TCSEC / CCITSE

Aufgrund der zunehmenden Abhaengigkeit heutiger Unternehmen von der Funktionsfaehigkeit der Systeme werden damit in Zusammenhang stehende Sicherheitsaspekte zu einem immer wichtigeren Faktor mit groszer wirtschaftlicher Bedeutung.
Um die Sicherheit von Informationssystemen objektiv und nach einheitlichen Kriterien beurteilen zu koennen, wurden daher nationale bzw. internationale Richtlinien geschaffen. Der erste Klassifikationskatalog war das Orange Book (TCSEC - NCSC Trusted Computer System Evaluation Criteria) und wurde vom amerikanischen Verteidigungsministerium herausgegeben. Darin werden IT - Systeme in sieben Sicherheitsstufen geordnet und nach den vier Klasse A, B, C und D eingeteilt. Systeme der Klasse D besitzen den geringsten Sicherheitsstandard, Systeme der Klasse A1 den hoechsten (D < C1 < C2 < B1 < B2 < B3 < A1).

Der fuer Europa relevante Klassifikationskatalog ist das 1996 veroeffentlichte Dokument "Common Criteria for Information Technology Security Evaluation (CCITSE)". Urspruenglich als Harmonisierung der nationalen Richlinien von Frankreich, Deutschland, den Niederlanden und Groszbritannien angelegt, ist es mittlerweile im gesamten EG - Raum als einheitliche Klassifikationsrichtlinie anerkann.

Uebersicht ueber die wichtigsten Standards und Richtlinien fuer IT-Sicherheit

1983
* "Orange Book" Department of Defense (DoD) Trusted Computer System Evaluation (TCSEC)
1987
* "Red Book" Trusted Network Interpretation of the Trusted System Evaluation Criteria (TNI)
1988
* Security Architecture ISO 7498/2
1989
* IT-Kriterienkatalog fuer Sicherheit (ZSI: Zentralstellt fuer Sicherheit in der Informationstechnik)
1991
* ITSEC 1.2 (Information Technology Security Evaluation Criteria).
1994
* OSF (Open Software Foundation) DCE 1.1 (Distributed Computer Enviroment)
1996
* Common Criteria for Information Technology Security Evaluation

Das Orange Book (TCSEC)

Im 1983 veroeffentlichtem Orange Book (1995 durch das Red Book erweitert) erfolgt die Klassifizierung von IT - Systemen nach einer Reihe von detailliert beschriebenen Kriterien in die sieben Sicherheitsklasse D, C1, C2, C3, B1, B2, B3 und A1.

Klasse - D - Systeme

Systeme, die nicht die Anforderungen erfuellen in einer der Sicherheitsklassen C1 bis A1 eingereiht zu werden, werden als Klasse - D - Systeme bezeichnet und stellen den geringsten Sicherheitsstandard dar.

Klasse - C - Systeme

Die Kriterien fuer die Sicherheitsklasse C erfordern das Vorhandensein von benutzerbestimmbaren Zugangsbeschraenkungen. Damit sind Systeme gemeint, bei denen vom Benutzer die Rechte fuer den Systemzugang bestimmt werden koennen.
Klasse - C1- Systeme
C1 - Systeme sind fuer Benutzergruppen geeignet, die sich alle auf dem selben Sicherheitsniveau befinden. Es wird lediglich die Trennung zwischen Benutzern und Daten gefordert. Die meisten UN*X - Systeme erfuellen die Anforderungen von C1 - Systemen.
Klasse - C2 - Systeme
Fuer C2 - Systeme muessen die benutzerbestimmbaren Beschraenkungen so realisiert sein, dasz die Operationen der einzelnen Benutzer ueberwacht und gespeichert werden koennen. Die einzelnen Benutzer muessen individuell identifizierbar und die Ueberwachungsdaten vor nicht autorisierten Zugriffen geschuetzt sein.
Folgende Operationen muessen ueberwacht werden koennen:
  * Benutzung des Authentifikationsmechanismus
  * Loeschung von Objekten
  * die Eroeffnung von neuen Objekten durch den Benutzer.

