Ordnungsmäßigkeit
Grundsatz Grundsatz Grundsatz Grundsatz
Ordnungsmäßigkeit ist immer bezogen auf eine gegebene Ordnung außerhalb
des betrachteten Systems.
Andere Begriffe für „Ordnung außerhalb”
externe Ordnung
Menge von Anforderungen Anforderungskatalog
Spezifikation
Set of Requirements
…
Quellen für externe Anforderungen
Gesetze
Verordnungen
organisatorische und techn. Vorschriften Unternehmensinteressen
Konventionen und Traditionen
Bräuche, Gewohnheiten, Vereinbarungen, Standesregeln, Ehrenkodizes
Entwurfsspezifikationen
Gräte- und Funktionsbeschreibungen technische Anleitungen,
… Hinweis:
Datenschutz und IT-Sicherheit sind nur eine Untermenge
Anf1/
Ordnungsmäßigkeit
Anforderungen Anforderungen Anforderungen Anforderungen
Mengen von Anforderungen sollen vollständigund widerspruchsfrei
sein.
Bisher vorhandene Werkzeuge sind dafür kaum zurei- chend; fast durchweg auf syntaktische Korrektheit ausgerichtet (Anforderungsanalyse, Requirements En- gineering).
Prüfung der semantischen Korrektheit oder Verträg- lichkeit bislang maschinell nur rudimentär.
Praktischer Weg: Iteration
schrittweise Annäherung an eine möglichst vollständige Beschreibung
Rückkopplung zwischen Anforderungskatalog und System (Anpassung des Systems oderoderoderoder des Katalogs)
aess Okt-01 /Anf2/
Ordnungsmäßigkeit
Ordnungsmäßiges System
Ein ordnungsmäßiges System tut alles, was es soll,
nichts, was es nicht soll.
Die Frage nach der Ordnungsmäßigkeit eines Systems ist deshalb immer bezogen auf eine
gegebene Ordnung außerhalb.
des betrachteten Systems.
Zeitrahmen
Die Ordnungsmäßigkeit eines Systems schließt die zeitlichen Randbedingungen ein.
Ordnungsmäßigkeit verlangt die Ausführung einer geforderten Aktion
zum geforderten Zeitpunkt
in den geforderten Zeitschranken
Anf3/
Ordnungsmäßigkeit
Ein ordnungsmäßiges System
► führt alle geforderten Aktionen aus und
► weist alle nicht geforderten Aktionen zurück, und zwar
► innerhalb der geforderten zeitlichen Randbe- dingungen
Fortsetzung
aess Okt-01 /Anf4/
gefordert gefordert gefordert gefordert
Sy Sy
Sy Sysssstem tem tem---- tem funkt
funkt funkt
funktiiiion on on on
ja neinja ororororddddnungsnungsnungsnungs---- m
mm
määääßigßigßigßig
nicht ordnungs-
mäßig
ausgeführtausgeführtausgeführtausgeführt
nein
nicht ordnungs-
mäßig
or or or
orddddnungsnungsnungsnungs---- m
m m
määääßigßigßigßig
Ordnungsmäßigkeit
Nicht-ordnungsmäßiges Verhalten
Ein System tut
etwas, was es nicht soll, etwas nicht, was es soll,
etwas nicht im geforderten Zeitrahmen.
Nicht-ordnungsmäßiges System
Ein nicht-ordnungsmäßiges IT-System weist geforderte Aktionen zurück führt nicht geforderte Aktionen aus verletzt die Zeitvorgaben.
Nicht-ordnungsmäßiges Verhalten schließt ein Sabotage (Störung oder Zerstörung Mißbrauch
Diebstahl oder Preisgabe
fehlerhaftes Verhalten oder Ausfall
…
des Systems oder seiner Komponenten.
Anf5/
Ordnungsmäßigkeit
Nicht-ordnungsmäßiges Verhalten für die Fundamentalkomponenten
Verlust Verlust Verlust
Verlust
*)*)*)*)… … … …
… der Vertraulichkeit (confidentiality) Gewinn von Information durch Unbefugte
… der Integrität (integrity)
unbefugte Veränderung von Daten oder Funktionen
… der Verfügbarkeit (availability)
mangelhafte Funktionalität (im Hinblick auf die Zuverlässigkeit und Verläßlichkeit des Systems)
… der Zurechenbarkeit (accountability) mangelhafte Zuordnung von definierten Veranlassern zu Abläufen und Ergebnis- sen
… der Rechtsverbindlichkeit (legal liability) oder Revisionsfähigkeit fehlende oder fehlerhafte Beweismöglich- keiten gegenüber neutralen Dritten
*) statt Verlust allgemeiner Beeinträchtigung
aess Okt-01 /Anf6/
Ordnungsmäßigkeit
Mißbrauch, unbefugte Nutzung Mißbrauch, unbefugte Nutzung Mißbrauch, unbefugte Nutzung Mißbrauch, unbefugte Nutzung
Das System führt eine Funktion aus, die nichtnichtnichtnicht oder nicht sonicht sonicht sonicht so in den Anforderungen enthalten ist.
