Management und Wissen

Projektbericht

Sicherheitsarchitektur für E-Business

Von Andreas Fritsch, München

Die BMW Group nutzt bei der Erarbeitung von Sicherheitsarchitekturen für E-Business-Anwendungen eine stark strukturierte Vorgehensweise. Die entwickelte Systematik soll durch Wiederverwendung von Modulen Mehrfacharbeit und somit Kosten sparen. Gleichzeitig liefert dieses Projekt Erfahrungen bei der Anwendung der Common Criteria als Maßstab zur Auswahl von Sicherheitsfunktionen.

In der BMW Group wird eine konzernweite IT-Infrastruktur für E-Business-Anwendungen bereitgestellt. Hierbei sollen Musterarchitekturen abstrakte Vorgaben für die Infrastruktur komplexer IT-Systeme geben. In Musterlösungen werden diese Vorgaben durch Produkte und Technologien konkretisiert.

Der Ansatz bietet qualitativ homogenere Lösungen und trägt durch die Wiederverwendung zur Standardisierung und Kosteneinsparung bei. Musterarchitekturen existieren für die Ebenen Anwendung, System, Server und Netzwerk. Die Sicherheitsaspekte sollen querschnittlich in der Sicherheitsarchitektur abgedeckt werden. Zur Prüfung der Vollständigkeit der Sicherheitsfunktionen wurden die Common Criteria (CC) verwendet. Andere Standards befassen sich entweder rein mit dem Sicherheitsmanagement oder nur mit Teilaspekten.

Die Sicherheitsarchitektur bietet für verschiedene Anwendungsfelder und Einsatzumgebungen standardisierte Vorgaben für die Integration der benötigten Sicherheitskomponenten. Entsprechend wird dem Anwendungsarchitekten für die verschiedenen relevanten Kategorien von Sicherheitskomponenten jeweils eine geeignete Auswahl von Schemata geliefert. Diese ergeben im Zusammenspiel die für das jeweilige Anwendungsfeld geeignete Sicherheitsarchitektur. Architektur-Schemata wurden entworfen für

Da die einzelnen Architekturschemata über Komponenten und Funktionen letztlich auf die bei den Fachstellen erhobenen Sicherheitsanforderungen zurückgehen, soll es künftig im Normalfall nicht mehr nötig sein, dass die Fachstellen eigene Bedrohungs- und Risikoanalysen erarbeiten. Der Anwendungsarchitekt soll stattdessen weitmöglichst die vorgefertigten Architekturen und Lösungen verwenden.

Die Sicherheitsarchitektur befasst sich ausschließlich mit IT-basierten Komponenten der zentralen Infrastruktur. Andere Aspekte wie etwa die Organisation und Anforderungen, die anwendungsseitig umzusetzen sind (z. B. Mandantentrennung), werden nicht adressiert. Die Sicherheitsarchitektur schafft die Voraussetzung für den sicheren Betrieb des Großteils der E-Business-Anwendungen. Für Einsatzumgebungen, die weitergehende Sicherheitsanforderungen haben, sind dedizierte Lösungen erforderlich, die zusätzliche Maßnahmen vorsehen.

Die Sicherheitsarchitektur ist in wesentlichen Teilen anforderungsgetrieben entwickelt worden. Hierzu wurden Anforderungen der Fachstellen aufgenommen und konsolidiert. Hinzu kamen Anforderungen aus einer vorausgehenden Bedrohungsanalyse sowie aus technischen und fachlichen Randbedingungen. In einem weiteren Schritt sind die vorhandenen konkreten Komponenten zu Sicherheitslösungen katalogisiert worden, die die zentrale IT bereits bereitstellt oder zukünftig bereitstellen soll.

Aus den zuvor identifizierten Anforderungen wurden die benötigten Sicherheitsfunktionen abgeleitet und mit dem Common-Criteria-Standard verglichen. Aus den Sicherheitsfunktionen und unter Berücksichtigung der gesammelten konkreten Komponenten wurden in einem weiteren Schritt die abstrakten Komponenten abgeleitet. Abschließend wurden, basierend auf diesen Komponenten, die Architektur-Schemata zu den einzelnen Sicherheitsarchitekturen entworfen.

----------Anfang Textkasten----------

Begriffe

Sicherheitsarchitektur

Die Sicherheitsarchitektur spezifiziert die zur Abdeckung der relevanten Sicherheits(grund)funktionen benötigten (abstrakten) Sicherheitskomponenten und beschreibt deren Struktur und funktionales Zusammenwirken. Im Sinne einer Musterarchitektur erfolgt keine Festlegung auf bestimmte Produkte/Technologien.

Sicherheits(grund)funktion

Eine Sicherheitsfunktion dient zur Erfüllung der Sicherheitsanforderungen eines IT-Systems und beschreibt, was hierfür zu leisten ist. Sicherheitsfunktionen sind in Sicherheitsgrundfunktionen gegliedert (z. B. Vertraulichkeit).

