Modellierung sicherer Systeme und Sicherheitsgarantien

Sicherheit

Die im Rahmen der Grundfrage Modellierung sicherer Systeme und Sicherheitsgarantien betriebene Forschung befasst sich mit der Entwicklung einer Methode zur systematischen Identifizierung und Analyse von Sicherheitsanforderungen eines technischen Systems. Dabei wird besonders Wert auf die Nachvollziehbarkeit der Sicherheit des betrachteten Systems gelegt. Dies bedeutet, dass es möglichst einfach einsehbar sein soll, dass die finale Implementierung eines Systems den ursprünglich erhobenen Anforderungen genügt.

Die im Rahmen der Grundfrage entwickelte Methode hat zum Ziel, eine nachvollziehbare Darstellung des Prozesses von den erhobenen Sicherheitszielen zu der konkreten technischen Umsetzung des zu entwickelnden Systems zu erlauben.

Diese Methode wurde für die Anforderungsanalyse einer sicheren Firewall durchgeführt. Dies führte zur Entwicklung eines Protoypen für diesen Anwendungsfall.

Bei der Erhebung und Realisierung sicherheitsrelevanter Anforderungen stellen sich nicht nur technische Sicherheitsfragen, sondern auch Fragen nach Rechtssicherheit und Sozialverträglichkeit technischer Lösungen. Die im Rahmen der Grundfrage entwickelte Methode fordert deshalb, rechtliche Fragestellungen bereits bei der Anforderungserhebung zu berücksichtigen.

Desweiteren wird erforscht, wie sich die Garantien der einzelnen Informatikdisziplinen ordnen lassen. Diese Forschungsarbeit ist dadurch motiviert , dass zahlreiche Experten aus unterschiedlichen Disziplinen an der Entwicklung eines komplexen technischen Systems tätig sind. Diese Experten geben disziplinenspezifische Garantien für das System. Hier tritt wieder das Problem der Nachvollziehbarkeit auf: Es sollte für die Experten verständlich sein, was die von ihnen gegebenen Garantien für das System insgesamt bedeuten.

Systematische Identifizierung von Sicherheitsanforderungen

Bei der Entwicklung eines technischen Systems müssen die Anforderungen der verschiedenen Bedarfsträger berücksichtigt werden. Insbesondere müssen die sicherheitsrelevanten Anforderungen erfüllt werden. Allerdings stellt bereits die Erhebung und Analyse der verschiedenen Anforderungen eine große Herausforderung dar. Beispielsweis können erhobene Anforderungen miteinander im Konflikt stehen. In diesem Fall müssen die daraus entstehenden Trade-off-Beziehungen identifiziert werden.

Insbesondere die Ermittlung der Sicherheitsanforderungen komplexer Systeme gestaltet sich für gewöhnlich sehr schwierig. Hier werden neue Methoden benötigt, die in KASTEL entwickelt und erforscht werden.

Ein großes Problem stellt hierbei die Nachvollziehbarkeit der Sicherheit des zu entwickelnden Systems dar. Ein Bedarfsträger sollte möglichst einfach einsehen können, dass die finale Implementierung des Systems seinen Anforderungen genügt. Ebenso sollte auch für die technischen Experten, die das System entwickelt haben, verständlich sein, was die von ihnen gegebenen Garantien für das System insgesamt bedeuten.

Übersetzung abstrakter Sicherheitsanforderungen in konkrete Sicherheitsanforderungen

Die durch Interaktion mit den Bedarfsträgern erhobenen Sicherheitsanforderungen sind im Allgemeinen zu abstrakt, um technisch umgesetzt werden zu können. Deshalb wurde ein Modell entwickelt, mit dem sich beschreiben lässt, wie aus abstrakten Sicherheitsanforderungen eines Bedarfsträgers konkrete technische Anforderungen an das zu entwickelnde System gewonnen werden können.

Ausgangspunkt bilden dabei die Güter eines Bedarfsträgers. Dies sind Ressourcen, die für einen Bedarfsträger einen (subjektiven) realen oder ideellen Wert besitzen (z.B. persönliche Daten, Reputation etc.). Die Güter eines Bedarfsträgers können durch das zu entwickelnde System potenziell Schaden nehmen. Dies führt zu dem Begriff der Softgoals. Softgoals geben an, welche Eigenschaften eines betrachteten Guts erhalten bleiben sollen. Beispielsweise kann ein Bedarfsträger fordern, dass seine persönlichen Daten geheim bleiben. Softgoals dienen dazu, die frühe Phase der Anforderungserhebung zu modellieren, in der die verschiedenen Sicherheitsanforderungen der Bedarfsträger erhoben werden. Dabei wird angenommen, dass ein Bedarfsträger (als technischer Laie) seine Sicherheitsanforderungen nur in Form von Softgoals formulieren kann, d.h. in der Form: Eigenschaft Y von Gut X muss erhalten bleiben!.

Softgoals lassen sie sich nur schwer in einem zu entwickelnden System umsetzen, da sie in einer informellen Sprache ohne Bezug auf ein konkretes technisches System geäußert werden Aus diesem Grund wurde der Begriff der Hardgoals eingeführt. Hardgoals sind definiert als notwendige Bedingungen an das zu entwickelnde System in Abhängigkeit der erhobenen Softgoals.

