M 2.80 Erstellung eines Anforderungskatalogs für Standardsoftware

Verantwortlich für Initiierung: Leiter Fachabteilung

Verantwortlich für Umsetzung: Fachabteilung, Leiter IT

Zur Lösung einer Aufgabe, die mit IT bearbeitet wird, bietet der Markt meist eine Vielzahl gleichartiger Standardsoftwareprodukte an. In ihrer Grundfunktionalität vergleichbar, unterscheiden sie sich jedoch in Kriterien wie Anschaffungs- und Betriebskosten, Zusatzfunktionalitäten, Kompatibilität, Administration, Ergonomie und Informationssicherheit .

Anforderungskatalog

Für die Auswahl eines geeigneten Produktes muss daher zunächst ein Anforderungskatalog erstellt werden. Der Anforderungskatalog sollte unter anderem zu den folgenden Punkten Aussagen enthalten:

Sicherheitsanforderungen

Abhängig davon, ob das Produkt Sicherheitseigenschaften bereitstellen muss, können im Anforderungskatalog Sicherheitsfunktionen aufgeführt werden. Typische Sicherheitsfunktionen, die hier in Frage kommen, seien kurz erläutert. Weitere Ausführungen findet man in den Common Criteria (den "Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik").

Darüber hinaus können weitere Sicherheitsanforderungen an Standardsoftware konkretisiert werden.

Stärke der Mechanismen / Angriffsresistenz

Sicherheitsfunktionen werden durch Mechanismen umgesetzt. Je nach Einsatzzweck müssen diese Mechanismen eine unterschiedliche Stärke besitzen, mit der sie Angriffe abwehren können. Die erforderliche Stärke der Mechanismen ist im Anforderungskatalog anzugeben. Bei Anwendung der Common Criteria (CC) wird die Angriffsresistenz eines IT-Produktes, das in einer bestimmten Einsatzumgebung betrieben wird, an den in den Sicherheitsvorgaben oder gegebenenfalls in einem Schutzprofil definierten Bedrohungen der zu schützenden Datenobjekte und der für die Evaluierung angesetzten Prüftiefe bewertet. Die geforderte Prüftiefe beinhaltet die Festlegung der Angriffsresistenz und richtet sich nach dem Schutzbedarf und dem Einsatzzweck des Produktes. Die Prüftiefe wird anhand eines Kataloges (siehe CC, Teil 3) meist mittels vordefinierter Evaluierungsstufen (EAL 1 bis 7) festgelegt.

Für die Bewertung der Angriffsresistenz werden die für das Einsatzszenario relevanten Angriffe nach dem Stand der Technik bis zu einer bestimmten Stärke unter Berücksichtigung der erforderlichen Angriffszeit, technischen Expertise des Angreifers, Kenntnissen über das Produkt, Gelegenheit zum Angriff und benötigten Hilfsmittel analysiert. Die Bestätigung der Angriffsresistenz im Rahmen der Zertifizierung erfolgt dabei dann in den Abstufungen niedrig (basic), erweitert (enhanced basic), mittel (moderate) und hoch (high).

Basic bedeutet Schutz gegen öffentlich bekannte Angriffe und gegen Angreifer mit sehr begrenzten Fähigkeiten und Möglichkeiten. Hoch bedeutet, dass ein erfolgreicher Angriff sehr gute Fachkenntnisse, Produktkenntnisse, Gelegenheiten und Betriebsmittel erfordert, und damit insgesamt als extrem aufwändig gilt.

Beispiele für Anforderungen zu Sicherheitseigenschaften

Nachfolgend werden für einige wichtige Sicherheitsfunktionen Beispiele genannt, aus denen typische Anforderungen an Sicherheitseigenschaften deutlich werden.

Soll das Produkt über einen Identifizierungs- und Authentisierungsmechanismus verfügen, können beispielsweise folgende Anforderungen gestellt werden:

Soll das Produkt über eine Zugriffskontrolle verfügen, können beispielsweise folgende Anforderungen gestellt werden:

Soll das Produkt über eine Protokollierung verfügen, können folgende Anforderungen sinnvoll sein:

Soll das Produkt über eine Protokollauswertung verfügen, können folgende Anforderungen sinnvoll sein:

Soll das Produkt über Funktionen zur Unverfälschbarkeit verfügen, könnte beispielsweise folgende Anforderung gestellt werden:

