Allgemeine Schutzziele

Eine allgemeine Definition der Anforderungen an Sicherungsmechanismen ist im Detail nicht vorhanden.

In [Rannenberg/Pfitzmann/Müller_1997] und [Federrath/Pfitzmann_1997] wird jedoch ein hinreichender Grundstock an Schutzzielen für den Bereich der mehrseitigen Sicherheit definiert. Die Vorstellung dieser Schutzziele soll eine Vorstellung über den zu betrachtenden Rahmen schaffen, welcher nachfolgend durch die konkreten Anforderungen der Kommunikationswege und der zu betrachtenden Inhalte eines computerbasierten Wahlsystems auf das Wesentliche reduziert wird.

Seit den achtziger Jahren findet eine Grundaufteilung der Schutzziele in drei Bereiche statt [Voydock/Kent_1983], [ZSIT_1989]:

• Vertraulichkeit (Confidentiality - Schutz vor unbefugtem Informationsgewinn)

V1	Nachrichteninhalte sollen vor allen Instanzen außer den Kommunikationspartnern vertraulich bleiben.
V2	Sender und/oder Empfänger sollen voreinander anonym bleiben können, und Unbeteiligte (inkl. Netzbetreiber) sollen nicht in der Lage sein, sie zu beobachten.
V3	Weder potenzielle Kommunikationspartner noch Unbeteiligte (inkl. Netzbetreiber) sollen ohne Einwilligung den momentanen Ort einer mobilen Teilnehmerstation bzw. des sie benutzenden Teilnehmers ermitteln können.

• Integrität (Integrity - Schutz vor unbefugter Modifikation von Information)

I1	Fälschungen von Nachrichteninhalten (inkl. der Identität des Absenders) sollen erkannt werden.

• Verfügbarkeit (Availability - Schutz vor unbefugter Beeinträchtigung der Funktionalität)

A1	Das Netz ermöglicht Kommunikation zwischen allen Partnern, die dies wünschen und denen diese nicht verboten ist.

Laut [Rannenberg/Pfitzmann/Müller_1997] wird in [Stelzer_1990] moniert, dass in [ZSIT_1989] ein Schutzziel der Zurechenbarkeit in Bezug auf die Bedrohung „Verlust der Verbindlichkeit“ nicht aufgeführt ist. In den Kanadischen Sicherheitsevaluationskriterien wird ein entsprechendes Schutzziel als zusätzliches viertes eingeführt [CSSC_1990], [CSSC_1993]:

• Zurechenbarkeit (Accountability - Schutz vor unbefugter Unverbindlichkeit)

Z1	Gegenüber einem Dritten soll der Empfänger nachweisen können, dass Instanz x die Nachricht y gesendet hat.
Z2	Der Absender soll das Absenden einer Nachricht mit korrektem Inhalt beweisen können, möglichst sogar den Empfang der Nachricht.
Z3	Niemand kann dem Netzbetreiber Entgelte für erbrachte Dienstleistungen vorenthalten. Umgekehrt kann der Netzbetreiber nur für korrekt erbrachte Dienstleistungen Entgelte fordern.

Zusätzlich unterscheidet [Federrath/Pfitzmann_1997] bei der Sicherheit informationstechnischer Systeme nach der Art der Ereignisse, gegen die Sicherungsmechanismen wirken sollen:

• beabsichtigte Angriffe (security)
  z.B. Abhören, Manipulation und Zerstörung von Information, und
  
• unbeabsichtigte Ereignisse (reliability)
  z.B. höhere Gewalt, technische Fehler, Fahrlässigkeit. Da in Bezug auf die unbeabsichtigten Ereignisse organisatorische Maßnahmen getroffen werden müssen (z.B. Schaffung von Redundanz bei wichtigen Geräten bzw. Datenbeständen und Festlegung hoher Anforderungen an die Fertigungsqualitäten in Verbindung mit einer Testphase für Soft- und Hardware), soll an dieser Stelle auf solche Belange nicht weiter eingegangen werden.