Das kann heißen:
► Nutzung einer (grundsätzlich) erlaubten Aktion (Funktion) durch ein dafür
nicht autorisiertes Subjekt (Nutzer) oder mit einem dafür
nicht autorisierten Objekt (Bsp.1)
► Nutzung einer (grundsätzlich) nicht autorisier- ten Aktion (Funktion) durch ein autorisiertes Subjekt (Nutzer) (Bsp.2)
► Nutzung nicht autorisierter Funktionen durch nicht autorisierte Subjekte (Bsp. 3)
Fortsetzung
Nutz1/
Ordnungsmäßigkeit
Mißbrauch, unbefugte Nutzung Mißbrauch, unbefugte Nutzung Mißbrauch, unbefugte Nutzung
Mißbrauch, unbefugte Nutzung (Fts.) –––– Be Be Be Beiiiispiele spiele spiele –––– spiele
Beispiel (1)
◆ „Gewöhnlicher” (= nicht privilegierter) Anwender än- dert eine Systemfunktion.
◆ Anwender liest oder ändert unberechtigt Dateien ei- nes anderen Anwenders.
Beispiel (2)
◆ Systemprogrammierer oder Superuser (= „Darf al- les!”) benutzt ein (verbotenes) Spielprogramm.
◆ Software-Wartung spielt (versehentlich) ein Virus ein.
Beispiel (3)
◆ Hacker spielt.
Allgemein
◆ Informationsverlust durch Ausspähen, Abhören, Verrat, …
◆ Beeinträchtigung der Integrität (Verfälschung von Daten oder Funktionen, Fehlleitung von Daten, …)
Fortsetzung
aess Okt-01 /Nutz2/
Ordnungsmäßigkeit
Sabotage Sabotage Sabotage
Sabotage –––– Störung Störung Störung Störung –––– Zerst Zerst Zerstöööörung Zerst rung rung rung Störung der Funktional
Störung der Funktional Störung der Funktional
Störung der Funktionaliiiität tät tät tät
Das System führt eine Aktion nicht oder nicht (mehr) so oder nicht in dem Zeitrahmen aus, wie es in den Anforderungen festgelegt ist.
Das kann heißen:
Autorisierte Aktionen werden
◆ nicht oder
◆ anders als gefordert oder
◆ nicht zeitgerecht
ausgeführt, zum Beispiel mit geänderten Operationen oder mit geänderten Daten.
Nutz3/
Ordnungsmäßigkeit
Befugte (berechtigte) Nutzung Befugte (berechtigte) Nutzung Befugte (berechtigte) Nutzung Befugte (berechtigte) Nutzung
Das richtige Subjekt führt die richtige Aktion mit dem richtigen Objekt aus,
und zwar im richtigen Zeitrahmen. Das setzt voraus, Subjekte– Aktionen – Objekte
sind die „Richtigen”, d.h. sie authe
autheauthe
authennnntischtischtischtisch sind tatsächlich diejenigen, die sie zu sein vorgeben und
autor autorautor
autoriiiisiertsiertsiertsiert dürfen in dieser Weise arbeiten (sind zu dieser Aktion befugt).
Folgerung
Authentisierung AuthentisierungAuthentisierung
Authentisierung und AutorisierungAutorisierungAutorisierungAutorisierung sind kennzeichnende Eigenschaften oder
Grundfunktionen
jeder ordnungsgemäßen Nutzung von IT-Systemen.
aess Okt-01 /Nutz4/
Ordnungsmäßigkeit
Befugte Nutzung von Pr Befugte Nutzung von Pr Befugte Nutzung von Pr
Befugte Nutzung von Proooogrammen grammen grammen grammen
Der richtige Benutzer führt das richtige Programm mit den richtigen Daten aus,
und zwar im richtigen Zeitrahmen. Das setzt voraus, Benutzer – Programme – Daten sind die „Richtigen”, d.h. sie
authe autheauthe
authennnntischtischtischtisch sind tatsächlich diejenigen, die sie zu sein vorgeben und
autor autorautor
autoriiiisiertsiertsiertsiert
dürfen in dieser Weise im vor- gegebenen Zeitrahmen arbei- ten (sind zu dieser Aktion in diesem Rahmen befugt).
