Grundlagen des Datenschutzes und der IT-Sicherheit (5) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Transkript

1 und der IT-Sicherheit (5) Vorlesung im Sommersemester 2005 von

2 Motivation zur IT-Sicherheit (1) Aktuelle Risikosituation: Größter Gefahrensbereich Irrtum + Nachlässigkeit eigener Mitarbeiter 51% 30% 52% 49% Unbeabsichtigte Fehler von Externen 15% 9% 6% 7% Manipulationen zum Zweck der Bereicherung 8% 2% 2% 2% Diebstahl von Informationen, Wirtschaftsspionage 9% 6% 4% 4% Sabotage 8% 2% 2% 0% Hardware-bedingte Defekte 38% 15% 23% 23% Software-bedingte Defekte 43% 19% 30% 35% Dokumentations-bedingte Defekte 17% 3% 11% 7% Höhere Gewalt 8% 3% 5% 5% Malware 54% 25% Hacking 9% 8% Quelle: KES 4/2004, 4/2002, 5/2000 2

3 Motivation zur IT-Sicherheit (2) Probleme bei der IT-Sicherheit: Es fehlt/fehlen Bewusstsein + Unterstützung im Top-Management 45% 50% 51% Bewusstsein beim mittleren Management 42% 61% 38% Bewusstsein bei den Mitarbeitern 51% 65% 60% strategische Grundlagen / Gesamtkonzepte 31% 34% 38% realisierbare (Teil-)Konzepte 16% 21% 15% geeignete Methoden + Werkzeuge 18% 18% 21% Möglichkeit zur Durchsetzung relevanter Maßnahmen 28% 38% 29% verfügbare + kompetente Mitarbeiter 33% 37% 38% geeignete Produkte 17% 12% 14% praxisorientierte Sicherheitsberater 8% 10% 11% Geld 62% 46% 31% Umsetzung vorhandener Konzepte 18% 20% 14% Kontrolle auf Einhaltung 29% 34% 26% Quelle: KES 4/2004, 4/2002, 5/2000 3

4 Motivation zur IT-Sicherheit (3) Studie zur Wirtschaftskriminalität: 64 % der Unternehmen wurden Opfer wirtschaftskrimineller Handlungen (überführte!) Täter waren: - zu 84 % Mitarbeiter - zu 64 % ohne Geschäftsbeziehung - zu 51 % Management - zu 42 % Kunden - zu 42 % Lieferanten - zu 7 % Top-Management Quelle: KPMG, Wirtschaftskriminalität in Deutschland 2003/04 4

5 Motivation zur IT-Sicherheit (4) Studie zur Wirtschaftskriminalität (Fortsetzung): Begangene Handlungen: - zu 74 % Diebstahl - zu 61 % unerlaubte Nutzung von Unternehmsressourcen - zu 57 % sonstige Betrugsdelikte - zu 41 % Betrug im Bereich Personal-/Spesenabrechnung - zu 37 % Wechsel-/Scheck-/Kreditkartenbetrug - zu 35 % Korruption/Bestechung - zu 31 % Datenbeschädigung, Sabotage, Hacking - zu 20 % Informations-/Datendiebstahl, Spionage Quelle: KPMG, Wirtschaftskriminalität in Deutschland 2003/04 5

6 Motivation zur IT-Sicherheit (5) Typische Sicherheitsprobleme der IT-Systeme: Computer-Viren (79 %) Datenverlust (36 %) Trojanische Pferde (20 %) Verlust der Systemintegrität (14 %) unberechtigter Zugang (11 %) Denial-of-Service-Attacken, Softwaremanipulation, Verbreitung illegaler Inhalte (je 7 %) Datendiebstahl, Systemmanipulation (6 %) Betrug (5 %) Quelle: silicon.de (2001) 6

