IT-GSHB 2000 - Sichere Rollenteilung und Konfiguration bei Kryptomodulen

M 4.86 Sichere Rollenteilung und Konfiguration bei Kryptomodulen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement

Viele kryptographische Sicherheitskomponenten bieten die Möglichkeit, daß mehrere Nutzerrollen sowie die zugehörigen Handlungen, die durch das autorisierte Personal ausgeführt werden können, unterschieden werden können. Abhängig vom Schutzbedarf sind hierzu Zugriffskontroll- und Authentisierungsmechanismen erforderlich, um verifizieren zu können, ob ein Nutzer zur Ausführung des gewünschten Dienstes auch tatsächlich autorisiert ist. In Bezug auf die unterschiedlichen Rollen bietet sich folgende Unterteilung an:

Benutzerrolle, der die Benutzung und Verwendung der Sicherheitskomponente obliegt (z. B. Endteilnehmer, Benutzer).
Operatorrolle, die für die Installation und das Kryptomanagement verantwortlich ist (z. B. Sicherheitsadministrator).

Und zumindest eine

Maintenance-Rolle, die für Wartungs- und Reparaturarbeiten zuständig ist (z. B. Wartungstechniker, Revisor).

Bei Kryptokomponenten, bei denen die Benutzer- und die Administratorrolle getrennt werden kann, sollte diese Möglichkeit auch genutzt werden und durch die Administration Grundeinstellungen vorgegeben werden, wie z. B. Paßwortlänge oder Schlüssellänge, so daß die Benutzer nicht aus Bequemlichkeit oder Unkenntnis unsichere Einstellungen wählen können.

Neben den unterschiedlichen Rollen gilt es entsprechend auch die verschiedenen Handlungen bzw. die von der Sicherheitskomponente bereitgestellten Dienste zu unterscheiden. Ein Kryptomodul sollte zumindest folgende Dienste zur Verfügung stellen:

Statusanzeige zur Ausgabe des momentanen Status der Kryptokomponente,
Selbsttest zur Initialisierung und Durchführung von selbständigen Selbsttests,
Bypass zur Aktivierung und Deaktivierung eines Bypass mittels dessen durch das Kryptomodul Klarinformationen bzw. ungesicherte Daten transportiert werden.

Zur erforderlichen Authentisierung des Personals gegenüber der Sicherheitskomponente bieten sich eine Vielzahl von unterschiedlichen Techniken an: Paßwort, PIN, kryptographische Schlüssel, biometrische Merkmale etc. Die Kryptokomponente sollte so konfiguriert sein, daß bei jedem Rollenwechsel oder bei Inaktivität nach einer bestimmten Zeitdauer die Authentisierungsinformationen erneut eingegeben werden müssen. Ferner empfiehlt sich an dieser Stelle eine Beschränkung der Authentisierungsversuche (z. B. indem der Fehlbedienungszähler auf 3 gesetzt wird).