![[Illustration]](05-2-035-1.jpg)
Common-Criteria-Schutzprofile werden bereits häufig im Lastenheft öffentlicher Ausschreibungen geführt.
Für den IT-Anwender oder -Beschaffer stellt sich immer wieder die Frage, ob die zertifizierte Sicherheitsfunktionalität eines IT-Produktes für ihn passend und die Qualität der Sicherheit der Bedrohungslage und dem Wert seiner zu schützenden Informationen angemessen ist. Notwendig ist hier ein Konzept, durch das die Bedürfnisse und Ziele von IT-Anwendern (oder Anwendergruppen) beziehungsweise von IT-Beschaffern zum Ausdruck gebracht werden können. Eine Lösung bieten die Common-Criteria-Schutzprofile.
Mit Schutzprofilen können Anforderungen an die IT-Sicherheit einer ganzen Kategorie von IT-Produkten oder IT-Systemen definiert werden, ohne dabei auf eine konkrete Implementierung Bezug zu nehmen. Mithilfe der Anforderungen aus den Common Criteria (CC) wird eine Musterlösung auf angemessen abstrakter Ebene beschrieben. Auf diese Weise haben Autoren von Schutzprofilen die Möglichkeit Standards zu setzen, die dann national wie international Anerkennung finden. Auch Behörden und internationale Organisationen können und sollten mithilfe von Schutzprofilen ihre Sicherheitsinteressen und Vorstellungen für bestimmte IT-Anwendungen und Produkttypen in Form eines standardisierten Sicherheitskonzepts zum Ausdruck bringen.
----------Anfang Textkasten----------
Für die Prüfung und Bewertung der Sicherheit von Informationstechnik (IT) wurde zum 1. Dezember 1999 der Internationale Standard ISO/IEC 15408 (Common Criteria, CC) von der Internationalen Standardisierungsorganisation (ISO) veröffentlicht. Diese Kriterien sind einerseits Grundlage für eine systematische Prüfung (Evaluation) der IT-Sicherheit von Produkten, andererseits beschreiben sie das Konzept der Schutzprofile. Durch die Evaluierung und Zertifizierung auf Grundlage der CC wird festgestellt, ob IT-Produkte tatsächlich über angemessene Sicherheitseigenschaften verfügen.
Jeder IT-Hersteller kann für die IT-Sicherheitsfunktionalität seines Produktes ein Zertifikat erwerben und seinen Kunden einen international anerkannten Nachweis der Vertrauenswürdigkeit vorlegen. Ebenso können Schutzprofile zertifiziert und international anerkannt werden.
----------Ende Textkasten----------
Schutzprofile bieten also eine Lösung für Standard-Sicherheitsprobleme einer Produktgruppe. Sie sind zunächst implementierungsunabhängig, können aber durch die daraus ableitbaren Sicherheitsvorgaben auf einen konkreten Evaluationsgegenstand (EVG) zugeschnitten werden. Schutzprofile sind somit eine Verallgemeinerung der Sicherheitsvorgaben gemäß CC und beschreiben ein Sicherheitskonzept. Anforderungen an die Funktionalität sowie an die Vertrauenswürdigkeit werden in Schutzprofilen zusammengefasst und decken eine bestimmte Menge von Sicherheitszielen vollständig ab. Zusätzlich enthalten Schutzprofile einen ausführlichen Erklärungsteil. Schutzprofile sind somit ein auf ein konkretes IT-Sicherheitsproblem zugeschnittenes Paket von IT-Sicherheitskriterien zuzüglich Erklärungen.
Ein wesentliches Merkmal des Schutzprofil-Konzepts der CC besteht darin, dass Schutzprofile nicht von IT-Herstellern, sondern von IT-Anwendern geschrieben werden können und auch sollen. Sie sind damit nicht produkt-, sondern benutzerorientiert. Auf diese Weise haben IT-Anwender die Möglichkeit, ihre Bedürfnisse zur IT-Sicherheit in Form von maßgeschneiderten IT-Sicherheitskonzepten darzulegen und zu definieren. Damit können beispielsweise Wirtschafts- und andere Interessenverbände ihre Vorstellungen und Bedürfnisse bezüglich der Sicherheit bestimmter IT-Produktgruppen (z. B. Firewalls oder Chipkartenanwendungen) in Form von Schutzprofilen ausdrücken, die dann international anerkannt werden können.
