Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

10.11.1995

Das Vertrauen der Anwender in Zertifikate kann verspielt werden

Professor Dr. Hartmut Pohl, Isis Institut fuer Informationssicherheit, Essen

Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) hat einige wesentliche Entscheidungen getroffen. So soll der gesamte Prozess einer Software-Entwicklung grundsaetzlich nur noch einmal evaluiert und abgenommen werden - nicht wie bisher bei jedem neuen Produkt erneut. Damit sollen bis zu 15 Prozent der Gesamtkosten eingespart werden. Der Teufel steckt natuerlich in der Ueberpruefbarkeit des Prozesses sowie seiner sicherheitsrelevanten Aenderungen.

Zweitens hat das BSI den Ersatz der von akkreditierten unabhaengigen herstellerneutralen Pruefstellen (Third Party) vorgenommenen Evaluierung durch die Selbstevaluierung von IT- Produkten seitens der Hersteller abgelehnt: Jeder, der Hardware oder Software herstellt, haette sich nach diesem Vorschlag auch gleich selbst hinsichtlich der Vertrauenswuerdigkeit ueberpruefen koennen.

Was ist der Hintergrund? Das von der US-amerikanischen Industrie gesponserte National Institute for Standards and Technology (NIST) favorisiert bei den beiden niedrigsten Stufen der neuen Common Criteria - vergleichbar den Leveln E1 und E2 der international angewendeten IT Security Evaluation Criteria (ITSEC) - die blosse Herstellererklaerung. Damit wuerde auf eine produktorientierte Evaluierung und Zertifizierung voellig verzichtet.

Nun erwaegt das NIST eine gegenseitige Anerkennung der europaeischen, kanadischen und US-amerikanischen Zertifikate. Dies wuerde ITSEC-zertifizierten Produkten sowie europaeischen Pruefstellen den US-Markt erschliessen. Mit Grossbritannien wird die wechselseitige Anerkennung bereits praktiziert.

Wie wird das BSI weiter vorgehen? Heinrich Kersten, Abteilungsleiter Wissenschaftliche Grundlagen und Zertifizierung, verdeutlicht den Standpunkt der Behoerde: "Die Herstellererklaerung im Bereich der IT-Sicherheit ist aus fachlicher Sicht ein voellig ungeeignetes Mittel. Aber auch formal kann sie Zertifikaten des BSI nach dem BSI-Gesetz nicht gleichgestellt werden. Unternehmen fordern deshalb zumindest die Moeglichkeit der Selbstevaluierung und erklaeren, anderenfalls wuerden sie ueberhaupt keine Zertifizierung ihrer Produkte beantragen.

Das BSI wird aber ohne Ausnahme das Prinzip der Unabhaengigkeit (Third-Party- Evaluierung) beibehalten. Davon kann sich der Anwender in jedem Zertifikat ueberzeugen. Das BSI erteilt jedem Versuch, im Zertifizierungsbereich fuer IT-Sicherheit am Markt eine Scheinqualitaet zu etablieren, eine Absage."

Andere Initiativen sind so gesehen problematisch. Die Mitglieder der Guetegemeinschaft Software (GGS) pruefen Security-Software, Systemsoftware sowie sicherheitskritische Software nach DIN 66285 beziehungsweise ISO/IEC DIS 12119 und RAL GZ 901 und vergeben sogenannte Zertifikate. In den basierenden Normenvorschlaegen wird beispielsweise "empfohlen, die Verstaendlichkeit und Uebersichtlichkeit der Benutzerdokumentation sowie der Meldungen der Programme zu pruefen". Zum Backup "genuegt der Hinweis, dass man Daten mittels Betriebssystem-Funktionen sichern kann". Sicherheitsziele werden also nicht verfolgt.

Fatalerweise wird diese unzureichende "Zertifizierung" durch Bundesinnen- und Wirtschaftsministerium unterstuetzt. Auch dem Bundesrechnungshof scheint die Initiative der GGS zu gefallen. Jedenfalls hat er im Haushaltsausschuss des Bundestages den merkwuerdigen Vorschlag einer voelligen Privatisierung der Evaluierung und Zertifizierung vorgetragen. Bis dato ist die Zertifzierung eine vom Gesetzgeber dem BSI uebertragene Aufgabe. Wenn der Hard- und Softwaremarkt in Zukunft mit Dritt-Zertifikaten ueberschwemmt wird, werden die Anwender keinem Zertifikat - auch nicht denen des BSI oder gleichgestellten internationalen Testaten - mehr trauen.

Offensichtlich gibt es eine Reihe von grundsaetzlichen und zukunftstraechtigen Fragen, die sorgfaeltig diskutiert werden sollten. Die Gesellschaft fuer Informatik

(GI) hat eine oeffentliche Diskussion der anstehenden Notwendigkeiten bereits angemahnt:

- Staerkere Transparenz des gesamten Evaluierungs- und Zertifizierungsverfahrens fuer den Endanwender und

- Untersuchungen zur Senkung der Kosten und Dauer der Evaluierungen, wobei jedoch von dem angemessen hohen Niveau der Evaluierungsqualitaet nicht abgegangen werden darf.

Klare Angaben in den Zertifikaten ueber zugesicherte Eigenschaften, ueber die in den Berichten niedergelegten Aussagen und Bewertungen (Produkthaftung und Gewaehrleistung) sowie ueber den Hersteller und die Evaluierungsinstanz sind unverzichtbar. Andernfalls kann das Vertrauen der Anwender leicht verspielt werden. Das bisher erfolgreich agierende BSI sollte sich einer breiten, oeffentlich gefuehrten Diskussion der genannten Fragen in der Fachwelt nicht weiter verschliessen.