Deutsche IT-Sicherheitskriterien

Die Deutschen IT-Sicherheitskriterien (ITS oder ITSK, auch Grünbuch) sind eine 1989/1990 von der Zentralstelle für Sicherheit in der Informationstechnik (ehemals Zentralstelle für das Chiffrierwesen, heute Bundesamt für Sicherheit in der Informationstechnik) erarbeitete Richtlinie für die Bewertung und Zertifizierung von Computersystemen und Software. Sie ist das deutsche Gegenstück zum amerikanischen Orange Book und bildet die Grundlage für neuere Standards wie ITSEC und die Common Criteria sowie den heutigen deutschen IT-Grundschutz. An der Erarbeitung wirkten auch Organisationen aus Wissenschaft und Wirtschaft mit, wie etwa die IABG.

Die Bewertung erfolgt ähnlich wie bei ITSEC, aber entlang nur zweier Achsen: der Funktionalität und der Verlässlichkeit. Die Verlässlichkeit wird in Bezug auf die Wirksamkeit der Methode und auf die Korrektheit der Implementierung untersucht. Beide Werte werden dann zu einer Qualitätsklasse zusammengefasst.

Funktionalitätsklassen

Im Gegensatz zum amerikanischen Orange Book bewerten diese IT-Sicherheitskriterien die Funktionalität und die Vertrauenswürdigkeit (Qualität); bei der Vertrauenswürdigkeit wird weiter nach Korrektheit und Wirksamkeit unterschieden. So ergeben sich drei Dimensionen der Bewertung, wobei nur die ersten 5 der insgesamt 10 Funktionalitätsklassen eine hierarchische Ordnung bilden:

BSI ITS FITSEC FBedeutungTCSEC
F1F-C1Einfache Sicherheit, kooperative NutzerC1
F2F-C2Login-Mechanismus, Daten einzelner Benutzer getrennt, (einfache) ProtokollierungC2
F3F-B1Sicherheitsmodell, regelbasierte SchutzstufenB1
F4F-B2Formales Sicherheitsmodell, sicherer Datenfluss bei der AuthentisierungB2
F5F-B3Referenzmonitor-Eigenschaften, formal verifizierbar.B3/A

Daneben existieren weitere Funktionalitätsklassen, die sich auf die Konsistenz von Daten und die Verfügbarkeit von Diensten beziehen:

BSI ITS FITSEC FBedeutung
F6F-INRegelwerk zur Wahrung der Integrität und Konsistenz der Daten, Typkonzept (insbesondere für Datenbanksysteme: Constraints und Transaktionen)
F7F-AVVerfügbarkeit, Fehlerüberbrückung, Ausfallwahrscheinlichkeit (Vorkehrungen für Stromausfall, redundante Hardware, Backups)

Zusätzlich gibt es drei Funktionalitätsklassen, die sich auf die Übertragung von Daten (insb. in Netzwerken) beziehen:

BSI ITS FITSEC FBedeutung
F8F-DISicherung der Integrität und Authentizität von Nachrichten (Elektronische Unterschrift)
F9F-DCSicherung der Vertraulichkeit von Nachrichten (Verschlüsselung)
F10F-DXAnforderungen an sichere Netzwerke

Qualitätsklassen

Bei der Bewertung der Qualität (Vertrauenswürdigkeit) eines Computersystems wird zwischen der Wirksamkeit der Methode und der Korrektheit der Implementierung unterschieden. Diese beiden Werte werden dann zu einem Qualitätswert vereinigt.

Die Wirksamkeit bezeichnet die Widerstandsfähigkeit eines Schutzmechanismus gegen Umgehungsversuche. Die Wirksamkeit wird in der ITSEC in drei Stufen unterschieden, wohingegen in der ITSK eine feinere Bewertung (sechsstufig) definiert ist:

BSI ITSITSECBedeutungTCSEC
ungeeignet-Kein Schutz.D
schwachniedrigNur Schutz gegen zufällige, unbeabsichtigte Verstöße gegen die Sicherheitsregeln. Leicht zu umgehen.
mittelstarkmittelSchutz gegen absichtliche Verstöße von Angreifern mit beschränkter Gelegenheit und Mitteln.C1-C2
starkstarkGuter Schutz, nur mit hohem Aufwand zu umgehen.B1-B2
sehr starkSehr guter Schutz, nur mit sehr hohem Aufwand zu umgehen.B3-A
nicht überwindbarZurzeit nicht zu überwinden, bisher keine Schwachstelle bekannt.

Die Beurteilung der Qualität erfolgt in acht Stufen. Dabei wird die Wirksamkeit der Methode mit der bestandenen Prüftiefe für die Implementierung kombiniert. Die Korrektheit der Implementierung wird wiederum in sechs Stufen beurteilt. Dabei wird insbesondere auf Programmfehler geprüft, sowie darauf, inwieweit die Implementierung tatsächlich die zuvor bewertete Methode realisiert. Im Gegensatz zur BSI-Richtlinie ITSK fasst ITSEC die Wirksamkeit und Vertrauenswürdigkeit nicht zusammen, sondern behandelt die Werte getrennt.

BSI ITS QWirksamkeitKorrektheitITSEC ETCSEC
Q0ungeeignetunwirksamE0D
Q1mittelstarkInformelle Spezifikation der Architektur, Funktionstest, gezielte AngriffeE1C1
Q2mittelstarkZusätzlich informelle Beschreibung des Feinentwurfs (Detailspezifikation)E2C2
Q3starkAnalyse des Quellcodes bzw. des HardwarelayoutsE3B1
Q4starkFormales Sicherheitsmodell, semiformale DetailspezifikationE4B2
Q5sehr starkDetailspezifikation muss nachvollziehbar auf Quellcode abbildbar seinE5B3
Q6sehr starkZusätzlich formale Spezifikation und Analyse der ArchitekturE6
Q7z. Z. nicht überwindbarZusätzlich formale Spezifikation und Verifikation der ArchitekturA

Weblinks