Durch die erfolgreiche Evaluierung eines Schutzprofils erhält ein IT-Hersteller die Bestätigung, dass das Schutzprofil ein sinnvolles, im Markt gewünschtes Konzept für ein IT-Sicherheitsprodukt darstellt und sich als Vorgabe zur Entwicklung und Zertifizierung eines entsprechenden Produktes anbietet.
Flexible Schutzprofile bieten aus Anwendersicht den Vorteil, dass der Hersteller hiermit eine Leitlinie an der Hand hat, mit der er Prüfkriterien und eine Evaluierung bereits ganz früh im Entwicklungsprozess systematisch berücksichtigen kann. Vertrauen in die Sicherheit lässt sich nicht im Nachhinein in ein Produkt "hineinprüfen", sondern muss bereits beim Produktdesign berücksichtigt werden. In vielen Fällen kann nur so mit einer Evaluation Vertrauen in die Sicherheitseigenschaften eines IT-Produktes geschaffen werden.
In einem Schutzprofil sind allgemeine IT-Sicherheitseigenschaften, aber auch Grenzen der Benutzung des IT-Produktes aufzuzeigen. Dieses maßgeschneiderte IT-Sicherheitskonzept beschreibt nicht nur die zu schützenden Werte (i. d. R. Informationen) und deren Verarbeitung, sondern erfasst auch die Annahmen an eine typische Einsatzumgebung. Einzuhaltende gesetzliche Auflagen oder vorgeschriebene Sicherheitsstandards finden in dem Sicherheitskonzept eines Schutzprofils ebenso ihren Niederschlag wie alle durch die IT abzuwehrenden Bedrohungen der zu schützenden Informationen. Schwerpunktmäßig werden in einem Schutzprofil folgende Aspekte behandelt:
In diesem Kontext erhält die Spezifikation von Sicherheitszielen einen Sinn. Alle erkannten IT-Sicherheitsziele müssen vollständig erfüllt werden, sei es durch Anforderungen an die Sicherheitsfunktionalität oder an die Vertrauenswürdigkeit.
Den Sicherheitsanforderungen kommt dabei eine besondere Bedeutung zu – schließlich bestimmen sie die Produkteigenschaften. Sie dienen einerseits als Basis für die Spezifikation der Produktfunktionalität und andererseits als Anforderungsliste für die Evaluierung und Zertifizierung mit dem Ziel, die Erfüllung aller Anforderungen zu bestätigen. Aus diesem Grund bieten die CC zwei umfangreiche Kataloge von abgestimmten, evaluierbaren und in sich konsistenten Sicherheitsanforderungen an; je einen Anforderungskatalog zur Funktionalität und einen zur Vertrauenswürdigkeit. Die Forderung nach einem ausführlichen Erläuterungsteil zwingt den Verfasser, eine erste Konsistenz- und Vollständigkeitsanalyse durchzuführen sowie die Angemessenheit aller Anforderungen darzulegen.
Neben den Kriterien zur Evaluierung konkreter IT-Produkte bietet der Teil 3 der CC auch Kriterien für die Evaluierung von Schutzprofilen. Ziel der Evaluierung ist es nachzuweisen, dass das Schutzprofil vollständig, konsistent und technisch stimmig ist und sich zum Gebrauch von Anforderungen an ein zu evaluierendes Produkt eignet. Dabei wird überprüft, ob alle Aspekte des Schutzprofils in sich und untereinander konsistent und sinnvoll sind. Die Nutzung eines evaluierten Schutzprofils als Basis für die Erstellung von Sicherheitsvorgaben für eine konkrete Produkt-Evaluation bietet sich damit an. Es ist dem Antragsteller jedoch freigestellt, seine Sicherheitsvorgaben auf Basis eines Schutzprofils zu entwickeln. Das Schutzprofil ist in jedem Fall noch produkt- oder systemspezifisch anzupassen. Das Ergebnis einer Prüfung und Bewertung (Evaluation) nach den CC wird in Deutschland auch für Schutzprofile mit einem Zertifikat bestätigt.
