Sicherheitsstandards und die Common Criteria, didaktisch aufbereitet mit Moodle

Abstract

Die Arbeit vermittelt wesentliche Aspekte der Common Criteria in einer Form, die für den Schulunterricht an einer HTL verwendet werden soll. Die Einführung beginnt mit einer umfassenden Erklärung des geschichtlichen Kontext der Common Criteria und erklärt zuvorgehende Standards wie die DoD 5200.28-M, TCSEC und ITSEC. Danach wird das Sicherheitsmodell und die Terminologie erläutert, darunter Kernbegriffe wie der Evaluationsgegenstand (EVG). Mit diesem Wissen ausgestattet werden dem Leser die zwei wesentlichen Ausdrucksformen zur Formulierung von Sicherheit vorgestellt: Sicherheitsvorgaben und Schutzprofile, wobei auch auf ihre Varianten mit geringer Vertrauenswürdigkeit eingegangen wird, die besonders bei einfacheren Projekten relevant sein können. Abschließend werden die Kataloge der Common Criteria erklärt, in denen Funktions- und Vertrauenswürdigkeitskomponenten für den Wiedergebrauch definiert werden. Abgerundet wird die Arbeit mit einem Moodle-Kurs, der wesentliche Fragen der einzelnen Kapitel formuliert interaktiv und automatisiert beurteilt beantworten lässt, und sich damit an die formulierte Zielgruppe von HTL-Schülern richtet, welche durch diese Arbeit ihr Verständnis von Sicherheitsstandards und -modellen schärfen sollen.

This thesis discusses the main aspects of the Common Criteria and communicates them in a form fit for students at secondary schools like the Austrian HTL (Höhere Technische Lehranstalt), an engineering-focused high school for students of age 14 - 19. The paper starts by introduction the historical context of the Common Criteria, describing preceeding and influential standards like the DoD 5200.28-M, the TCSEC and the ITSEC. After that, it goes on to explain the security model and terminology of the Common Criteria, particularly the core concept of the " Evaluationsgegenstand " (target of evaluation). Having equipped the reader with this knowledge, next the main concepts of "Sicherheitsvorgaben" and "Schutzprofile" (security targets and security profiles) are introduced, also in their shorter version of "lesser trusted" targets or profiles which are particularly useful for simpler security in projects. Finally, the Common Criteria catalogs are introduced which contain functional and assurance components for reuse by implementors of the CC. The paper is then finalized with the addition of an interactive Moodle course which picks up the essential knowledge introduced in this thesis and lets the user measure their learned knowledge in an interactive multiple-choice exam which, aiming at students, helps raise their awarness of security models and standards and gives them essential knowledge on how they work and are applied in practice.