Macstarter - Informationen zu Macs

Mandatory Access Control (MAC) („zwingend erforderliche Zugangskontrolle“) sind Konzepte für die Kontrolle und Steuerung von Zugriffsrechten, welche primär auf IT-Systemen abgebildet werden. Die Entscheidung über Zugriffsberechtigungen werden nicht nur auf der Basis der Identität des Akteurs (Benutzers, Prozesses) und des Objektes (Ressource, auf welche zugegriffen werden möchte) gefällt, sondern aufgrund zusätzlicher Regeln und Eigenschaften (wie Kategorisierungen, Labels und Code-Wörter).
Im Unterschied zu anderen Zugriffsmodellen wie DAC oder RBAC werden spezielle Funktionen in das IT-System und die Anwendungsprogramme eingearbeitet, welche den Zugriff, Benutzung und Konvertierung von Informationen nur unter den in dem jeweiligen Konzept geltenden Voraussetzung erlaubt.

Einsatzgebiete

Modelle des Mandatory Access Control dienen dazu die Informationen vor nicht autorisierten Zugriff sicherzustellen und auch systemtechnisch zu erzwingen. Der Schutz der Informationen bezieht sich entlang der Dimensionen Vertraulichkeit und Integrität.

* Vertraulichkeit: Verhindern des Zugriffs von nicht autorisierten Personen auf geschützte Informationen. Als Beispiel können hier Informationen aufgeführt werden, welche der Geheimhaltung unterstehen.
* Integrität: Verhindern der Manipulation von Informationen durch unautorisierten Personen. Als Beispiel kann hier die Befehlskette eines Militärischen Einsatzsystems, wie den Command-and-Control-Systeme angeführt werden.

Eine Ausprägung ist die Umsetzung von der Zugriffskontrolle in Betriebssystemen oder IT-Systemen oder Applikationen angewendet. Weiterhin können die Sicherheitsmodelle analog auch in Organisationsformen, Prozesse als auch in der Gebäudetechnik eingesetzt werden.

Vor allem im Bereich des Militärs werden solche Zugriffssysteme benötigt, wobei es sich um sensible Informationen bezüglich der Kriegsführung handelt, als auch im Bereich der Behörde, wobei es sich hier um Informationen bezüglich Technik, Politik, Außenhandel sowie der Nachrichtentechnik handelt. Siehe hierzu auch Verschlusssache. Ein weiterer Anwendungsbereich besteht für Patientendaten in der Gesundheitsbranche, zum Beispiel bei der Patientenkarte.

* Im einfachsten (und auch z.t. historischen) Fall, den (Multi-Level Sicherheitssysteme), bilden solche Systeme das Modell der Schutzstufen ab. Dabei wird jedes Objekt (Ressource auf welche zugegriffen werden möchte) einer Schutzstufe zugeordnet. Die einzelnen Schutzklassen unterteilen die Objekte in "Schichten" (vertikale Gliederung).Der Ausdruck Vertikal behandelt den Informationsfluss und bedeutet das Informationen nur in vertikalen Schichten fließen darf. Also eine Geheime Information darf nicht öffentlich werden oder von einem Benutzer mit einer Klassifizierung öffentlich gelesen werden. Jedem Subjekt (Akteur, Benutzer) wird nun ebenfalls eine Schutzstufe zugewiesen (Vertrauen). Ein Subjekt darf nur dann auf ein Objekt zugreifen, wenn die Schutzstufe des Subjektes (die Clearance einer Person) mindestens so hoch ist wie die Schutzstufe des Objektes (z. B. die Geheimhaltungsstufe eines Dokumentes).

* Im komplexeren Fall, den (Multilateralen Sicherheitsmodelle), bilden solche Systeme nicht nur eine vertikale Gliederung in Schutzstufen ab, sondern einen Verbund (engl. lattice) bestehend aus mehreren Schutzstufen und Code-Wörtern (engl. labels). Technisch sind sowohl Schutzstufen als auch Code-Wörter als Labels abgebildet. Somit ergibt sich ein horizontales Zugriffssystem (die Code-Wörter), welches zusätzliche vertikale Eigenschaften (die Schutzstufen) aufweist. Ein Zugriff auf geschützte Information ist nicht nur mit einer Klassifizierung Geheim möglich, sondern es müssen alle Schutzstufen und Code-Wörter erfüllt werden. Wenn Benutzer A Lesezugriff auf die Klassifizierung Streng Vertraulich besitzt, kann er Informationen dieser Klassifizierung lesen. Derselbe Benutzer besitzt aber keinen Zugriff auf Daten welche als Streng Vertraulich-(CodeWord:Krypto) klassifiziert sind. Um den komplexeren Sachverhalt zu verdeutlichen werden diese Systeme auch als Policy-Basierende Sicherheitsmodell oder Regelbasierte Sicherheitssystem bezeichnet.