Das Konzept der Schutzprofile erhöht die Vergleichbarkeit von Produktevaluationen nach den CC ganz erheblich. Ein auf der Basis eines Schutzprofils erfolgreich evaluiertes Produkt setzt Maßstäbe für Qualität und Sicherheit. Bedingt durch das allgemeine Sicherheitskonzept eines Schutzprofils ist für den IT-Anwender somit eine gute Vergleichbarkeit verschiedener Produkte gewährleistet, die auf Basis ein und desselben Schutzprofils entwickelt und evaluiert worden sind. Beschaffer von Informationstechnik können sich diese Möglichkeiten zunutze machen. Sie können beispielsweise bei Ausschreibungen die Konformität zu einem bestimmten Schutzprofil im Lastenheft verlangen. Dies ist in machen Bereichen bereits gängige Praxis wie zum Beispiel bei der Abfallentsorgung sowie bei der digitalen Signatur.
Common-Criteria-Schutzprofile werden bereits häufig im Lastenheft öffentlicher Ausschreibungen geführt.
Durch die internationale Registrierung und Veröffentlichung soll die Qualität und die weltweite Anerkennung von Schutzprofilen gewährleistet bleiben. Die am CC-Projekt beteiligten Organisationen bieten auf ihren Websites verschiedene Listen von Schutzprofilen und Hinweise zum allgemeinen Themenkomplex an (Adressen s. u.). Bis heute sind eine ganze Reihe von Schutzprofilen bei den verschiedenen internationalen Zertifizierungsstellen registriert. In Deutschland und Frankreich betrifft ein Großteil dieser Profile Smartcard-ICs und Smartcard-Betriebssysteme sowie Applikationen. Weitere Schutzprofile aus den Bereichen Firewall, Betriebssysteme, Datenbanksysteme, biometrische Verfahren und Signaturkomponenten wurden bereits registriert beziehungsweise befinden sich in der Entwicklung.
Im Folgenden werden einige Schutzprofile vorgestellt, die beim BSI zertifiziert worden sind beziehungsweise sich zurzeit noch in der Evaluierung befinden. Weitere Schutzprofile wie zum Beispiel zum elektronischen Personalausweis, zu Wahlen in elektronischen Netzen oder zu Videoüberwachungsanlagen (z. B. auf öffentlichen Plätzen) befinden sich noch in der Entwicklung.
Dieses Schutzprofil wurde durch die Smartcard-IC-Hersteller Atmel, Hitachi Europe, Infineon Technologies und Philips Semiconductors entwickelt. Es umfasst einerseits die Sicherheitsanforderungen an den IC selbst und unterstützt andererseits auch Ansätze zur Modularität und Wiederverwendung von Evaluierungsaufwänden, um den Zertifizierungsprozess für alle Beteiligten kosteneffizienter zu gestalten. Zur Spezifizierung zusätzlicher Sicherheitsanforderungen in den Sicherheitsvorgaben können die in einem gesonderten so genannten Augmentation Paper zur Verfügung gestellten Bausteine verwendet werden. Dies ist im Konzept des Schutzprofils bereits vorgesehen.
Die Evaluierung eines Smartcard-ICs – basierend auf diesem Schutzprofil – ist unabhängig von der Evaluierung der Smartcard Embedded Software. Der Hersteller der Software entscheidet selbst, ob die Plattform (evaluierter Smartcard-IC) für die Anwendung geeignet ist. Die Evaluierung einer Smartcard kann auf den Evaluationsergebnissen des Smartcard-ICs (konform mit diesem Schutzprofil) aufbauen.