Folgerung
– wie zuvor -
Nutz5/
Ordnungsmäßigkeit
Sichere reale IT Sichere reale IT Sichere reale IT
Sichere reale IT----Systeme Systeme Systeme Systeme
Reale IT-Systeme sollen wie gefordert arbeiten, trotz Mitwirkung
nicht-ordnungsmäßiger Komponenten (Subjekte und Objekte, Aktionen, Relationen).
Folgerung
Entdeckung Entdeckung Entdeckung
Entdeckung und Kompensation Kompensation Kompensation Kompensation nicht- ordnungsmäßigen Verhaltens sind
notwendige Eige notwendige Eige notwendige Eige
notwendige Eigennnnschaftenschaftenschaften schaften
jeder ordnungsgemäßen Nutzung realer si- cherer IT-Systeme.
Sichere reale IT-Systeme müssen die Exis- tenz und Mitwirkung nicht-ordnungsmäßiger Gegenstände, Aktionen und Relationen mit einbeziehen,
während und nach dem Ablauf der Prozesse.
aess Okt-01 /Nutz6/
Ordnungsmäßigkeit
Sichere reale IT Sichere reale IT Sichere reale IT
Sichere reale IT----Systeme Systeme Systeme Systeme (Fts.) Typische unsichere Elemente
Reale sichere IT-Systeme müssen insbesondere be- rücksichtigen
► Fehler und Ausfälle in Hard- und Software,
► Einwirkungen (Störungen) von außen,
► fehlerhaftes und nicht-ordnungsmäßiges Verhalten von Menschen.
► mutwillige Eingriffe (Security vs. Safety)
► … … …
Kompensation (Überbrückung) von Fehlern
► Entdeckung der Fehler
► Korrektur der Fehler
► ggf. Beseitigung der Ursachen
► Bereinigung oder Überbrückung der Folgen während und nach dem Ablauf der Prozesse.
Nutz7/
Ordnungsmäßigkeit
Bereinigung der Fehlerfolgen Bereinigung der Fehlerfolgen Bereinigung der Fehlerfolgen Bereinigung der Fehlerfolgen
Wiederherstellung eines integren (also ordnungsmäßi- gen, fehlerfreien und funktionsfähigen) Zustandes post mortem, d.h. nach Ablauf oder Abbruch eines Prozes- ses
Voraussetzung Voraussetzung Voraussetzung Voraussetzung
Protokollierung
Registrieren von Systemzuständen mit geeigneten Parametern zu geeigneten Zeitpunkten
Folgerung
Protokollierung und Fehlerkompensation sind kennzeichnende Eigenschaften oder
Grundfunktionen
jeder ordnungsgemäßen Nutzung von realen sicheren IT-Systemen.
aess Okt-01 /Nutz8/
Ordnungsmäßigkeit
Robustheit Robustheit Robustheit Robustheit
als wichtige Eigenschaft bei der Berücksichti- gung nicht-ordnungsmäßiger Elemente
► Komponenten in „systemfeindlicher” Umgebung (IT-Systeme in Walzwerken, auf Bohrplattfor- men, im Weltraum, ….)
► Nutzung durch unqualifizierte Bediener (PCs, Arbeitsplatzsysteme, Terminals, …)
► Auswertung oder Erfassung (auch bekannter- maßen) unzuverlässiger Eingabedaten
► numerische Stabilität
► Erkennung von „Ausreißern” und Unempfind- lichkeit gegen deren Wirkung (→ Plausibilität der Funktionen und Ergebnisse)
in der Eingabe in der Ausgabe
► unsichere IT-Systeme oder -Komponenten als Bestandteile sicherer Gesamtsysteme
► …
Frage zum Modell:
Ist Robustheit eine Eigenschaft oder eine eigene semantische Dimension (Fundamentalkomponente) realer siche- rer IT Systeme?
Rob1/
Ordnungsmäßigkeit
Aktionen und Rechte in Aktionen und Rechte in Aktionen und Rechte in Aktionen und Rechte in sicheren m
sicheren m sicheren m
sicheren maaaaschinellen IT schinellen IT schinellen IT----Systemen schinellen IT Systemen Systemen Systemen
Alle Aktionen bauen auf zwei Grundoperationen auf:
Zugriff Zugriff Zugriff
Zugriff und ÜbertragungÜbertragungÜbertragungÜbertragung
Folgerung
Sicherheit
der Zugriffe und der Übertragungen ist ausschlaggebend für die Sicherheit
von maschinellen IT-Systemen.
