutzhandbuch des BSI, ISO 9000, ISO/IEC 17799, Common Criteria und CobiT. Diese Gegenüberstellung erfolgt anhand verschiedener Teilaspekte, zum Beispiel den angesprochenen Zielgruppen, der Vorgehensweise bei der Anwendung des jeweiligen Kriterienwerks, des Sicherheitsniveaus und der Vollständigkeit sowie Aufwand und Kosten bei der Umsetzung. Darüber hinaus werden die Kriterienwerke dahingehend bewertet, ob sie
Als zusätzliche Hilfe bei der Entscheidung, auf welche Kriterienwerke im konkreten Fall zurückgegriffen werden soll, wird anhand einiger Szenarien dargestellt, wie zwei oder auch mehrere dieser Werke in sinnvoller Weise kombiniert werden können. Dies ist in der Praxis in den meisten Fällen erforderlich, da keines der vorgestellten Kriterienwerke alle produkt- und systembezogenen Sicherheitsaspekte abdeckt. Behandelt werden jeweils nur Teilaspekte des Problems, eine vorliegende Gesamtlösung angemessen vor den relevanten Bedrohungen zu schützen. Eine besondere Bedeutung kommt neben dem IT-Grundschutz den Common Criteria zu, da die mit den Common Criteria eingeführten Schutzprofile (Protection Profiles) als Brücke zwischen den hersteller- und den anwenderseitigen IT-Sicherheitsaspekten bezeichnet werden können. Mithilfe von Schutzprofilen können Anwender präzise Anforderungen an die Sicherheitseigenschaften und -funktionen von Produkten formulieren. Im Gegenzug können Hersteller spezifizieren, welche Schutzprofile ein bestimmtes Produkt abdeckt, und diese Aussage auch durch ein Zertifikat bestätigen lassen. Darüber hinaus ist es in der Praxis in vielen Fällen zweckmäßig, die Kriterienwerke der IT-Sicherheit synergetisch zu nutzen.
Vielfach angewandt wird beispielsweise eine Kombination aus IT-Grundschutz und punktuellem Einsatz der Common Criteria. Dabei wird durch Anwendung der im IT-Grundschutzhandbuch aufgeführten Standard-Sicherheitsmaßnahmen eine grundlegende Absicherung des Gesamtsystems vorgenommen. Dies umfasst sowohl das IT-Sicherheitsmanagement als auch technische Maßnahmen auf Komponentenebene. Bei der Schutzbedarfsfeststellung oder einer vergleichbaren Sicherheitsanalyse zeigt sich jedoch meist, dass an einigen Stellen besonderer Sicherheitsbedarf oder Sicherheitsanforderungen bestehen, denen mit dem IT-Grundschutzhandbuch allein nicht ausreichend Rechnung getragen werden kann. An diesen Stellen können Schutzprofile verwendet werden, um die Sicherheitsanforderungen zu formulieren und geeignete – wenn möglich entsprechend zertifizierte – Produkte auszuwählen, die die benötigten Sicherheitsfunktionen zur Verfügung stellen. Auf diese Weise kann durch kombinierte Anwendung des IT-Grundschutzhandbuchs und der Common Criteria ein angemessenes IT-Sicherheitsniveau erreicht werden.
Die Norm ISO 17799 beschäftigt sich mit dem Management von Informationssicherheit und bietet einen prozessorientierten Zugang. Wesentlicher Inhalt ist ein Katalog mit generischen Maßnahmen im Sinne des "Best Practice"-Ansatzes. Um eine Gesamtlösung gegen die relevanten Bedrohungen abzusichern, müssen diese generischen Maßnahmen durch konkrete – auch technische – Handlungsanweisungen und Sicherheitsmaßnahmen in die Praxis umgesetzt werden. Hierzu bietet sich das IT-Grundschutzhandbuch als Hilfsmittel an. Das IT-Grundschutzhandbuch enthält Kataloge mit detaillierten Empfehlungen aus den Bereichen Organisation, Personal, Infrastruktur und Technik. Durch die Kombination von ISO 17799 und IT-Grundschutz ergibt sich somit eine Vorgehensweise, die strikt zwischen der Steuerung von IT-Sicherheit und der praktischen Umsetzung trennt. Auch in diesem Szenario kann für Teilbereiche, in denen spezielle Sicherheitsanforderungen bestehen, auf die Common Criteria oder Schutzprofile zurückgegriffen werden.
Die beiden beschriebenen Szenarien sind lediglich als Beispiele für sinnvolle Kombinationen von Kriterienwerken zu verstehen. In konkreten Anwendungsfällen können auch andere Vorgehensweisen angebracht sein.
Der Leitfaden "IT-Sicherheitskriterien im Vergleich" wendet sich als Hilfe zur Selbsthilfe an die Zielgruppe der IT-Anwender, -Hersteller und -Dienstleister. Daher ist der Leitfaden für jedermann auf der Website der Initiative D21 abrufbar.
Darüber hinaus wird er an Interessenten in Wirtschaft und Verwaltung verteilt. Die Reaktionen in Form von Kommentaren und Anmerkungen sollen in der Weiterentwicklung des Leitfadens Berücksichtigung finden. Hierfür wurde beim BSI die E-Mail-Adresse D21Idee@bsi.bund.de eingerichtet.
Aufgrund der Bewertung der Kriterienwerke zeigt sich, dass kein IT-Sicherheitskriterienwerk in der Praxis die beiden Ebenen Produkt- und Systemsicherheit hinreichend abdeckt. Durch Kombination von Kriterienwerken lassen sich Sicherheitsanforderungen auf System- und Produktebene definieren. Es wird angestrebt, gemeinsam mit den Dienstleistern im Bereich Internet-Sicherheit auf der Basis des IT-Grundschutzes und der Common Criteria so genannte Schutzprofile zu entwickeln. Die Implementierung eines solchen Verfahrens über Gütesiegel für IT-Sicherheit lässt das Sicherheitsniveau im Internet transparenter werden und erhöht so das Vertrauen auf Verbraucherseite.
Nach erfolgreicher Umsetzung des IT-Grundschutz-Handbuches stellt sich für viele Institutionen die Frage, wie das Erreichen eines Sicherheitsniveaus nach außen sichtbar gemacht werden kann. Dazu führt das BSI die Qualifizierung nach IT-Grundschutz ein. Konkret bedeutet dies, dass das BSI nach einem vorgegebenen Qualifizierungsprozess ein IT-Grundschutz-Zertifikat vergeben kann. Das BSI strebt an, bis Frühjahr 2002 das Qualifizierungs- und Zertifizierungsschema für den IT-Grundschutz abzuschließen, sodass ab diesem Zeitpunkt die ersten Zertifizierungsanträge gestellt werden können.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2002, Seite 68