7 Überblick zur IT-Sicherheit 7

8 Geschichte der Sicherheitskriterien 8

9 Bewertung der IT-Sicherheit schnelle Fortentwicklung von IT-Systemen (u.a. Verdoppelung der Datenspeicherkapazitäten und der Arbeitsgeschwindigkeit alle 2 Jahre) hohe Komplexität der IT-Systeme stark anwachsender Sektor Informationswirtschaft (über 40 % seit 90er) hohe Abhängigkeit von IT-Systemen methodische Kriterienkataloge orientiert an Sicherheitsziele Evaluierung durch unabhängige Stellen 9

10 Orange Book (1) 1983: Department of Defense. Trusted Computer System Evaluation Criteria entwickelt am US National Computer Security Center 4 Sicherheitsstufen: D = minimaler Schutz ( Minimal Protection ) C = benutzerbestimmbarer Schutz ( Discretionary Protection ) B = systembestimmter Schutz ( Mandatory Protection ) A = beweisbarer Schutz ( Verified Protection ) 10

11 Orange Book (2) 7 Sicherheitsebenen: D = C1 = C2 = B1 = B2 = B3 = A1 = minimaler Schutz benutzerbestimmbarer Geheimschutz Separierung Schutz durch Zugriffskontrolle Protokollierung Schutz durch Kennzeichnung Zugangskontrolle Schutz durch Strukturierung Trusted Path Sicherheitsdomänen Sicherheitsbeauftragter verifizierter Entwurf Anforderungen von Sicherheitsmerkmalen und Zusicherungen entscheidend 11

12 Orange Book (3) Fundamentale Anforderungen: Zugriffsrechte auf Informationen Vorgabe einer Sicherheitsleitlinie ( Security Policy ): keiner erhält Zugriff auf höher eingestufte Informationen & jeder erhält nur die Rechte, die er braucht ( need-to-know ) zugriffsrechtebasierte Bezeichnung ( Marking ): zuverlässige Feststellung der Einstufung der Objekte im Sinne der klassifizierten Sicherheitsgrade identifizierbare Individuen ( Identification ): jeder Zugriff muss einer konkreten Person (unter Berücksichtigung dessen Rechte) zuordnenbar sein feststellbare Verantwortliche ( Accountability ): Verursacher sicherheitsrelevanter Aktionen werden protokolliert 12

13 Orange Book (4) Fundamentale Anforderungen: glaubwürdige Zusicherungen überprüfbare Zusicherung ( Assurance ): für jede Komponente des IT-Systems muss unabhängig nachweisbar sein, dass die fundamentalen Anforderungen für die Zugriffsrechte auf Informationen ausreichend erfüllt sind permanenter Schutz ( Continuous Protection ): Schutz der Hard-, Soft- und Firmware vor Verfälschungen und unerlaubten Manipulationsversuchen Ergebnis: Einrichtung eines Referenzmonitors (in reduzierter Form als Trusted Computing Base ) 13

14 Orange Book (5) Kritik: Orientierung an IT-Systemen der 70er: faktisch lassen sich nur zentrale Großrechenanlagen nach den vorgegebenen Kriterien evaluieren Orientierung an militärische Bedürfnisse: Informationen haben entsprechend der Sicherheitsgrade (streng geheim, geheim, vertraulich, öffentlich) von oben nach unten zu fließen Orientierung an Bedrohung von außen: Bedrohungen von innen (im Rahmen der Zugriffsrechte) werden vernachlässigt Orientierung an Erfüllbarkeit statt an Wirkungsgrad der Erfüllung 14

15 Grünbuch (1) 1989: Kriterien für die Bewertung der Sicherheit von Systemen der IT entwickelt von der Zentralstelle für Sicherheit in der Informationstechnik (= Vorläufer vom Bundesamt für die Sicherheit in der Informationstechnik) Bedrohungen als Ausgangspunkt für Sicherheitsanforderungen: - unbefugter Informationsgewinn = Verlust der Vertraulichkeit - unbefugte Modifikation von Informationen = Verlust der Integrität - unbefugte Beeinträchtigung der Funktionalität = Verlust der Verfügbarkeit 15