Soll das Produkt über Funktionen zur Datensicherung verfügen, können beispielsweise folgende Anforderungen gestellt werden:

Soll das Produkt über eine Verschlüsselungskomponente verfügen, sind folgende Anforderungen sinnvoll:

Soll das Produkt über Mechanismen zur Integritätsprüfung verfügen, sind folgende Anforderungen sinnvoll:

Werden personenbezogene Daten mit dem Produkt verarbeitet, können beispielsweise folgende datenschutzrechtlichen Anforderungen gestellt werden:

Bewertungsskala

Um einen Vergleich verschiedener Produkte im Sinne einer Nutzwertanalyse durchführen zu können, müssen Kriterien vorhanden sein, wie die Erfüllung der einzelnen Anforderungen gewertet wird. Dazu ist es erforderlich, vorab die Bedeutung der einzelnen Anforderungen für die angestrebte IT-gestützte Aufgabenerfüllung quantitativ oder qualitativ zu bewerten.

Diese Bewertung kann beispielsweise in drei Stufen vorgenommen werden. In der ersten Stufe wird festgelegt, welche im Anforderungskatalog geforderten Eigenschaften notwendig und welche wünschenswert sind. Wenn eine notwendige Eigenschaft nicht erfüllt ist, wird das Produkt abgelehnt (so genanntes K.O.-Kriterium). Das Fehlen einer wünschenswerten Eigenschaft wird zwar negativ gewertet, dennoch wird aber das Produkt aufgrund dessen nicht zwingend abgelehnt.

Als zweite Stufe wird die Bedeutung der geforderten wünschenswerten Eigenschaft für die Aufgabenerfüllung angegeben. Dies kann z. B. quantitativ mit Werten zwischen 1 für niedrig und 5 für hoch erfolgen. Notwendige Eigenschaften müssen nicht quantitativ bewertet werden. Ist dies aber aus rechnerischen Gründen erforderlich, müssen sie auf jeden Fall höher bewertet werden als jede wünschenswerte Eigenschaft (um die Bedeutung einer notwendigen Eigenschaft hervorzuheben, kann sie z. B. mit 10 bewertet werden).

In der dritten Stufe wird ein Vertrauensanspruch für die Korrektheit der geforderten Eigenschaften für die Aufgabenerfüllung angegeben (z. B. mit Werten zwischen 1 für niedrig und 5 für hoch). Anhand des Vertrauensanspruchs wird später entschieden, wie eingehend die Eigenschaft getestet wird. Der Vertrauensanspruch der Sicherheitsmechanismen muss entsprechend ihrer Mechanismenstärke bewertet werden, beispielsweise kombiniert man

Diese Orientierungswerte müssen im Einzelfall verifiziert werden.

Beispiele:

Auszugsweise sollen für einige typische Standardsoftwareprodukte Sicherheitsanforderungen erläutert werden:

Textverarbeitungsprogramm:

Notwendige Sicherheitseigenschaften:

Wünschenswerte Sicherheitseigenschaften:

Dateikompressionsprogramm:

Notwendige Sicherheitseigenschaften:

Wünschenswerte Sicherheitseigenschaften:

Terminplaner:

Notwendige Sicherheitseigenschaften:

Wünschenswerte Sicherheitseigenschaften:

Reisekostenabrechnungssystem:

Notwendige Sicherheitseigenschaften:

Wünschenswerte Sicherheitseigenschaften:

Beispiel für eine Bewertungsskala:

Eine Fachabteilung will für Datensicherungszwecke ein Komprimierungsprogramm beschaffen. Nach der Erstellung eines Anforderungskataloges könnten die dort spezifizierten Eigenschaften wie folgt bewertet werden:
Eigenschaft notwendig wünschenswert Bedeutung Vertrauensanspruch
korrekte Kompression und Dekompression X   10 5
Erkennen von Bitfehlern in einer komprimierten Datei X   10 2
Löschung von Dateien nur nach erfolgreicher Kompression X   10 3
Windows-PC, x86, 256 MB X   10 5
Linux-tauglich   X 2 1
Durchsatz bei 1 GHz über 10 MB/s   X 4 3
Kompressionsrate über 40% bei Textdateien des Programms XYZ   X 4 3
Online-Hilfefunktion   X 3 1
Maximale Kosten 50.- Euro pro Lizenz X   10 5
Passwortschutz für komprimierte Dateien (Mechanismenstärke hoch)   X 2 5

Prüffragen: