Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

19.11.1993

Das IT-Sicherheitshandbuch des BSI Sicherheitskonzepte erstellen ist kein Abhaken von Checklisten Von Andreas Fritsch*

19.11.1993

Sicherheitskonzepte verlangen Erfahrung und Methode; haeufig indes kann man sich nicht des Eindrucks erwehren, dass ihre Entwickler sich auf das Abhaken von Listen und Multiplizieren von Risikofaktoren beschraenkt haben. Als "Methode" folgt daraus eine rein mechanische Vorgehensweise. Hier soll demgegenueber gezeigt werden, wie man anhand des IT-Sicherheitshandbuchs (ITSHB) nachvollziehbare und umsetzbare Konzepte erstellt.

Durch die zunehmende Abhaengigkeit von IT-Systemen und deren Vernetzung ist das Risiko, das sich durch das Bekanntwerden vertraulicher Informationen, durch Manipulationen an Programmen und Daten oder auch durch die Stoerung des Systembetriebs ergibt, fuer die meisten Unternehmen unkalkulierbar geworden. Der Bedarf an geeigneten Loesungsvorschlaegen ist somit sehr gross. Da viele Firmen und Behoerden nicht ueber das entsprechende Know-how verfuegen, wenden sie sich an Unternehmensberatungen oder auch IT- Dienstleistungsunternehmen.

Zahlreiche Projekte im Bereich der IT-Sicherheit sind daher mit der Erstellung von Sicherheitskonzepten, von der Bedrohungsanalyse bis zur Massnahmenauswahl, befasst. Fuer einen konkreten Fall, also zum Beispiel den Einsatz eines komplexen Anwendungssystems, werden alle Bedrohungen, die sich gegen die Sicherheit des Systems richten, registriert. Ziel ist, das Risiko, das von diesen Gefahren ausgeht, mit Hilfe von geeigneten Sicherheitsmassnahmen auf ein tragbares Mass zu reduzieren. Hier lassen sich zum einen individuelle, massgeschneiderte Konzepte erarbeiten, bei denen eine anwendungsabhaengige Systemanalyse notwendig ist. Andererseits kann man fuer gewisse Klassen von Systemen, wie etwa lokale Netze mit Anbindung an ein externes Netz wie zum Beispiel Internet, Sicherheitskonzepte auch so erstellen, dass sie prinzipiell auf verschiedene Einzelfaelle einer Klasse uebertragbar sind. Problematisch ist, dass anerkannte und erprobte Vorgehensweisen zur Erstellung von Sicherheitskonzepten allgemein wenig bekannt sind. Die Loesung von IT-Sicherheitsproblemen erfordert zudem einschlaegige Erfahrung und auch detaillierte Kenntnisse beispielsweise im Bereich Betriebssysteme und Netzwerke.

Das ITSHB unterstuetzt, wenn es richtig angewandt wird, die fachlich fundierte Erstellung von Sicherheitskonzepten. Der Anwender des Handbuchs sollte im Idealfall selbst Sicherheitsexperte sein. Fuer den Ueberblick ueber moegliche Bedrohungen und die Auswahl geeigneter Sicherheitsmassnahmen braucht man Wissen ueber moegliche Attacken gegen das System und die Funktionsweise der Sicherheitsmassnahmen.

Im ITSHB werden die vier Stufen "Ermittlung der Schutzbeduerftigkeit", "Bedrohungsanalyse", "Risikoanalyse" und "Erstellung des Sicherheitskonzepts" unterschieden. Ziel der ersten Stufe ist, die schuetzenswerten Gueter des IT-Systems zu ermitteln und zu bewerten. Hierzu werden die aus Sicht des Anwenders in diesem Sinne relevanten Anwendungen und Informationen des Systems erfasst. Danach werden die uebergeordneten Schutzziele identifiziert und die Bedeutung der einzelnen Anwendungen und Informationen im Hinblick auf die Gefaehrdung von Vertraulichkeit, Integritaet und Verfuegbarkeit bewertet. Da konkrete Bedrohungen meist nicht direkt an den beschriebenen Anwendungen und Informationen ansetzen, werden in der Bedrohungsanalyse zunaechst die einzelnen Objekte identifiziert, die in dem IT-System von Bedeutung sind. Hierzu zaehlen neben der Anwendungssoftware und den Anwendungsdaten zum Beispiel auch die eingesetzte Hardware, das Netzwerk und das Betriebssystem. Nach der Beschreibung der relevanten Objekte sind deren Abhaengigkeiten zu analysieren und die Grundrisiken, denen sie ausgesetzt sind, zuzuordnen. Abschliessend werden die Bedrohungen der einzelnen Objekte detailliert erfasst. Bei der Risikoanalyse wird die Bedeutung der bedrohten Objekte bewertet und die Eintrittswahrscheinlichkeit jeder Bedrohung bestimmt. Schliesslich wird entschieden, welche Risiken tragbar beziehungsweise untragbar sind.

Im letzten Schritt erfolgt die Fertigstellung des Sicherheitskonzepts. Hierzu werden die noetigen Sicherheitsmassnahmen zunaechst ausgewaehlt und bewertet. Anschliessend findet eine Restrisikoanalyse statt. Sie gibt darueber Auskunft, ob die ausgewaehlten Massnahmen den gewuenschten Sicherheitszustand des IT-Systems gewaehrleisten.

