Fehlende Standards und ineffiziente Sicherheitsbewertung
Informationssicherheit (Cyber-Security) wird in der gegenwärtigen Software-Entwicklungspraxis oft als zusätzliche Notwendigkeit empfunden. In der Softwareentwicklung folgt man bereits modernen Vorgehensmodellen wie Srum und Kanban. Für das Security-Engineering gibt es bisher keine vergleichbaren Prozesse.
Security-Engineering ist eine strukturierte Methodik, um digitale Systeme kontinuierlich im Entwicklungszyklus so zu gestalten, dass sie in der Interaktion mit sich ändernden Bedrohungsformen, ihre Funktionsweisen, zuverlässig bereitstellen und spezifische Assets schützen. Die Praxis etabliert dafür formale Prozesse, um z.B. unter Mitwirkung des BSI ein Zertifizierungsprogramm zu erfüllen. Schaut man sich diese Verfahren genauer an, zeigen sich schnell ihre Grenzen.
Entkoppelte Sicherheitsbetrachtung
Die praktische Umsetzung einer formaler Sicherheitsbewertung, z.B. nach den Standards der Common Criteria, und ein modellbasiertes Security-Engineering erfolgt oft in einer fachlichen Aufteilung. Unterschiedliche Kompetenzen in Methodik und Denkweise erlauben keine ganzheitliche Durchdringung des Lösungsgegenstandes.
Nicht nachvollziehbare Architekturentscheidungen
Software-Engineering ist durch kontinuierliche Entscheidungsfindung geprägt. Sicherheitsziele konstituieren die Sicherheitsarchitektur und erfordern angemessene Design-Entscheidungen. Die durch Formalismen differenzierte Entwicklungspraxis führt zu einem Defizit grundlegender Architekturentscheidungen.
Ineffiziente Sicherheitsbewertung
Die Bereitstellung notwendiger Nachweise zur Erlangung einer Sicherheitszulassung ist formal komplex und mit hohem Personalaufwand verbunden. Dynamische Software-Entwicklungen bleiben mit einem manuellen und schwer zu kalkulierenden Bewertungsverfahren durch autorisierte Prüfstellen konfrontiert.
Ganzheitlicher Konzeptansatz als
modellbasiertes Security Engineering
Der vorgestellte Konzeptansatz für ein Security-Engineering folgt den bewertenden und vertrauensbildenden Konzepten der Common Criteria. Jedes zu untersuchende IT-System (Target of Evaluation – TOE) ist einer strukturierten Methodik zur Sicherheitsbewertung unterzogen. In Bezug auf ein identifiziertes Sicherheitsproblem (Security Problem Definition) führen formale Konzeptansätze für die Definition und Umsetzung von Sicherheitszielen zu einem angemessenen Sicherheitsdesign (Security Solution Design).
Leistungen der TrustKBB
Für die Sicherheitsmodellierung und Automatisierung der Nachweiserzeugung wurde die CC-Terminologie als eigenständiges CC-UML-Profil für die UML-Sprache semantisch formalisiert. Die Transformation der CC-Terminologie umfasst (Stereotypes), Beziehungen (Relations), Sicherheitskomponenten (SFRs)und grundlegende Security-Pattern. Security Functional Requirements (SFRs) bilden das Herzstück im Sicherheitsdesign. Die in Klassen strukturierten Sicherheitskomponenten übersetzen vorgelegte Sicherheitsziele (Security Objectives) in konkrete Sicherheitsmaßnahmen.
Der Gegenstand jeglicher CC-Betrachtung sind Strukturen einer digitalen Security-Domain. Die CC-Terminologie unterscheidet in user, subjects, objects, resources, information und die darauf anzuwendenden operations. Die Konzeptklassen bilden den Scope zur Entwicklung einer Sicherheitspolicy (Security Policy Definition – SPD). Die modellbasierte Verlinkung der CC-Terminologie über ein Security-Domain-Profil verbindet die CC-Methodik mit dem funktionalen Entwurf beliebig komplexer IT- Architekturen.
Die funktionale Konzeption von Sicherheitszielen wie z.B. Vertraulichkeit, Verbindlichkeit oder Zurechenbarkeit verwendet häufig kryptographische Methoden. Ein Cryptography-Profil stellt Konzeptklassen zur Beschreibung kryptographischer Funktionen (TOE Security Functions) bereit. Der Funktionsumfang umfasst u.a. die Themengebiete Vertrauenswürdige Identitäten (PKI), Verschlüsselung (symmetrisch, asymmetrisch) und Digitale Signatur.
Modellgestützte Analyse
Die Anwendung in einem geschlossenen TOE-Modell ist Grundlage für eine in Echtzeit ablaufende sicherheitsorientierte Analyse (Model Security Analytics). Ein kontinuierliches Security Design Reasoning beobachtet, dass funktionale Erweiterungen nicht unbemerkt einen bereits etablierten Sicherheitsstatus nachteilig verändern. Die modellbasierte Bewertung kennzeichnet noch offene Sicherheitsentscheidungen innerhalb der TOE-Architektur und verfolgt die konsistente Umsetzung von bestehenden Sicherheitszielen.