Wirklich sichere Betriebssysteme – ein Standard soll das schaffen

Nicht mit einzelnen Anwendungen kann man Sicherheit schaffen, sondern nur mit einer starken Wurzel, einem guten OS. Eine Anleitung zum Bau sicherer Plattformen will das IEEE jetzt schaffen.

Das einflussreiche ‘Institute of Electrical and Electronics Engineers’ (IEEE) will sich für einen Standard einsetzen, mit dem Betriebssysteme generell sicherer konzipiert werden können. Die Arbeitsgruppe ‘P2200 Base Operating System Security’ (Boss) habe bereits ihre Arbeit aufgenommen und suche jetzt nach Vorschlägen für “grundlegende, einheitliche Richtlinien für Sicherheitsanforderungen an Betriebssysteme”, heißt es bei der IEEE.
Anwendungen können nur so sicher sein wie das Betriebssystem, auf dem sie eingesetzt werden, so die grundlegende Erkenntnis der Standardisierer. Im Zentrum stehen dabei nicht etwa Betriebssysteme für Großrechenanlagen sondern das ‘OS von der Stange’. Möglicherweise werde es unterschiedliche Anforderungen für verschiedene Betriebssystemarten geben, schreibt der Vorsitzende der entsprechenden Arbeitsgruppe, Jack Cole, in seiner Ankündigung.

Die IEEE will von dem bereits festgelegten Anforderungskatalog der ‘Common Criteria’ ausgehen, betont aber, dass man auch bereit sei, sich nötigenfalls davon zu lösen. Die Common Criteria wurden von der ISO festgelegt, der ‘International Standards Organisation’, und bieten ein Set von Mindestanforderungen an IT-Sicherheitsprodukte.

‘Boss’ soll grundlegende Verfahren erfassen wie zum Beispiel die Identifikation von Anwendern, deren Authentifizierung, die Zugangskontrolle zu IT-Ressourcen sowie das Design von Verschlüsselungsverfahren. Schon Ende kommenden Jahres will die Arbeitsgruppe ihre Kriterien in einer ersten Fassung vorlegen.

“Wir brauchen jetzt so viel Input wie möglich”, appelliert Cole an Betriebssystem-Entwickler, Regierungsstellen mit Sicherheitsanliegen aber auch an Anwender im Finanzbereich oder in der Industrie, die sich mit Anlagensteuerung beschäftigen. Denn “nur wenn ein solcher Standard von Entwicklern wie Anwendern genutzt und unterstützt” werde, könne er den gewünschten Effekt erzielen. Vor allem die potenzielle Bedrohung der Elektrizitäts- und TK-Infrastruktur werde deutlich größeres Interesse an einem Sicherheitsstandard für Betriebssysteme wecken, glaubt Cole.