Klasse - B - Systeme

Die Klasse - B - Systeme fordern hinausgehen ueber die Klasse - C - Systemvoraussetzungen die Implementation von festgelegten, regelbasierenden Schutzmechanismen. Fuer Benutzer dieser Systeme ist es nicht mehr moeglich, in irgendeiner Form Rechte zu vergeben. Dies ist ausschlieszlich dem Systemadministrator vorbehalten und erfolgt nach definierten Regeln. Diese Regeln basieren auf der Klassifikation der jeweiligen Informationen in:
  * nicht vertraulich,
  * vertraulich,
  * geheim und
  * streng geheim.
Jedem Objekt ist ueber eine Markierung einer der genannten Geheimhaltungsgrade zugeordnet. Ob ein Benutzer berechtigt ist, auf ein Objekt zuzugreife, wird durch einen Vergleich von Benutzerberechtigung und dem Geheimhaltungsgrag des Objectes festgelegt.
Klasse - B1 - Systeme
B1 - Systeme haben demnach folgende Kriterien zu erfuellen:
  * verbindliche Zugangskontrollen,
  * Markierung aller Objekte durch Geheimhaltungsstufen,
  * alle bekannten Moeglichkeiten in das System einzubrechen muessen beseitigt sein,
  * eine formelle oder informelle Beschreibung des Sicherheitsmodells musz verfuegbar sein,
  * Ausdrucke von vertraulichen Daten muessen sichtbar als solche gekennzeichnet sein,
  * eine vollstaendige Dokumentation der Funktionen und Aufgabe des Systemverwalters musz verfuegbar sein.
Die Sicherheitsklasse B1 kann mit erheblichen Anstrengungen (vor allem im Bereich der Dokumentation) von UN*X - Systemen noch erreicht werden. Eine Reiche von Herstellern bieten spezielle Versionen ihrer Betriebssysteme an, die B1 - Konform sind:
  * Armdahl Corporation UTS/MLS,
  * Digital Equiqment Corporation SEVMS VAX,
  * Digital Equiqment Corporation ULTRIX MLS+,
  * Harris Computer Systems Corporation CX/SX,
  * Hewlett Packard Corporation HP-UX,
  * Silicon Graphics Inc. Trusted IRIX,
  * Unisys corporation OS 1100/2200.
Klasse - B2 - Systeme
B2 - Systeme verschaerfen die Sicherheitskriterien weiter und fordern ueber die B1 - Klassifizierung hinausgehend:
  * Verbindliche Zugangskontrollen zu allen direkt und indirekt vom System erreichbaren Komponenten
  * Der Kommuniktationspfad zwischen User und System musz gesichert und vertrauenswuerdig sein
  * Das System musz gegen elektromagnetische Abstrahlung nach aussen abgeschrirmt sein
  * Operator und Systemverwaltungsfunktioenen muessen getrennt sein. Die Aufgaben des Operators sind die Durchfuehrung von Routine - Taetigkeiten wie Systemstarte, Sicherungskopien oder Wartungsarbeiten. Der Systemverwalter hat die Berechtigung, neue Benutzerzugaenge einzurichten und Sicherheitskontrollen durchzufuehren.
  * Alle Einrichtungen muessen mit ihrer minimalen und maximalen Geheimhaltungsstufe markiert sein
  * Eine formelle Beschreibung des Sicherheitsmodells musz vorliegen.
Das einzige nach B2 zertifizierte Betriebssystem ist XENIX 3.0 von Trusted Information Systems Inc.
Klasse - B3 - Systeme
B3 konforme Systeme muessen in der Regel von Grund auf als solche konzipiert und entwickelt werden. Ein UN*X - basierendes, B3-konformes System wuerde eine vollstaendige Neugestaltung des Kernels erfordern. Zu Testzwecken muessen alle nicht mit Sicherheitsfunktionen in Verbindung stehenden Softwarekomponentet entfernt werden koennen. Neben den B2 - Anforderungen muessen insbesondere:
  * die Zugrifflisten æuch Eintraege der nicht zugriffsberechtigen Benutzer enthalten,
  * eine aeuszerst detaillierte Beschreibung von Funktion, Verhalten und Design des System vorhanden sein,
  * ein automatisches Hilfsmitte zur Erfassung und Meldung von sicherheitsrelevanten Ereignissen vorhanden sein,
  * gesicherte Mechanismen fuer die Wiederherstellung des urspruenglichen Systemzustands nach Systemfehlern implementiert sein.
Das derzeit einzige nach B3 zertifizierte System ist XTS200 von Wang Federal Inc.