Beispielsweise ist die Anforderung Vertraulichkeit des Kommunikationskanals ein Hardgoal bzgl. des Softgoals Daten müssen geheim bleiben! und bezüglich des Mechanismus Datenübertragung (der zu den funktionale Eigenschaften des zu entwickelnde System gehört). Hinsichtlich der technischen Umsetzung und der formalen Verifikation lassen sich Hardgoals besser handhaben, da sie aus konkreten Anforderungen an das zu entwickelnde System bestehen.

Beteiligte Forschergruppen waren das Fraunhofer IOSB und das Institut für theoretische Informatik (ITI).

Ansprechpartner: Pascal Birnstill (IOSB)Brandon Broadnax (ITI)

Anwendung: Sichere Firewalls

Im Rahmen von KASTEL wurden mit Hilfe des oben beschriebenen Modells die Anforderungen an Firewalls betrachtet. Hierbei wurde untersucht, wie aus mehreren, möglicherweise nicht vertrauenswürdigen Firewalls eine neue, sichere Firewall konstruiert werden kann. Hieraus ist in Zusammenarbeit mit Industriepartnern und dem FZI Karlsruhe ein Firewall-Prototyp entstanden, der auf der CeBIT 2014 präsentiert wurde und zur Zeit im FZI House of Living Labs ausgestellt wird.

Beteiligte Forschergruppe war das Institut für theoretische Informatik (ITI).

Ansprechpartner: Dirk Achenbach (ITI)

Integration des Rechts

Zur Berücksichtigung rechtlicher Anforderungen wird in dem oben beschriebenen Modell der Gesetzgeber als zusätzlicher Bedarfsträger, der an der Anforderungsanalyse teilnimmt und rechtliche Anforderungen einbringt, betrachtet. Die Gemeinsamkeit zwischen den Softgoals der anderen Bedarfsträger und den bzgl. eines geplanten Systems einschlägigen Gesetzen ist der Bezug zu Gütern. Auch Gesetze sind immer auf den Schutz eines bestimmten Guts zurückzuführen. Im Unterschied zu den Softgoals der anderen Bedarfsträger können gesetzliche Anforderungen nicht abgeschwächt werden, um einen Kompromiss mit einem konfligierenden Softgoal eines anderen Bedarfsträger zu erreichen. Aus diesem Grund wurde der Begriff der Obligations eingeführt. Bei Obligations handelt es sich um nicht verhandelbare Anforderungen, die auf dem Abstraktionsgrad von Softgoals formuliert sind.

Beteiligte Forschergruppen waren das Fraunhofer IOSB, das Zentrum für angewandte Rechtswissenschaften (ZAR) und das Institut für theoretische Informatik (ITI).

Ansprechpartner: Pascal Birnstill (IOSB)Thomas Bräuchle (ZAR)Sebastian Bretthauer (ZAR)Brandon Broadnax (ITI)

Dekomposition konkreter Sicherheitsanforderungen in disziplinspezifische Problemstellungen

Identifizierte Hardgoals können nur durch die Kombination von Methoden und Technologien aus unterschiedlichen Teildisziplinen der Informatik erfüllt werden. Hierzu entwickelt KASTEL eine Methode zur Dekomposition von Hardgoals in disziplinspezifische Problemstellungen. Ausgangspunkt dieser Dekomposition ist die Beobachtung, dass sich jede Teildisziplin durch sogenannte separierende Annahmen charakterisieren lässt, welche einerseits für die Anwendbarkeit und die Sicherheit ihrer Mechanismen essentiell sind, aber andererseits nicht durch die Forschung in dieser Teildisziplin adressiert werden. Diese separierende Annahmen grenzen Teildisziplinen voneinander ab. Sie beziehen sich auf Fragestellungen, die von einer Teildisziplin ausgeklammert werden. Separierende Annahmen sind gleichbedeutend mit Hardgoals, welche von einer anderen Teildisziplin behandelt werden. Eine separierende Annahme einer Teildisziplin setzt entsprechend die Existenz und die Sicherheit von Mechanismen voraus, die von einer anderen Disziplin erforscht werden.

Hardgoals (insbesondere die von separierenden Annahmen implizierten) werden von sogenannten Black-Box-Mechanismus erfüllt. Black-Box-Mechanismen stellen aus der Sicht anderer Teildisziplinen eine Black-Box dar, d.h. einen Platzhalter für eine Klasse von Mechanismen bzgl. der Erfüllung des Hardgoals dar, für deren konkrete Ausprägung die entsprechende Teildisziplin zuständig ist. Typischerweise werden durch einen Black-Box-Mechanismus aufgrund der gemachten separierenden Annahmen weitere Hardgoals impliziert. Die separierenden Annahmen aller eingesetzten Mechanismen müssen explizit dokumentiert werden, sodass die Sicherheit des Systems nachvollziehbar und jederzeit überprüfbar ist.

Erste Instanziierungen dieser Dekomposition wurden anhand von Beispielszenarien aus den Bereichen Cloud Computing und intelligente Videoüberwachung durchgeführt (siehe Abbildung zu Beispielszenario aus dem Bereich Cloud Computing).

 

Beteiligte Forschergruppen waren das Fraunhofer IOSB und das Institut für theoretische Informatik (ITI).

Ansprechpartner: Pascal Birnstill (IOSB)Brandon Broadnax (ITI)