Vertrauen schaffen

Prüfverfahren bietet in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) an. Für vergleichbare Ergebnisse sorgen international anerkannte Prüfkriterien: die Common Criteria (CC). Die CC sind eine weltweit anerkannte Norm zur Überprüfung von IT-Sicherheitssystemen. Ihre Evaluationsstufen von EAL 1 bis EAL 7 (Evaluation Assurance Level, Stufe der Vertrauenswürdigkeit) bilden die Prüftiefe bezüglich der behaupteten Sicherheitsleistung ab: EAL 1 dient als Einstieg in die Zertifizierung, EAL 4 verlangt vom Hersteller bereits die Vorlage einer detaillierten Design-Dokumentation, des Quellcodes sowie ausführliche Tests. Ab EAL 5 sind die Anforderungen an die Dokumentation so hoch, dass diese Level auf komplexe Systeme wie Firewalls nicht mehr komplett anwendbar sind – der Aufwand würde den Nutzen bei weitem übersteigen.

Eine Zertifizierung nach CC kann jeder Hersteller beim BSI beantragen, um Aussagen über die Sicherheitsleistung glaubwürdig zu belegen. Der deutsche IT-Spezialist Genua nutzt Zertifizierungen als transparente Qualitätssicherung für seine Lösungen. Im Folgenden wird der Zertifizierungsprozess am Beispiel der Firewall Genugate anschaulich erläutert.

Diese Komplettlösung aus Hardware, Betriebssystem und Firewall-Software umfasst zwei in Reihe geschaltete Firewall-Systeme – ein Application Level Gateway und einen Paketfilter auf separaten Rechnern. Die Schutzmechanismen beider Komponenten ergänzen sich somit auf verschiedenen Netzwerk-Ebenen.

Dass sich das Sicherheitskonzept bewährt, lässt sich mit Zertifizierungen belegen: 2012 erteilte das BSI für die Firewall ein Sicherheitszertifikat nach CC in der Stufe EAL 4+. Das System hat also alle Prüfungen auf dem Niveau EAL 4 bestanden. Das Attribut „+“ zeigt darüber hinaus an, dass bei einzelnen Kriterien über den Level EAL4 hinausgegangen wurde. Dies ist zum einen beim Patch-Handling der Fall – hier ist es für Hersteller jedoch ohne großen Aufwand möglich, Level EAL 4 zu übertreffen und so ihre Gesamtnote mit einem + aufzuwerten.

Aber die zertifizierte Firewall erfüllt auch bei Kriterium Selbstschutz deutlich höhere Anforderungen: Für höchsten Widerstand sind alle potenziellen Angriffspunkte wie zum Beispiel Schnittstellen mit zwei unterschiedlichen Sicherheitsmechanismen geschützt – dies entspricht dem Prüfbaustein AVA_VAN.5, der die Anforderungen von Level EAL 7 erfüllt. Dies ist ein entscheidender Punkt: Eine Firewall muss selbst gegen alle Angriffe und Manipulationsversuche gewappnet sein, damit sie das anvertraute Netzwerk zuverlässig sichern kann. Aufgrund dieser Leistung bei der Schwachstellen-Analyse ist die Firewall als „Highly Resistant“ eingestuft. Sie ist die einzige Firewall weltweit, die beim Selbstschutz diesen hohen Level erreicht.

Für die Zertifizierung nach CC EAL4 muss der Hersteller den Zweck und die Wirksamkeit der IT-Lösung in Form einer durchgängigen Logik-Pyramide dokumentieren. Bei Firewalls sind Datenflusskontrolle, Selbstschutz und Protokollierung die entscheidenden Funktionen – diese sind bei der zertifizierten Firewall als Sicherheitsziele definiert. Die Ziele werden durch Bedrohungen gefährdet, wie zum Beispiel Angriffe mit gefälschten IP-Adressen, um sich Zugang zum Netzwerk zu verschaffen, oder Denial-of-Service-Attacken, die durch Ressourcen-Verbrauch die Protokollierung lahmlegen und so unberechtigte Zugriffe verschleiern.

Die Antwort auf Bedrohungen sind Sicherheitsfunktionen, mit denen das Erreichen der Ziele dennoch sichergestellt werden soll. Ziele, Bedrohungen und Sicherheitsfunktionen muss der Hersteller gemäß detaillierter Vorgaben schlüssig beschreiben. Um mit geringerem Aufwand eine Zertifizierung zu erhalten, kommen Hersteller in Versuchung, nur wenige, ausgewählte Sicherheitsziele zu definieren. Das CC-Verfahren lässt dies leider zu. Deshalb lohnt ein Blick in den jeweiligen Zertifizierungsreport und die darin beschriebenen Sicherheitsziele.

Die Dokumentation muss der Hersteller bei einem vom BSI akkreditierten Prüflabor einreichen. Wurde die Darstellung von den Experten als stimmig akzeptiert, geht die Prüfung in die Tiefe: Der Hersteller muss die Architektur des TOE (Target of Evaluation) darlegen, indem er das Sicherheitssystem in die einzelnen Module aufspaltet und deren interne und externe Schnittstellen beschreibt. Dabei werden alle Sicherheitsfunktionen, wie zum Beispiel das Filtern von IP-Adressen, als Mechanismen den Modulen zugeordnet.

Schließlich muss aber auch nachgewiesen werden, dass alle Mechanismen eine stimmige Gesamtlösung ergeben. Für den Level EAL 4 muss zusätzlich der Quellcode der Lösung offengelegt werden, um eine Prüfung der korrekten Umsetzung aller angeführten Mechanismen zu ermöglichen. Damit ist der Gipfel der Logik-Pyramide erreicht. Zusätzlich müssen alle Sicherheitsmechanismen der IT-Lösung einen Praxistest bestehen.

Genugate absolvierte über 1.000 Tests – sowohl beim Hersteller unter den Augen unabhängiger Experten als auch beim Prüflabor. Die Experten begutachten noch weitere Punkte – von der Absicherung der Entwicklungsumgebung beim Hersteller bis hin zum Handbuch, das alle Funktionen abdecken muss. Nur wenn auch diese Rahmenbedingungen erfüllt werden, kann die Lösung ein Zertifikat erlangen.

Vor der Version 7.0 der Firewall wurden auch die Releases 6.3, 6.0, 5.0 und 4.0 vom BSI zertifiziert; die Versionen 6.3 und 6.0 ebenfalls nach CC EAL 4+, 5.0 und 4.0 nach ITSEC in der Stufe E3 hoch. Bei den beiden ersten Zertifizierungen folgte genua noch dem europäischen Standard Information Technology Security Evaluation Criteria (ITSEC), da die jüngeren CC zu dieser Zeit in Deutschland noch nicht weit verbreitet waren.

Die Qualität der Firewall ist damit durchgängig dokumentiert – kein anderes Produkt kann eine ähnlich erfolgreiche Zertifizierungshistorie beim BSI aufweisen. Der Zertifizierungsaufwand ist für ein Unternehmen mit insgesamt 180 Beschäftigten erheblich, aber er lohnt sich. Denn BSI-Zertifikate werden von Unternehmen und Behörden als transparente und unabhängige Qualitätssicherung anerkannt. So konnte man zahlreiche sicherheitsbewusste Kunden gewinnen und langfristig binden.