Dieses Schutzprofil definiert die Sicherheitsanforderungen für die Übertragung und Speicherung der aufgezeichneten Leerungsdaten bei der Identifikation und Leerung von Abfallgefäßen. Aufgabe von Systemen dieser Art ist es zu zählen, wie oft die Behälter geleert worden sind, um auf diese Weise eine verursacherbezogene Abrechnung der Abfallgebühren zu ermöglichen. In Zukunft sind auch andere Verfahren denkbar und mit dem System einsetzbar (z. B. Wiegeverfahren). Die Entwicklung dieses Schutzprofils wurde vom Deutschen Städte- und Gemeindebund unterstützt und dient Städten und Kommunen bei Ausschreibungen entsprechender Abfallgefäßidentifikationssysteme als Teil des Lastenhefts. Solche, auf Basis dieses Schutzprofils zertifizierten Systeme werden bereits heute in der Praxis eingesetzt.
Dieses Schutzprofil wurde in Zusammenarbeit mit dem Bundesbeauftragen für den Datenschutz (BfD) entwickelt. Es spezifiziert Anforderungen an IT-Produkte, die Informationsflüsse eines IT-Systems für Benutzer transparent schützen. Hierzu kontrolliert das Produkt die Zulässigkeit eines Informationsflusses gemäß selbstdefinierbarer Informationsflussregeln. Die Sicherheitsleistung unterstützt insbesondere IT-Anwender mit geringer IT-Fachkompetenz in der Durchsetzung des Schutzes von Informationen, die einem Sicherheitsbedarf in Bezug auf die Aspekte Vertraulichkeit, Integrität oder Authentizität unterliegen. Die Sicherheitsleistung stellt eine sinnvolle Ergänzung zu etablierten Sicherheitskonzepten wie etwa Zugriffsschutz, Übertragungsschutz, Firewalls oder Virtual Private Networks dar. Anwendungsmöglichkeiten des EVG ergeben sich in den Bereichen:
Die Schutzprofile "Secure Signature-Creation Device (SSCD), Type 1", "SSCD Type 2", "SSCD Type 3" spezifizieren konform zu Annex III der Richtlinie 1999/93/ec des europäischen Parlaments und des Rates Anforderungen an technische Komponenten zur Erstellung qualifizierter digitaler Signaturen. Komponenten konform zu SSCD Type 1 dienen der Erzeugung von Signaturschlüsseln und Signaturprüfschlüsseln, Komponenten konform zu SSCD Type 2 dienen der sicheren Speicherung eines Signaturschlüssels und der Erstellung digitaler Signaturen. SSCD Type 3 stellen die Kombination von SSCD Type 1 und SSCD Type 2 in einer technischen Komponente dar.
Dieses Schutzprofil definiert Anforderungen an die Funktionalität und die Vertrauenswürdigkeit von IT-Systemen, die eine biometrische Verifikation verlangen. Die wesentliche Aufgabe des Verifikationsmechanismus ist es, die vorgebliche ((vorgegebene)) Identität eines menschlichen Benutzers auf Basis charakteristischer Körpermerkmale zu bestätigen oder abzulehnen. Das Schutzprofil ist dabei für verschiedenste biometrische Verifikationsmechanismen anwendbar, unabhängig von der verwendeten biometrischen Charakteristik. In den Fällen, in denen eine spezielle biometrische Charakteristik berücksichtigt werden muss, wird das Erkennen von Fingerabdrücken gewählt. Andere biometrische Verfahren werden in den Anwendungshinweisen erläutert. Anwendung finden kann dieses Schutzprofil beispielsweise bei Geräten zur Grenzkontrolle oder überall dort, wo sich Personen über biometrische Merkmale authentifizieren müssen.