Klasse - A - Systeme

Klasse - A - Systeme erfordern keienrlei Systemerweiterungen gegenueber der B3 - Klassifikation. Es musz jedoch das gesamte Modell des Softwaredesign als formale Beschreibung vorhanden sein. Auf Grundlage dieser Beschreibung ist ein Nachweis der fehlerfreien Implementation der Software zu erbringen. Dazu musz Die Konsistenz des benutzten Sicherheitsmodells einer Ueberpruefung mit mathematischen Methoden standhalten. Schlieszlich muessen Mechanismen nachgewiesen werden, die die Auslieferung von Soft- und Hardware in der spezifierten Form garantieren. Derzeit erfuellt kein kommerziell verfuegbares Betriebssyste die Anfoderungen von A1.

Die Konformitaetspruefung und offizielle Klassifizierung nach dem Orange-Book - Standard wird von National Computer Security Center durchgefuehrt Die Dauer einer Evaluierung wird fuer ein bis zwei Jahre beanschlagt. Evaluierungen werden lediglich fuer die Sicherheitsklassen ab B1 durchgefuehrt. In einer technischen Richtlinie wurden von NCSC vor einiger Zeit Hinweise und Interpretationen zur Klassifikation von IT - Systemen veroeffentlicht. Eine Liste aller zertifizierten Produkte sowie Informationen zu Zertifizierung sind auf der Commercial Product Evaluations Website des amerikanischen Verteidigungsministeriums verfuegbar.

Der CCITSE - Kriterienkatalog fuer Europa

Im Januar 1996 wurde gemeinsam von USE, Kanada, Groszbritannien, Deutschland, Frankreicht und den Niederlanden ein einheitlicher, multinationaler Sicherheitsstandard verabschiedet.
Common Criteria for Information Technology Security Evaluation (CCITSE). Nachdem 1991 mit ITSEC ein erster europaeischer Sicherheitskatalog mit sieben Sicherheitsstufen (E0 - E6) erarbeitet worden war, schlossen sich 1993 die europaeichen Arbeitsgruppen mit der kanadischen (CTCPEC) und der nordamerikanischen Arbeitsgruppe (TCSEC) zusammen und erarbeiteten die CCITSE - Spezifikation. In CCITSE werden dabei im Unterschied zu ITSEC und Orange-Book acht unterschiedliche Stufen von Sicherheitssystemen unterschieden:
EAL 0
Keinerlei Sicherheitsstruktur
EAL 1
Funktioneller Test: Sicherheitsstruktur vorhanden, definiert und funktionell getestet
EAL 2
Struktureller Test: Sicherheitsstruktut mit funktioneller Spezifikation und definiertem Interface getestet.
EAL 3
Methodischer Test: Grey-Box-Analyse des getesteten Systems
EAL 4
Methodisches Design und Test: Sicherheitsstruktur baut auf speziellem Design auf der untersten Ebene der Systemarchitektur auf
EAL 5
Semiformales Design und Test: Die Analyse beinhaltet die gesamte Implementation. Die Sicherheit wird durch ein Formales Modell und eine semiformale funktionelle Spezifikation gewaehrleistet
EAL 6
Semiformelle Verifikation und Test: Modulares Sicherheitsdesign mit strukturierter Repraesentation der Implementation. Entwicklungsumgebungen und Konfigurationsmanagement entsprechen den hoechsten Anspruchen
EAL 7
Formelles Design und Test: Ein formales Modell mit einer formalen Repraesentation der funktionellen Spezifikation musz fuer das System vorhanden sein (White-Box-Analyse)
Die in der Bundesrepublik fuer die CCITSE - Kriterien zustaendige Behoerde ist das Bundesamt fuer Sicherheit in der Informationsverarbeitung (http://www.bsi.de/).
$Id: tcsec.html,v 1.1 2003/06/18 12:35:46 dope Exp dope $
Send comments to strcat@gmx.net.