IT-GSHB 2000 - Anforderungen an die Betriebssystem-Sicherheit beim Einsatz von Kryptomodulen

M 4.88 Anforderungen an die Betriebssystem-Sicherheit beim Einsatz von Kryptomodulen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement

Beim Einsatz von Kryptomodulen spielt deren Einbindung ins bzw. Abhängigkeit vom jeweiligen Betriebssystem des Hostsystems eine wesentliche Rolle. Das Zusammenwirken von Betriebssystem und Kryptomodul muß gewährleisten, daß

das Kryptomodul nicht abgeschaltet oder umgangen werden kann (z. B. durch Manipulation oder Austausch von Treibern),
die angewendeten oder gespeicherten Schlüssel nicht kompromittiert werden können (z. B. durch Auslesen von RAM-Bereichen),
die zu schützenden Daten nur mit Wissen und unter Kontrolle des Anwenders auch unverschlüsselt auf Datenträgern abgespeichert werden können bzw. das informationsverarbeitende System verlassen (z. B. bei Netzanbindung),
Manipulationsversuche am Kryptomodul erkannt werden.

Je nach Art des Kryptomoduls (Hardware- oder Software-Realisierung, Einbindungsstrategie in die IT- Komponente etc.), den Einsatzbedingungen und dem Schutzbedarf der zu sichernden Daten können sich unterschiedlich starke Anforderungen bzgl. der Betriebssystem-Sicherheit ergeben. Bei in Software realisierten Kryptomodulen ist der Einsatz eines sicheren Betriebssystems besonders wichtig. Kommerzielle PC- Betriebssysteme sind in der Regel derart komplex und kurzen Innovationszyklen unterworfen, daß die Daten- bzw. Systemsicherheit kaum nachweisbar oder beweisbar ist. Eine Ausnahme können proprietäre oder für spezielle Anwendungen optimierte Betriebssysteme bilden (z. B. spezielle Betriebssysteme in Kryptogeräten). Daher ist es beim Einsatz von kryptographischen Produkten auf Standard-Betriebssystemen wie z. B. zur Dateiverschlüsselung oder zur E-Mail-Absicherung wichtig, daß alle Standardsicherheitsmaßnahmen für dieses Betriebssystem umgesetzt sind. Die sicherheitstechnischen Anforderungen an diese IT-Systeme können den jeweiligen systemspezifischen Bausteinen entnommen werden, so etwa für Clients in Kapitel 5, für Server in Kapitel 6.

In Hardware realisierte Kryptomodule können so konstruiert sein, daß sie Mängel der Betriebssystem-Sicherheit kompensieren oder vollständig ausräumen. Hier liegt die Verantwortung zur Erfüllung der o. g. Anforderungen allein beim Kryptomodul. Es muß z. B. erkennen können, ob unverschlüsselte Daten berechtigt oder unberechtigt am Modul vorbei auf Datenträger oder andere Geräteschnittstellen geschrieben werden. Der Anwender muß in Übereinstimmung mit der für sein Umfeld individuell erstellten Sicherheitspolitik entscheiden, welche Kombination Betriebssystem / Kryptomodul erforderlich ist.