Von Thomas Preuß
Thomas Gilles: Entwickelte mehr Sicherheit für USB-Datenträger. Foto: Thomas Iskra
Hohes Sicherheitsrisiko
USB-Datenträger erfreuen sich dank ihrer großen Kapazität und kompakten Bauweise wachsender Beliebtheit. Diese preisgünstigen Speicher entwickeln sich zum bevorzugten Datenträger für vertrauliche Unternehmensdaten, behördeninterne und private Dokumente. Täglich werden auf USB-Datenträgern Geschäftspläne, Personaldaten, die private E-Mail-Korrespondenz und vieles mehr transportiert. Ungeachtet des meist hohen Grades an Vertraulichkeit der Daten, werden diese oft nicht oder nur unzureichend geschützt. Daraus resultiert ein hohes Sicherheitsrisiko, da USB-Datenträger aufgrund ihrer kompakten Bauweise leicht verloren gehen oder entwendet werden können.
Auf dem Markt sind verschiedene USB-Datenträger mit spezifischen Sicherheitsfunktionen verfügbar. Ob Fingerabdrucksensor oder Passwortschutz, die Sicherheitsleistungen dieser Funktionen sind sehr unterschiedlich. Anwender können nicht beurteilen, ob diese Geräte ihren Ansprüchen hinsichtlich Sicherheitsleistung und Anwenderfreundlichkeit entsprechen. Darüber hinaus können sie nicht beurteilen, ob die vom Produkt angebotene Sicherheitsleistung auch korrekt erbracht wird.
USB-Datenträger bekommen mehr Sicherheit
Das BSI hat die Aufgabe, für Produkte, Systeme oder Komponenten der Informationstechnik Sicherheitszertifikate zu erteilen. Bestandteil des Verfahrens ist die technische Prüfung des Produktes gemäß der vom BSI öffentlich bekannt gemachten oder allgemein anerkannten Sicherheitskriterien.
Thomas Gilles hat im Zuge seiner Abschlussarbeit einen international anerkannten Sicherheitsstandard in Form eines Schutzprofils für die Produktklasse USB-Datenträger erstellt. Der Standard spezifiziert über welche Sicherheitseigenschaften ein USB-Datenträger verfügen muss, um eine Basissicherheit zu gewährleisten.
Sicherheitsstandards werden definiert
Grundlage für die Spezifikation des Sicherheitsstandards (Common Criteria) ist der internationale Standard ISO/IEC 15408. Die darin genannten Kriterien bilden ihrerseits wieder die Grundlage für die Prüfung und Bewertung von Informationstechnik (IT) einerseits, anderseits können sie als eine Art Werkzeugkasten fungieren, um Sicherheitsstandards zu definieren. Dazu beschreiben die Common Criteria das Konzept der Schutzprofile. In Schutzprofilen werden aus Anwendersicht Anforderungen an eine IT-Produktklasse spezifiziert, um ein Sicherheitsproblem zu lösen. Schutzprofile werden von zwei unabhängigen Stellen anhand einheitlicher Kriterien überprüft, um die Korrektheit solcher Dokumente sicherzustellen. Besteht ein Schutzprofil diese Prüfung, wird dies mit einem Zertifikat bestätigt und in internationalen Registern veröffentlicht.
Das Schutzprofil für USB-Datenträger wurde im Rahmen der Abschlussarbeit zertifiziert, somit ist nachgewiesen, dass das spezifizierte Schutzprofil vollständig, konsistent und technisch beständig ist.
Die Zukunft
Hersteller können das Schutzprofil zur Zertifizierung ihrer bereits auf dem Markt erhältlichen USB-Datenträger oder zur Entwicklung neuer USB-Datenträger nutzen. Somit können sich Anwender am Schutzprofil orientieren und auf zertifizierte USB-Datenträger zurückgreifen, um ihre vertraulichen Daten wirksam zu schützen. Thomas Gilles war vom Arbeitsklima und dem Aufgabenbereich beim BSI sehr begeistert. Er wird sich in naher Zukunft auf eine Stelle bewerben, um seine erlernten Fähigkeiten voll einbringen zu können.
Artikel vom 17.07.2006
Nutzen Sie die Möglichkeit, die gedruckte Ausgabe des "doppelpunkt:" zweimal jährlich zu beziehen und bereits veröffentliche Ausgaben nachzubestellen. mehr...