Abstrakte Sicherheitskomponenten

Eine abstrakte Sicherheitskomponente dient zur Abdeckung einer oder mehrerer Sicherheitsfunktionen und beschreibt, wie die Dienstleistung bereitzustellen ist, ohne die Implementierung vorwegzunehmen. Abstrakte Sicherheitskomponenten sind in Form von Metakomponenten gegliedert (z. B. Zugangsschutz).

Konkrete Sicherheitskomponenten

Eine konkrete Sicherheitskomponente dient zur Umsetzung einer oder mehrerer abstrakter Sicherheitskomponenten und beschreibt, womit dies geschieht (Sicherheitsmaßnahmen, -mechanismen oder spezifische Produkte). Die konkreten Sicherheitskomponenten sind anhand der Architekturebenen gegliedert, da sie an logischen/physischen Objekten ansetzen (z. B. Firewall auf Netzwerkebene).

----------Ende Textkasten----------

Modellansatz

Für die Sicherheitsarchitektur wurde ein Modell entworfen, das sowohl zur Strukturierung des Vorgehens bei der Entwicklung der Architektur als auch zur Festlegung der grundlegenden Elemente und Begriffe der Architektur dient. Durch diese Formalisierung wird die Systematik und die Nachvollziehbarkeit der Architektur gewährleistet. Entscheidungen bezüglich einzelner Sicherheitskomponenten lassen sich bis zu den zugrunde liegenden Anforderungen zurückverfolgen.

Abbildung 1 zeigt die einzelnen Elemente des Modells, unterteilt in den Bereich der Musterarchitektur und den Bereich der Musterlösung. Während die Musterarchitektur die grundsätzlichen Vereinbarungen erfasst, erfolgt auf Ebene der Musterlösung die Bindung an konkrete Produkte und die Implementierung.

Den Ausgangspunkt bilden die Sicherheitsanforderungen, die durch Sicherheitsfunktionen abgedeckt werden. Die Sicherheitskomponenten setzen diese Sicherheitsfunktionen schließlich um. Funktionen und Komponenten sind weiter strukturiert: Die Grundfunktionen dienen als Gliederung der Funktionen, die Metakomponenten als Gliederung der abstrakten Komponenten und die Architekturebenen als Gliederung der konkreten Komponenten. Die Sicherheitsarchitekturen setzen auf Ebene der abstrakten Komponenten an.

[GRAFIK]
Abbildung 1: Modell der Sicherheitsarchitektur

Das Modell der Sicherheitsarchitektur basiert auf dem Prinzip, logisch/funktionale Elemente und physisch/reale Elemente zu unterscheiden und miteinander zu koppeln. Mehrere Grundfunktionen lassen sich somit auf dieselbe (abstrakte) Komponente abbilden, beispielsweise Integrität und Authentizität gemeinsam auf die Digitale Signatur. Eine Grundfunktion kann aber auch auf mehrere (abstrakte) Komponenten abgestützt sein, zum Beispiel die Vertraulichkeit auf den Zugangs- und Zugriffsschutz sowie die Verschlüsselung.

Funktionen und Komponenten

Die Sicherheitsfunktionen wurden aus den Sicherheitsanforderungen abgeleitet und anhand der Common Criteria (CC) überprüft. Sie lehnen sich zwar an die CC an, Leitlinie sind aber die spezifischen Anforderungen aus den Geschäftsprozessen. Dies erfordert eine Konkretisierung und Anpassung der oftmals abstrakten Formulierungen der CC, um die Verständlichkeit zu erhöhen und die Sicherheitsanforderungen vollständig abzudecken.

Beim Abgleich der ermittelten Funktionen mit den Common Criteria haben sich einige neue Gesichtspunkte ergeben. So waren einige CC-Funktionsklassen für die Sicherheitsarchitektur nicht anwendbar (FTP – Vertrauenswürdiger Pfad) oder erschienen sinnvoller in Verbindung mit anderen Klassen (EVG – Zugriff zusammengelegt mit Identifikation/Authentisierung; FDP – Schutz der Benutzerdaten aufgeteilt in Autorisierung, Vertraulichkeit und Integrität). Bei manchen CC-Klassen deckten die aufgeführten Funktionen nicht alle Anforderungen der Sicherheitsarchitektur ab. So ist zum Beispiel die Authentizität in der CC-Klasse "FCO – Kommunikation" lediglich auf Übertragungsaspekte beschränkt.

Die Funktionen der Sicherheitsarchitektur betrachten stattdessen durchgängig die Aspekte der Speicherung und Übertragung von Daten. Die Grundfunktionen "Sicherheitsmanagement" und "Schutz der Sicherheitsfunktionen" wurden stark auf die CC abgestützt. Grundsätzlich waren die CC-Funktionen gut geeignet, um die Vollständigkeit der selbst identifizierten Funktionen abzurunden, obwohl sie sehr abstrakt gehalten und zugleich sehr fein-granular sind. Abbildung 2 führt die identifizierten Sicherheitsgrundfunktionen auf und verdeutlicht anhand eines Beispiels die zugehörigen Sicherheitsfunktionen.