Umfang, Inhalt sowie die Evaluierung eines Schutzprofils sind in den Common Criteria beschrieben und unabhängig von der gewählten Vertrauenswürdigkeitsstufe (EAL-Stufe) des beschriebenen EVG. Dies bedeutet, dass für das Schreiben sowie für das Evaluieren eines Schutzprofils mit niedriger EAL-Stufe derselbe hohe Aufwand betrieben werden muss, wie er für eine hohe EAL-Stufe notwendig ist. Oftmals ist dies ein Missverhältnis, welches aber durch ein neues vereinfachtes Konzept für EAL1-Schutzprofile relativiert wird. Anforderungen an EAL1-Schutzprofile (und Sicherheitsvorgaben) werden eingeschränkt, es wird zum Beispiel auf Erklärungsteile verzichtet. Aufwand und Umfang für EAL1-Schutzprofile verringern sich somit erheblich. Dieses Konzept findet seinen Niederschlag in den Common Criteria ab der Version 2.4 aufwärts und wird bereits erfolgreich angewendet. Beim BSI sind auf dieser Basis die folgenden vier Schutzprofile entwickelt worden; sie werden zum Teil bereits bei der Produktzertifzierung verwendet.
Dieses Schutzprofil beschreibt einen VPN-Gateway, das für ein Virtual Private Netzwerk verwendet wird. Damit kann zum Beispiel ein Benutzer, der sich fernautorisiert hat, auf das lokale Netzwerk zugreifen. Diese Verbindung wird durch einen so genannten VPN-Tunnel zwischen dem VPN-Gateway auf Netzwerkseite und einem VPN-Client auf Seiten des fernautorisierten Nutzers hergestellt. Ebenso können zwei Netzwerke mit zwei VPN-Gateways verbunden werden. Der VPN-Informationsfluss findet dabei auf Basis einer öffentlichen Netzinfrastruktur statt. Das VPN verwendet kryptographische Protokolle, um die notwendige Vertraulichkeit zu garantieren, um Sender-Authentifizierung sowie die Integrität des Informationsflusses und die beabsichtigte Abschottung zu erzielen.
Dieses Schutzprofil beschreibt eine softwarebasierte Firewall, wie sie typischerweise für den Zugang zum Internet von einem privaten PC in häuslicher Umgebung verwendet werden kann. Der EVG kann dabei als Anwendung (Applikation) oder als Teil des Betriebssystems oder aber auch auf beide Arten verstanden werden. Der EVG wird verwendet, um den Informationsfluss aus dem und zum Netzwerk zu regulieren. Dabei wird der Informationsfluss abgefangen und es werden eine Reihe von Regeln angewendet, die definieren, unter welchen Bedingungen der Informationsfluss entweder erlaubt oder verboten ist.
Der EVG dieses Schutzprofils ist eine Infrastruktur, die es ermöglicht über das Internet zu telefonieren (Voice over IP, VoIP). Dabei geht es darum, Telefonie und andere Dienste über ein bereits existierendes IP-Netzwerk durchzuführen (Internet). Auf diese Weise können Telefonie und andere Dienste miteinander verbunden werden und es kann auf eine separate Telefoninfrastruktur verzichtet werden. IP-Telefonie ermöglicht Verbindungen zwischen IP-Telefoneinheiten untereinander sowie zwischen IP-Telefoneinheiten und traditionellen Telefonen.
Der EVG dieses Schutzprofils ist ein Fotokopierer, wie er in einer typischen Büroumgebung eingesetzt wird. Dabei wird das zu kopierende Schriftstück eingescannt und zwischengespeichert. Von dieser elektronischen Kopie kann das Schriftstück dann beliebig reproduziert werden. Wichtig ist nun, dass der EVG nach Beendigung des Kopiervorgangs beispielsweise im Zwischenspeicher keine von Angreifern nutzbaren Informationen des kopierten Schriftstücks enthält. Des Weiteren darf der EVG solche Informationen nicht auf andere Art und Weise nach außen geben können (z. B. bei Vernetzung), es sei denn über einen Ausdruck auf Verlangen des Benutzers.
Weitere Informationen zu Schutzprofilen sind unter anderem beim BSI (![[externer Link]](../../../../images/link.gif)
www.bsi.bund.de/zertifiz/) sowie unter der Adresse des internationalen CC-Projektes abrufbar ( www.commoncriteriaportal.org)
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#2, Seite 35
| 