Multi Level Sicherheitssysteme

Die Multi-Level Sicherheitssysteme (MLS) entsprechen der ursprünglichen Form der Mandatory Access Control, die in den 1970er Jahren beschrieben wurde. Meistens wurden Implementationen auf Mainframes im militärischen oder sicherheitstechnischen Bereich verwendet. Bis heute ist diese Art der Mandatory Access Control am weitesten verbreitet. Bei den MLS Systemen wird der Zugriff immer anhand der Schutzstufen abgebildet. Die Zugriffssicherheit bezieht sich auf den Top-Down und Bottom-Up Informationsfluss.
Schutzstufen in der MLS Sicherheit
Schutzstufen in der MLS Sicherheit

Bell LaPadula

Das Bell-LaPadula-Modell adressiert die Vertraulichkeit der Daten. Es soll nicht möglich sein, Informationen einer höheren Schutzstufung zu lesen oder Informationen einer höheren Schutzstufung in eine tiefere Schutzstufung zu überführen. Systeme, die auf dem Bell LaPadula Prinzip basieren, wurden vor allem dann verwendet, wenn Daten einer gewissen Geheimhaltung unterstehen. Die klassischen Bell-LaPadula-Systeme wurden durch Lattice- oder Compartment-basierende Systeme abgelöst.

Biba

Das Biba-Modell stellt eine Umkehrung des Bell-LaPadula-Modells dar: Hier werden Informationen nicht vor dem Lesen, sondern vor Manipulation durch Unbefugte geschützt. Das Biba Modell adressiert die Integrität der Daten. Das Biba-Modell wird einerseits in der Informationstechnik verwendet, z. B. als Gegenmassnahme bei Angriffen auf sicherheitsrelevante Systeme wie Firewalls, andererseits auch bei militärischen Systemen, wo es grundlegend wichtig ist, dass ein Befehl in der Kommandokette nicht modifiziert werden kann und somit eine falsche Anweisung weitergegeben wird.

LoMAC

Low-Watermark Mandatory Access Control ist eine Variation des Biba-Modells, welche erlaubt, dass Subjekte hoher Integrität lesend auf Objekte niedrigerer Integrität zugreifen. Es wird die Integrität des lesenden Subjekts heruntergesetzt, damit dieses nicht mehr schreibend auf Objekte mit hoher Integrität zugreifen kann. LoMAC Systeme werden vor allem in chroot Anwendungen wie Honeypot implementiert.

Multilaterale Sicherheitsmodelle

Der Begriff Multilaterale Sicherheitsmodelle wird für Sicherheitssysteme verwendet, die nicht nur Top-down- oder Bottom-up-Betrachtungen anstellen, wie das Bell-LaPadula oder Biba-Modell, sondern die Zugriffsrechte auf Basis von Segmenten vergeben. Die Multilateralen Sicherheitsmodelle werden auch als Policy-Basierende Sicherheitsmodelle oder Regelbasierte Sicherheitssysteme bezeichnet.
Schutzstufen in den Multilateralen Sicherheitsmodellen
Schutzstufen in den Multilateralen Sicherheitsmodellen

Compartment- oder Lattice-Modell

Auch bezeichnet als Lattice (Verbund)-Modell oder Compartment. Das Compartment-Modell basiert auf dem Bell-LaPadula Modell, erweitert die Zugriffe um Codewörter und bildet somit einen Verbund (Lattice). Das Lattice-Modell wurde 1993 von Ravi S. Shandu [1] und 1976 von Dorothy E. Denning [2] beschrieben. Wenn Benutzer A Lesezugriff auf die Klassifizierung Streng Vertraulich und Klassifizierung Vertraulich besitzt, kann er Informationen dieser Klassifizierung lesen. Derselbe Benutzer besitzt aber keinen Zugriff auf Daten welche als Streng Vertraulich-(Krypto) klassifiziert sind. Nur wenn der Benutzer Zugriff auf die Klassifizierungen Streng Vertraulich und Krypto besitzt kann er auf die Daten zugreifen.