[GRAFIK]
Abbildung 2: Grundfunktionen mit Beispiel für Funktionen

Zur Umsetzung der Sicherheitsfunktionen dienen die Komponenten. Die abstrakten Komponenten werden unterschieden in solche, die unmittelbar für bestimmte Systeme und Anwendungen nutzbar sind, und übergreifende Komponenten, die nicht einzeln zuordenbar sind, sondern querschnittlich wirken. Manche Komponenten wirken nur ergänzend zu vorhandenen anderen Komponenten (z. B. wirkt Content Security nicht eigenständig). In Abbildung 3 sind die identifizierten Metakomponenten aufgeführt und anhand eines Beispiels die zugehörigen abstrakten Komponenten illustriert.

[GRAFIK]
Abbildung 3: Metakomponenten mit Beispiel für Komponenten

Architektur-Schemata

in den Schemata, die als Skizzen dargestellt werden, sind die abstrakten Komponenten integriert, die man für ein bestimmtes Anwendungsfeld benötigt. Die einzelnen Architekturschemata sind innerhalb einer Kategorie in der Regel Alternativen, sie ergänzen sich über die verschiedenen Kategorien hinweg und stellen im Zusammenwirken die für ein Anwendungsfeld benötigte Sicherheitsarchitektur dar.

Die BMW Group legt kein durchgängiges Sicherheitsniveau pro Architektur-Schema fest. Vielmehr lassen sich in einer Sicherheitsarchitektur Komponenten unterschiedlicher Sicherheitsniveaus integrieren. Ein einheitliches Niveau pro Architektur wäre unrealistisch, da die beteiligten Anwendungsdaten stets unterschiedliche Erfordernisse haben können.

Die Auswahl der Architektur-Schemata erfolgt aus bestimmten Kategorien auf der Ebene der Metakomponenten. Die einzelnen Kategorien sind in der Reihenfolge so angeordnet, wie der IT-Architekt bezüglich der Sicherheitseigenschaften üblicherweise vorgeht: vom Einstieg über die Netzanbindung zum fundamentalen Zugangs- und Zugriffsschutz und schließlich zu Komponenten, die seltener explizit eingebunden werden:

Netzwerk

Schemata, die die unterschiedlichen vorgesehenen Zugangswege auf Ebene der Netzwerkanbindung zeigen: Dies umfasst Internet, Extranet, VPN und mobile Zugänge.

Zugang/Zugriff

Schemata, die die Einbindung zentraler Komponenten zur Kontrolle des Zugangs und Zugriffs auf Systeme und Anwendungen festlegen: Berücksichtigt sind auch vereinheitlichte Datenquellen für Nutzer und Rechte.

Krypto

Schemata, die Komponenten umfassen, die für die Wahrung der Vertraulichkeit, Integrität und Authentizität sowohl bei der Speicherung als auch bei der Übertragung von Daten eingesetzt werden, sowie die dazu nötige Infrastruktur (PKI).

Audit

Schemata für die zentrale Beweissicherung, die wiederum Schnittstellen zu fast allen anderen Sicherheitskomponenten benötigt: In der Auswertung der Ereignisse ist sie auch aktiv mit den Komponenten zur Intrusion Detection verbunden.

Basis

Hier sind die ergänzenden Komponenten aufgeführt, die in der Regel unmittelbar mit einer anderen Komponente verknüpft sind und nicht selbstständig wirken. Hierzu gehören Ausfallsicherheit, Content Security und System-/Serversicherheit.

Zusammenstellung

Die genannten Architektur-Schemata sind für sich noch keine Sicherheitsarchitekturen: Eine Sicherheitsarchitektur entsteht erst, indem diese Architektur-Schemata passend für ein bestimmtes Anwendungsumfeld zusammengesetzt werden. Hierzu wird dem IT-Architekten eine Auswahlübersicht angeboten, in der er für vorgesehene Anwendungsfelder/Einsatzumgebungen die passende Kombination der Architektur-Schemata findet.

[GRAFIK]
Abbildung 4: Übersicht zu Architektur-Schemata und Beispiel einer Auswahl (Erläuterung siehe Text)

Abbildung 4 zeigt die Kategorien mit allen zugehörigen Architektur-Schemata. Einige Schemata müssen in jedem Fall herangezogen werden. Dies sind für die Kategorie "Zugang/Zugriff" die Access-Infrastruktur und für die Kategorie "Krypto" die Public-Key-Infrastruktur. Hinzu kommen die Schemata der Kategorien "Audit" und "Basis". Beweissicherung, Content-Security und Ausfallsicherheit sind also in jedem Fall mit eingebunden. Das Einsatzbeispiel zeigt (kursiv und mit verbindenden Linien), welche Schemata für einen bestimmten Fall benötigt werden und zusammenwirkend eine Sicherheitsarchitektur ergeben.

Fazit

Der Ansatz zu Sicherheitsarchitekturen wird derzeit bei BMW intensiv weiterverfolgt und ergänzt, zum Beispiel in Richtung übergreifender Rollen/Rechteverwaltung oder bei der Anbindung von Partnern. Das systematische Herangehen vermeidet Defizite und legt den Grundstein für gesamthaft kostengünstigere und gleichwohl sichere Lösungen.

Andreas Fritsch ist Mitarbeiter der Informationssicherheit bei der BMW AG in München.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/4, Seite 56