Forschungsprojekt SeSaM Sicherheit: Raus aus der US-Abhängigkeit

Viele in der IT-Sicherheit benötigte Komponenten beruhen heute fast ausschließlich auf US-Technologie. Mit dem BMBF-geförderten Projekt SeSaM soll das Fundament für ein sicherheitskritisches Betriebssystem mit deutschen Wurzeln geschaffen werden.

Auch die gängigen, im Rahmen der »Common Criteria for IT-Security Evaluation« (CC) definierten Protection Profiles wurden in den USA erarbeitet und zertifiziert. Da es jedoch nicht im nationalen Interesse liegen kann, sich in grundlegenden Sicherheitstechnologien ausschließlich auf US-Technologie zu verlassen, steigt die Nachfrage nach europäischen Alternativen.

Aus diesem Grund haben das Fraunhofer-Institut IESE, die Unternehmen Sysgo, EADS und DFKI das Projekt SeSaM (Secure and Safe Microkernel) gegründet. Für dieses Projekt sind folgende Ziele vorgegeben:

  • Security-Anforderungen für Virtualisierungslösungen analysieren und erarbeiten. Dabei soll ein »Schutzprofil« erstellt werden, das eine spätere Zertifizierung für Virtualisierungslösungen deutlich erleichtert.
  • Nach der Definition des »Schutzprofils« und der Sicherheitsziele soll eine protoypische Umsetzung auf der Grundlage des Sysgo-Microkernels PikeOS erfolgen. Neben dem Effekt der praktischen Erprobung des Schutzprofils soll dadurch die Basis für die Zertifizierung eines sicherheitskritischen Betriebssystems nach EAL5 entstehen.
  • Formale Methoden: Formale Modellierung hat sich als außerordentlich nützlich herausgestellt, insbesondere bei der Analyse von Anforderungen. Die Entwicklung von Modellen, die die spezifischen Ziele und Funktionen der Virtualisierung unterstützen, sollen eine Weiterentwicklung der Zertifizierung auf das Niveau EAL 6/7 ermöglichen.
  • Entwicklung eines modularen Zertifizierungsprozesses: Modulares Design ist unabdingbar, um komplexe Softwaresysteme in überschaubare Einheiten aufzuteilen. Bei der Zertifizierung muss heute aber das Gesamtsystem nochmal zertifiziert werden, auch wenn die einzelnen Module bereits zertifiziert sind. Um dieses Dilemma zu lösen, soll ein neuer, formaler Zertifizierungsprozess entwickelt werden.

Laut Spiegel Online wird das SeSaM-Projekt bis 2013 mit rund einer Million Euro gefördert.