16 Grünbuch (2) Trennung von funktionalen Anforderungen ( Funktionalitätsklassen) und qualitativen Vertrauensstufen ( Qualitätsstufe) Grundfunktionen sicherer Systeme: - Identifikation & Authentisierung (Besitz, Wissen, Merkmale) - Rechteverwaltung (Vollständigkeit & Widerspruchsfreiheit) - Rechteprüfung (Voraussetzung für Aktionen) - Beweissicherung (Protokollierung) - Wiederaufbereitung (kein Informationsfluss gg. Anforderung) - Fehlerüberbrückung (Fehlererkennung & Abbruchkriterien) - Funktionalitätsgewährleistung (Priorität & Fehlervermeidung) - Übertragungssicherung (alle Ebenen des ISO-OSI-Modells) 16

17 Grünbuch (3) Mechanismen zur Realisierung der Sicherheitsfunktionen nach Kategorisierung (ungeeignet, schwach, mittelstark, stark, sehr stark, nicht überwindbar) 10 Funktionalitätsklassen: F1 = C1, F2 = C2, F3 = B1, F4 = B2, F5 = B3/A1 F6 (hohe Anforderungen an Integrität) F7 (hohe Anforderungen an Verfügbarkeit) F8 (Sicherung der Integrität bei Datenübertragung) F9 (Geheimhaltung bei Datenübertragung) F10 (hohe Anforderungen an Geheimhaltung und Integrität bei vernetzten Systemen) 17

18 Grünbuch (4) Qualitätskriterien: - Sicherheitsanforderungen - Spezifikation der zu evaluierenden Systemteile - verwendete Mechanismen - Abgrenzung zu nicht zu evaluierende Systemteile - Herstellungsvorgang - laufender Betrieb - anwenderbezogene Dokumentation Qualitätsstufen: Q0 (= unzureichend), Q1 (= getestet), Q2 (= methodisch getestet), Q3 (= methodisch getestet & teilanalysiert), Q4 (= informell analysiert), Q5 (= semiformal analysiert), Q6 (= formal analysiert), Q7 (= formal verifiziert) 18

19 Grünbuch (5) Ergebnis: Weiterentwicklung zu Information Technology Security Evaluation Criteria (ITSEC) (1990; Harmonisierung von IT-Sicherheitskriterien in Deutschland, Großbritannien, Frankreich und der Niederlande) IT-Sicherheitshandbuch des BSI (1992) IT-Grundschutzhandbuch des BSI (2000; wird permanent fortentwickelt) Kritik: vernetzte Systeme nur unzureichend berücksichtigt Schutzbedürfnisse von Betroffenen bleiben unbeachtet zu starke Konzentration auf formale Verifikationsmethoden 19

20 Common Criteria (1) 1996: Common Criteria for Information Technology Security Evaluation entwickelt vom internationalen (USA, Kanada, Großbritannien, Frankreich, Deutschland, Niederlande) Common Criteria Editorial Board Trennung der Sicherheitsfunktionalität und Qualitätssicherung mit kombinierbaren Komponenten aufgrund des Schutzprofils Funktionalitätsklassen: Sicherheitsprotokollierung (FAU), Kommunikation (FCO), Kryptographische Unterstützung (FCS), Benutzerdatenschutz (FDP), Identifikation and Authentisierung (FIA), Sicherheitsmanagement (FMT), Privatheit (FPR), Sicherheitsfunktionenschutz (FPT), Betriebsmittelnutzung (FRU), Zugriff (FTA), Vertrauenswürdiger Pfad/Kanal (FTP) 20

21 Common Criteria (2) Qualitätssicherung (Zusicherungen): Schutzprofilevaluation (APE), Sicherheitszielevaluation (ASE), Konfigurationsmanagement (ACM), Auslieferung und Betrieb (ADO), Entwicklung (ADV), Handbücher (AGD), Lebenszyklusunterstützung (ALC), Testen (ATE), Schwachstellenbewertung (AVA) Evaluationsstufen (vergleichbar zu ITSEC-Evaluationsstufen): Functionally tested (EAL1), Structurally tested (EAL2), Methodically tested and checked (EAL3), Methodically designed, tested and reviewed (EAL4), Semiformally designed and tested (EAL5), Semiformally verified design and tested (EAL 6), Formally verified design and tested (EAL7) 21