Das IT-Sicherheitshandbuch stellt eine in sich geschlossene, klar strukturierte Methodik vor, die zu praktikablen, spezifischen und gut nachvollziehbaren Loesungsvorschlaegen fuehrt und nicht auf der Ebene von Sicherheitsanforderungen stecken-bleibt. Bei den Sicherheitsmassnahmen wird bewusst das Umfeld, also zum Beispiel Infrastruktur und Organisation, einbezogen.

Staerken und Schwaechen des Sicherheitshandbuchs

Die Objekte, an denen die Bedrohungen letztendlich ansetzen, werden separat betrachtet und nicht von vornherein mit den relevanten Anwendungen und Informationen verknuepft. Hierdurch wird nicht nur die Analyse erleichtert, sondern auch sichergestellt, dass die Einsatzumgebung des IT-Systems vollstaendig erfasst wird. Die umfangreichen Bedrohungs- und Massnahmenlisten im Anhang des ITSHB geben bei der Erstellung des Konzepts Hilfestellung, sind aber nicht, wie bei anderen Verfahren, als vollstaendiger Katalog gedacht.

Das Kompendium verfuehrt auch nicht zu einem mechanischen Auswaehlen aus Listen und zur Anwendung zweifelhafter Berechnungsverfahren. Auch wird kein Absolutheitsanspruch erhoben. Ergebnisse verbergen sich nicht hinter einem umfangreichen Zahlenwerk, sondern stellen sich als Folge von Sicherheitsmassnahmen dar.

Der Nachteil bei der Anwendung des ITSHB ist der grosse Aufwand, den zum Beispiel eine vollstaendige Bedrohungs- und Risikoanalyse fuer alle Objekte erfordert. Selbst bei weniger bedrohten Objekten ist es nicht vorgesehen, das Verfahren abzukuerzen oder zu vereinfachen.

Weniger Aufwand fuer gering bedrohte Objekte

Zunaechst ist der Arbeitsaufwand bei gering bedrohten Objekten zu reduzieren. Hierzu empfiehlt es sich, die Bewertung der bedrohten Objekte aus der Risikoanalyse in die Bedrohungsanalyse zu verlagern.

Dabei kann man dann nach verschiedenen Schadensklassen sortieren. Objekte der niedrigsten Klasse werden nicht weiter betrachtet. Fuer gering bedrohte Objekte werden ohne eigene Analyse uebergreifende Sicherheitsmassnahmen festgelegt. Fuer alle anderen Objekte erfolgt die komplette Analyse, spezifische Massnahmen werden erarbeitet.

Darueber hinaus liesse sich die Risikoanalyse abkuerzen. Da das Schaetzen der Eintrittswahrscheinlichkeit bei den meisten Bedrohungen sehr unsicher ist, lohnt es sich nicht, hier zuviel Zeit zu investieren. Die Bedrohungen koennen in Klassen zusammengefasst und die Wahrscheinlichkeit dann je Klasse angegeben werden. Schliesslich sollten vor der Bestimmung der Sicherheitsmassnahmen noch explizit die Sicherheitsanforderungen formuliert werden. Dieser Zwischenschritt ist hilfreich, da mehrere Bedrohungen oft den gleichen Ursprung haben und somit durch eine Anforderung abgedeckt werden koennen.

Einzelne Methoden des ITSHB wie zum Beispiel die Analyse der Abhaengigkeiten der Objekte, die Bestimmung der Grundbedrohungen oder die Kosten-Nutzen-Analyse des Restrisikos lassen sich vereinfachen oder koennten entfallen. Beispielsweise zeigt sich in der Praxis, dass die Analyse der Abhaengigkeiten wenig ergiebig ist, da die schuetzenswerten Gueter letztendlich von allen anderen Objekten abhaengig sind, und somit alle Schadensbewertungen uebertragbar sind. Die Bestimmung der Grundbedrohungen bei den Objekten koennte mit der ausfuehrlichen Bedrohungsanalyse zusammengelegt werden.

Bei der Erstellung eines Sicherheitskonzepts muss man die verwendete Methodik optimal an die konkrete Situation anpassen, was einerseits den Aufwand, andererseits aber auch die Interpretation der einzelnen Schritte betrifft. Wichtig ist ferner, dass die Ergebnisse nachvollziehbar und adaequat sind, weniger, dass man sich im Detail an das Verfahren klammert.

Auftragsarbeit

Die Industrieanlagen-Betriebsgesellschaft mbH (IABG) in Ottobrunn beschaeftigt sich unter anderem seit langer Zeit mit Problemen der IT-Sicherheit. Hier entstanden im Auftrag des Bundesamts fuer Sicherheit in der Informationstechnik (BSI) die drei deutschen Standardwerke: "IT-Sicherheitskriterien", "IT-Evaluationshandbuch" und "IT-Sicherheitshandbuch". Das IT-Sicherheitshandbuch (ITSHB) gibt eine praktische Anleitung zum Erstellen von Sicherheitskonzepten. Auch bei der Erarbeitung der Sicherheitskriterien der Europaeischen Gemeinschaft (Information Technology Security Evaluation Criteria = ITSEC) und dem zugehoerigen Evaluationshandbuch (ITSE Methodology = ITSEM) war die IABG massgeblich beteiligt. Zur Zeit fuehrt die IABG im Auftrag von Trusted Information Systems eine Evaluation des Microkernel- Betriebssystems "Trusted Mach" durch.