Fortsetzung
aess Okt-01 /Recht1/
Ordnungsmäßigkeit
Grundkonzept für sichere IT Grundkonzept für sichere IT Grundkonzept für sichere IT
Grundkonzept für sichere IT----Systeme Systeme Systeme Systeme
Übertrage den Grundgedanken der befugten Nut- zung auf die beiden Grundoperationen Zugriff und Übertragung.
Zugriff
von Subjekten auf Objekte genau dann, wenn sie dazu berechtigt sind
Übertragung
zwischen Sender und Empfänger ge- nau dann, wenn sie dazu mit dem rich- tigen Objekt berechtigt sind
Anmerkungen
► Das Konzept setzt die Authentizität von Sub- jekt, Objekt, Sender und Empfänger voraus.
► Das Konzept impliziert die Authentizität und damit die Integrität aller Aktionen.
► Alle an Zugriff oder Übertragung beteiligten E- lemente müssen dazu autorisiert sein.
► Die Verfügbarkeit von Zugriffen und Übertra- gungen ist in der Forderung „genau dann” ent- halten.
Recht2/
Ordnungsmäßigkeit
Externe und interne Rechte Externe und interne Rechte Externe und interne Rechte Externe und interne Rechte Rechte in externen Ordnungen
Wer darf was womit wie tuntuntuntun?
Rechte in maschinellen IT-Systemen
Rechte in maschinellen IT-Systemen sind zunächst immer nur Zugriffs- und Übertragungsrechte.
Folglich lautet die Frage nach den Rechten in ma- schinellen Systemen primär
Wer darf worauf wie zugreifen zugreifen zugreifen zugreifen ?
und
Wer darf was an wen wie übertr übertraaaagen übertr übertr gen gen gen ?
Fortsetzung
aess Okt-01 /Recht3/
Ordnungsmäßigkeit
Externe und interne Aktionen Externe und interne Aktionen Externe und interne Aktionen Externe und interne Aktionen
Setze externe Anforderungen um in die beiden in- ternen Anforderungen
Welches Subjekt darf auf welches Objekt zugrezugrezugrezugreiiiifenfenfenfen und wie? Welcher Sender darf an welchenEmpfänger was übertübertragenübertübertragenragenragen und wie?
Anmerkung
Wie heißt unter Anderem auf welche Weise wann
wo wie oft
unter welchen Bedingungen
…
Recht4/
Ordnungsmäßigkeit
Interne Autorisierungen Interne Autorisierungen Interne Autorisierungen Interne Autorisierungen
Beispiele für interne Zugriffsrechte
Zugriffe auf Objekte in Dateien (Felder) lesen (read)
schreiben, ändern, löschen (write, erase, up- date)
ausführen (execute)
…
Zugriffe auf Dateien (Dateiverwaltung) anlegen (create)
entfernen (delete)
…
Zugriffe auf Dateiverwaltung (Rechte- vergabe)
autorisieren (authorise)
Rechte löschen (deauthorise)
…
…
Anmerkungen
Ausführen (execute)
≠
Lesen (read)Ist die hierarchische Anordnung der Rechte ge- eignet für Abbildung des „Rollenspiels“?
aess Okt-01 /Recht5/
Ordnungsmäßigkeit
Probleme der Umsetzung Probleme der Umsetzung Probleme der Umsetzung Probleme der Umsetzung
extern extern extern
extern intern intern intern intern
Befugnisse der externen Ordnungen
Befugnisse für
interne Aktionen und Relationen
Zugriffsrechte und Übertragungsrechte
Fortsetzung
Ums1/
Ordnungsmäßigkeit
Probleme der Umsetzung Probleme der Umsetzung Probleme der Umsetzung Probleme der Umsetzung externe Rechte
externe Rechte externe Rechte
externe Rechte interne Rechte interne Rechte interne Rechte interne Rechte
Externe Rechte
sind Befugnisse bezogen auf (in der Regel) sehr komplexe Aktionen (außerhalb des Systems).
Interne Rechte
sind Befugnisse bezogen auf Grundoperationen in maschinellen IT-Systemen.
Umsetzung externe Rechte interne Rechte –––– zwei Probleme
1. Ist die Reduktion möglich?
2. Wenn ja, ist sie auch zulässig?
Hinweis
Beachte auch hier wieder die enge Verknüpfung zwi- schen Sicherheit des Systems mit Sicherheit der Betrof- fenen (Sicherheit vor dem System).
Fortsetzung
aess Okt-01 /Ums2/
Ordnungsmäßigkeit
Problem der Spr Problem der Spr Problem der Spr
Problem der Sprachübergänge achübergänge achübergänge achübergänge
Anforderungen (Ordnung):
natürliche Sprache
Entwurf
Spezifikationssprache
Quellprogramm
Programmiersprache
Objektprogramm
Maschinensprache
Ums3/