Im Prinzip stellt das Modell eine Kombination von Schutzstufen mit dem Prinzip des notwendigen Wissens (engl.: Need to know principle) dar: Objekte werden sowohl vertikal (nach Schutzstufe) als auch horizontal (nach Sachgebiet) unterteilt, Subjekte werden pro Sachbereich einer Schutzstufe zugeordnet. Ein Zugriff kann nur erfolgen, wenn die Voraussetzung beider Regelsysteme erfüllt sind. Hauptaugenmerk wird auf eine Kontrolle des Informationsflusses gelegt. Es soll nicht möglich sein, dass vertrauliche Informationen an nicht vertrauenswürdige Personen weitergegeben werden.

Chinese Wall - Brewer-Nash

Der Ausdruck Chinese Wall kommt aus der Finanzbranche, siehe auch Chinese Wall (Finanzwelt), und bezeichnet bestimmte Regeln die verhindern sollen, dass ein Interessenkonflikt herbeigeführt wird. Dieses Modell, eine Variation des Lattice-Modells, bildet Separation of Duty innerhalb der Zugriffskontrolle ab und wurde 1989 von David F.C. Brewer und Michael J. Nash beschrieben.[3]. Die einzelnen Daten werden einfach in horizontale Segmente gegliedert und der gegenseitige Zugriff wird ausgeschlossen.

Weitere Sicherheitsmodelle

Clark Wilson

Das Clark-Wilson-Modell beschreibt die Integrität von kommerziellen, nicht militärischen Systemen und ist eine Variation des klassischen MAC Ansatzes. Praktisch jeder Grossrechner verarbeitet Daten auf Basis des Clark-Wilson Modelles.

1. Das System befindet sich in einem gültigen (konsistenten) Anfangszustand
2. Zugriff auf das System nur mittels explizit erlaubter Transaktionen.
3. Nur solche Transaktionen sind erlaubt, die das System unter allen Umständen in einen (neuen) gültigen Zustand bringen.

BMA-Modell (British Medical Association)

Das BMA-Modell wurde 1996 von Ross Anderson [4] beschrieben. Das Modell vereint Eigenschaften des Clark-Wilson-Modell mit dem Bell-LaPadula Sicherheitsmodell. Das BMA-Modell ist ein Zugriffsmodell welches zum Schutz von Medizinischen Daten entwickelt wurde. Das BMA-Modell ist generell anwendbar auf alle Daten, die dem Datenschutz unterstehen. 1996 wurde das Modell von der UEMO European Medical Organisation übernommen. Das BMA-Modell ist nicht zentral sondern dezentral angelegt. Die Policy wird durch den Patienten bestimmt.

Prinzip des notwendigen Wissens

Das Prinzip des notwendigen Wissens (engl: need-to-know principle) bietet eine Alternative zum Schutzklassenmodell: Hier werden die Objekte "horizontal" in Sachbereiche gegliedert, jedem Subjekt werden die Sachbereiche zugewiesen, für die er oder sie zuständig sein soll. Je nach Ausprägung muss nun ein Subjekt, das auf ein Objekt zugreifen will entweder allen oder zumindest einem Sachgebiet angehören, das dem Objekt zugeordnet ist. So wird der Verbreitungsbereich von Informationen wesentlich eingeschränkt, eine Kontrolle der Informationsflüsse wird erleichtert.

Der Vorteil dieses Sicherheitskonzeptes besteht darin, dass den einzelnen Akteuren nur die Rechte eingeräumt werden, die sie für ihre Aufgabe benötigen. Hierdurch wird das Risiko eines Missbrauchs von Anwendungen durch Ausnutzung von Sicherheitslücken minimiert.

Das bedeutet zum Beispiel, dass eine Anwendung, die keine Berechtigung für Netzwerkzugriffe benötigt, hierfür keine Rechte erhält. Dies hat zur Folge, dass ein Angreifer, der eine Sicherheitslücke ausnutzen möchte, das Programm nicht dazu missbrauchen kann, um Netzwerkverbindungen herzustellen.