Windows NT, so ist häufig zu hören, sei ein sicheres Betriebssystem, da es schliesslich von nordamerikanischen Sicherheitsbehörden nach der Sicherheitsstufe C2 zertifiziert sei. Folglich sei man als Anwender von Windows NT immer auf der sicheren Seite. Dies ist jedoch nur bedingt richtig.
Zwar sind in amerikanischen Guidelines zur NT-Sicherheit zahlreiche Sicherheitsmechanismen aufgelistet, die es dem Systemverwalter ermöglichen, für NT-Systeme einen C2-ähnlichen Sicherheitsstandard zu erreichen (z.B. Secure Windows NT Installation und Configuration Guide der US Navy, Windows NT Security Guidelines der NSA). Microsoft stellt im Service Pack 3 hierzu einen C2-Konfiguration Manager zur Verfügung, der den Systemverwalter in dieser Hinsicht unterstützt.
Kriterien wie beispielsweise C2 orientieren sich allerdings zum Teil an Zielen militärischer Sicherheit, die nicht immer deckungsgleich mit den Anforderungen sind, die Systemverwalter und Datenschutzbeauftragte an die Sicherheit der Systeme stellen. Der Begriff der C2-Sicherheit wurde nicht zuletzt vom nordamerikanischen Verteidigungsministerium erstmals zu Beginn der achtziger Jahre in einem sogenannten Orange Book verwendet, hat allerdings seitdem auch die Diskussion um Sicherheitskriterien europa- und weltweit geprägt: Identifikation und Authentisierung, Rechteverwaltung, Rechteprüfung, Beweissicherung, Wiederaufbereitung, Fehlerüberbrückung, Gewährleistung der Funktionalität sowie Übertragungssicherung sind acht Grundfunktionen, die ein sicheres System nach den Vorstellungen des Orange Book zur Verfügung stellen sollte.
Zudem sind Kriterien wie C2 teilweise sehr abstrakt formuliert. Der Umfang und die Tiefe der Kriterien erfordern komplexe Systemprüfungen, die sowohl in qualitativer als auch in quantitativer Hinsicht nur von wenigen Firmen durchgeführt werden können. Die Zertifizierungen dauern daher meistens mehrere Monate. Da die Zertifikate auch nur für einzelne Versionen gelten, müssen neuere Versionen nachzertifiziert werden, wenn das Zertifikat auch weiterhin Gültigkeit besitzen soll. Dies ist selbst für grosse DV-Hersteller mit einem umfangreichen Produktangebot über einen längeren Zeitraum nicht immer leistbar.
Auch die in Kapitel 2 dieser Broschüre formulierten Anforderungen orientieren sich teilweise an den genannten Grundfunktionen des Orange Book. Allerdings sind die Anforderungen nicht nur auf den Missbrauch durch Aussenstehende gerichtet, sondern wirken entgegen der Orange-Book- und Common-Criteria-Sichtweise auch Risiken entgegen, die von den Benutzern oder den Systemverwaltern selbst ausgehen können.
Zurück zur Übersicht Windows NT
