Bundesamt für Sicherheit in der Informationstechnik

M 4.86 Sichere Rollenteilung und Konfiguration der Kryptomodule

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Viele kryptographische Sicherheitskomponenten bieten die Möglichkeit, dass mehrere Nutzerrollen sowie die zugehörigen Handlungen, die durch das autorisierte Personal ausgeführt werden können, unterschieden werden können. Abhängig vom Schutzbedarf sind hierzu Zugriffskontroll- und Authentisierungsmechanismen erforderlich, um verifizieren zu können, ob ein Nutzer zur Ausführung des gewünschten Dienstes auch tatsächlich autorisiert ist. In Bezug auf die unterschiedlichen Rollen bietet sich folgende Unterteilung an:

  • Benutzerrolle, der die Benutzung und Verwendung der Sicherheitskomponente obliegt (z. B. Endteilnehmer, Benutzer).
  • Operatorrolle, die für die Installation und das Kryptomanagement verantwortlich ist (z. B. Sicherheitsadministrator).

Und zumindest eine

  • Maintenance-Rolle, die für Wartungs- und Reparaturarbeiten zuständig ist (z. B. Wartungstechniker, Revisor).

Bei Kryptokomponenten, bei denen die Benutzer- und die Administratorrolle getrennt werden kann, sollte diese Möglichkeit auch genutzt werden und durch die Administration Grundeinstellungen vorgegeben werden, wie z. B. Passwortlänge oder Schlüssellänge, sodass die Benutzer nicht aus Bequemlichkeit oder Unkenntnis unsichere Einstellungen wählen können.

Neben den unterschiedlichen Rollen gilt es entsprechend auch die verschiedenen Handlungen bzw. die von der Sicherheitskomponente bereitgestellten Dienste zu unterscheiden. Ein Kryptomodul sollte zumindest folgende Dienste zur Verfügung stellen:

  • Statusanzeige zur Ausgabe des momentanen Status der Kryptokomponente,
  • Selbsttest zur Initialisierung und Durchführung von selbständigen Selbsttests,
  • Bypass zur Aktivierung und Deaktivierung eines Bypass mittels dessen durch das Kryptomodul Klarinformationen bzw. ungesicherte Daten transportiert werden.

Zur erforderlichen Authentisierung des Personals gegenüber der Sicherheitskomponente bieten sich eine Vielzahl von unterschiedlichen Techniken an: Passwort, PIN, kryptographische Schlüssel, biometrische Merkmale etc. Die Kryptokomponente sollte so konfiguriert sein, dass bei jedem Rollenwechsel oder bei Inaktivität nach einer bestimmten Zeitdauer die Authentisierungsinformationen erneut eingegeben werden müssen. Ferner empfiehlt sich an dieser Stelle eine Beschränkung der Authentisierungsversuche (z. B. indem der Fehlbedienungszähler auf 3 gesetzt wird).

Prüffragen:

  • Werden die administrativen Möglichkeiten von Kryptokomponenten genutzt, um sichere Grundeinstellungen vorzugeben?

  • Erfordert ein Rollenwechsel oder längere Inaktivität eine erneute Authentisierung an der Kryptokomponente?

Stand: 13. EL Stand 2013