22 Common Criteria (3) Evaluationsergebnisse: - Conformant to Part 2 = basierend auf funktionalen Komponenten der Sicherheitsfunktionalität - Part 2 extended = basierend auf funktionalen Komponenten der Sicherheitsfunktionalität + zusätzliche Sicherheitsfunktionalitäten außerhalb von Teil 2 - Conformant to Part 3 = basierend auf einer Ebene der Qualitätssicherung - Part 3 augmented = basierend auf einer Ebene der Qualitätssicherung + zusätzliche Qualitätssicherungskomponenten - Part 3 extended = basierend auf einer Ebene der Qualitätssicherung + zusätzliche Qualitätssicherungskomponenten auch außerhalb von Teil 3 - Conformant to Protection Profile = konform zu allen Teilen des anwendungsbezogenen Schutzprofils (Sicherheitskonzept) 22

23 Common Criteria (4) Ergebnis: Als Standard ISO/IEC etabliert Kritik: Funktionalitätskomponenten unsystematisch und unausgewogen klassische Sicherheitsziele (Verfügbarkeit, Integrität, Vertraulichkeit) zwar im Schutzprofil unterlegt, aber nicht einfach bei den Komponenten zuordnenbar vergleichbare Bewertung erschwert Anmerkungen: ISO = International Organization for Standardization IEC = International Electrotechnical Commission Schutzprofile können unter Anwendung von ISO/IEC erstellt werden 23

24 Mehrseitige IT-Sicherheit (1) 1997: Duale bzw. Mehrseitige IT-Sicherheit entwickelt vom Ladenburger Kolleg Sicherheit in der Kommunikationstechnik Erweiterung der klassischen Sicherheitsziele, die der Verlässlichkeit der IT-Systeme dienen, um Komponenten zur Beherrschbarkeit der IT-Systeme ( Integration der Betroffenensicht) komplementäre Sicht Verlässlichkeit = keine unzulässige Beeinträchtigung der IT-Systeme, Daten bzw. Funktionen/Prozessen im Bestand, ihrer Nutzung oder ihrer Verfügbarkeit Beherrschbarkeit = keine unzulässige Beeinträchtigung von Rechten oder schutzwürdigen Belangen der Betroffenen durch Vorhandensein oder Nutzung von IT-Systemen 24

25 Mehrseitige IT-Sicherheit (2) 25

26 Mehrseitige IT-Sicherheit (3) Definition 16: Mehrseitige IT-Sicherheit Schutz von Hardware, Software und Daten vor Gefährdungen der Vertraulichkeit, Integrität Verfügbarkeit, Zurechenbarkeit und Rechtsverbindlichkeit Mehrseitige IT-Sicherheit erfordert die Einbeziehung der Schutzinteressen aller Beteiligten: Formulierung der spezifischen Sicherheitsinteressen Erkennen der zu lösenden Schutzkonflikte Aushandlung der Auflösung dieser Konflikte Durchsetzung von Sicherheitsinteressen in Aushandlung Grundsatz: Sicherheit mit minimalen Annahmen über andere (d.h.: möglichst wenig Vertrauen in andere setzen müssen) 26

27 Literaturhinweise zur Geschichte der IT-Sicherheit Claudia Eckert: IT-Sicherheit Konzept / Verfahren / Protokolle, Kapitel 5 Bewertungskriterien, Oldenbourg Verlag, München, 2004, S Rüdiger Dierstein: Sicherheit in der Informationstechnik der Begriff IT-Sicherheit, in Informatik Spektrum 4/2004, S Kai Rannenberg: Zertifizierung mehrseitiger IT-Sicherheit Kriterien und organisatorische Rahmenbedingungen, Vieweg Verlag, Braunschweig, 1998 Günter Müller, Andreas Pfitzmann (Hrsg): Mehrseitige Sicherheit in der Kommunikationstechnik Verfahren / Komponenten / Integration, Addison-Wesley Verlag, Bonn,