Die vier klassischen Sicherheitsmodelle im Überblick

In einigen IT-Security-Prüfungen werden oft Fragen zu den vier Sicherheitsmodellen gestellt. In diesem Beitrag möchte ich euch diese Modelle gerne vorstellen und erklären, wofür sie gedacht sind.

Bell-LaPadula

Das Bell-LaPadula-Modell ist eines der bekanntesten Sicherheitsmodelle und legt den Fokus auf die Vertraulichkeit. Es wurde 1973 von David Bell und Leonard LaPadula im Auftrag der US-Luftwaffe entwickelt. Das Hauptziel dieses Modells ist es, die Vertraulichkeit der Informationen zu gewährleisten.

Dieses Modell verwendet ein Mandatory Access Control (MAC), um sicherzustellen, dass Informationen ausschließlich an autorisierte Personen weitergegeben werden. Es basiert auf dem Prinzip: „No read up, no write down“. Das bedeutet:

„No read up“ bedeutet, dass ein Benutzer keine Informationen lesen darf, die über seiner eigenen Sicherheitsstufe liegen. Zum Beispiel darf ein Benutzer mit einer niedrigeren Sicherheitsfreigabe „vertraulich“) keine Daten lesen, die einer höheren Sicherheitsstufe „geheim“ zugeordnet sind.

„No Write Down“: ein Benutzer mit einer höheren Sicherheitsfreigabe darf keine Daten auf eine niedrigere Sicherheitsstufe schreiben. Dadurch wird verhindert, dass sensible Informationen ungewollt weitergegeben werden.

Biba

Das vier Jahre später von Kenneth Biba entwickelte Biba-Modell fokussiert sich auf die Integrität der Daten.  Es wird immer als das Gegenstück zu Bell-LaPadula präsentiert.

Ähnlich wie Bell-LaPadula verwendet Biba eine hierarchische Struktur, allerdings sind die Regeln quasi umgekehrt: „No read down, no write up“. Hierbei geht es nicht hauptsächlich darum, wer etwas lesen darf, sondern wer etwas verändern darf. Die Hauptregeln sind:

No read down: ein Subjekt (ein Benutzer oder ein System) mit einer hohen Integritätsstufe darf keine Daten von einer niedrigeren Integritätsstufe lesen, da diese möglicherweise fehlerhaft, unzuverlässig oder manipuliert sind.

No write up: Ein Subjekt mit einer niedrigeren Integritätsstufe darf keine Daten in ein System mit höherer Integrität schreiben, um Verunreinigungen zu vermeiden.

Die meisten Fragen bezüglich Biba betreffen die Integrität der Finanzdaten.

Clark-Wilson

Ähnlich wie das Biba-Modell beschäftigt sich das im Jahr 1987 von David Clark und David Wilson entwickelte Modell ebenfalls mit der Integrität der Daten, basiert aber auf einem anderen Konzept. Das Modell verwendet keine abstrakte hierarchische Struktur, sondern nutzt die Trennung von Daten und Prozessen, um die Integrität zu gewährleisten.

Ganz vereinfacht gesagt definiert das Modell sogenannte Constrained Data Items (CDIs), also geschützte Daten, die nur durch spezielle Transformation Procedures (TPs) verändert werden dürfen. Beides zusammen nennt man „Well-formed Transactions“. Dadurch werden unbefugte oder fehlerhafte Änderungen verhindert.

Zusätzlich gibt es Integrity Verification Procedures (IVPs), die regelmäßig prüfen, ob die Daten weiterhin korrekt und unverändert sind.
Ein weiteres wichtiges Prinzip ist die Trennung von Aufgaben (Separation of Duties): Keine einzelne Person sollte eine komplette, kritische Transaktion allein durchführen können.

Brewer-Nash

Das 1989 von Brewer und Nash entwickelte Modell (auch als „Chinese Wall Model” bekannt) wurde zur Vermeidung von Interessenkonflikten entwickelt.  Dieses Modell ist in den Bereichen Finanzdienstleistung und Beratung wichtig, in denen Mitarbeiter Zugriff auf sensible Kundendaten haben könnten.

Das Modell funktioniert dynamisch: Greift ein Benutzer auf Daten eines bestimmten Unternehmens (Firma A) zu, wird ihm der Zugriff auf Daten von Konkurrenten (Firma B) verweigert. Auf diese Weise wird eine virtuelle „Mauer“ zwischen konkurrierenden Interessen errichtet. Dadurch wird verhindert, dass sensible Informationen zwischen Wettbewerbern fließen, selbst wenn dies unbeabsichtigt geschehen würde.

Vergleichstabelle