Trust Through Evaluation and Certification?

Abstract

Trust is a common aspiration in information and information technology (IT) security. Typical situations include those in which the intention is to sell security policies, measures, standards, and procedures as promoting security. Trust is mentioned in various lists of criteria and evaluation catalogs on secure IT products and systems as these catalogs aim to achieve reliability (access) and confidentiality (data). What is interesting here is that trust is not considered as a concept but instead in the colloquial sense (with no reflection of the ubiquity of the term) and is considered achievable with the help of technical procedures. Evaluation of IT products and systems and certification of digital signatures should, however, guarantee security that can be quantified and verified. This article explores three main theories in connection with information and IT security: Do evaluation, certification, and standardization serve in creating trust by reducing complexity in such a way that they can be understood and verified by the user?

Keywords

evaluation certification IT security trust assurance confidence IT products IT systems ISO common criteria alter ego IT information society code of practice

Get full access to this article

View all access options for this article.

References

Bachmann. R. (1997). Kooperation und Vertrauen in zwischen betrieblichen Beziehungen. In Hradil (Ed.), Differenz und Integration. Die Zukunft moderner Gesellschaften (Proceedings of the 28th Congress of the Deutsche Gesellschaft für Soziologie [German Society for Sociology] in Dresden 1996) (pp. 255-271). Frankfurt/New York: Campus Verlag.

Braczyk, H.-J. (1999). Vertrauensbildung aus soziologischer Sicht. In G. Müller (Ed.), Mehrseitige Sicherheit in der Kommunikationstechnik. Erwartung, Akzeptanz, Nutzung (pp. 119-150). Bonn/Amsterdam: Addison Wesley.

Brauer, E. (1997). Common criteria. Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik. Bonn, Germany: Bundesanzeiger Verlag.

British Standards Institute . (1999). Revision of code of practice for information security management (BS 7799), Part 1. London.

British Standards Institute . (1999). Revision of code of practice for information security management (BS 7799), Part 2. London.

Budge, I. (Ed.). (1997). The politics of the New Europe: Atlantic to Ural (pp. 121-140). London/New York: Addison-Wesley.

Coleman, J. S. (1990). Foundations of social theory. Cambridge, MA: Belknap.

Common Criteria Implementation Board . (1999, March). Common criteria for information technology security evaluation: Part 3. Security assurance requirements, Version 2.0.

ECMA Standardizing Information and Communication Systems . (1997). Extended commercially oriented functionality class for security evaluation (E-COFC). Geneva.

10.

Fox, A. (1974). Beyond contract: Work, power and trust relations. London: Faber and Faber.

11.

Gambetta, D. (Ed.). (1988). Trust: Making and Breaking Cooperative Relations. Oxford, UK: Basil Blackwell.

12.

Giddens, A. (1990). The consequences of modernity. Oxford, UK: Polity.

13.

ISO/IEC JTC 1 SC 27 N2161, International Organization for Standardization/International Electrotechnical Commission, Joint Technical Committee 1, Subcommittee 27. (1998, December). Common criteria for information technology security evaluation: Part 1. Introduction and general model, Version 15408-1, FDIS, 18.

14.

ISO/IEC JTC 1 SC 27 N2162, International Organization for Standardization/International Electrotechnical Commission, Joint Technical Committee 1, Subcommittee 27. (1998, December). Common criteria for information technology security evaluation: Part 2. Security functional requirements, Version 15408-2, FDIS, 18.

15.

ISO/IEC JTC 1 SC 27 N2163, International Organization for Standardization/International Electrotechnical Commission, Joint Technical Committee 1, Subcommittee 27. (1998, December). Common criteria for information technology security evaluation: Part 3. Security assurance requirements, Version 15408-3, FDIS, 18.

16.

Junge, K. (1988). Vertrauen und die Grundlagen der Sozialtheorie. Ein Kommentar zu James S. Coleman. In H. P. Müller & M. Schmid (Eds.), Norm, Herrschaft und Vertrauen. Beiträge zu James S. Colemans Grundlagen der Sozialtheorie (pp. 26-63). Wiesbaden, Germany: Westdeutscher Verlag.

17.

Kafka, F. (1993). “The metamorphosis,” selected stories of Franz Kafka (W. Muir & E. Muir, Trans., Modern Library ed.). New York: Schocken.

18.

Krampen, G. (1997). Spezifizierung des Konstrukts Vertrauen. Zur handlungs-, persönlichkeits- und entwicklungstheoretischen Einordnung des Konstrukts Vertrauen. In M. K. W. Schweer (Ed.), Vertrauen und soziales Handeln. Facetten eines alltäglichen Phänomens (pp. 16-61). Berlin: Hermann Luchterhand Verlag.

19.

Lane, C. , & Bachmann, R. (Eds.). (1997). Trust in and between organisations. Oxford, UK: Campus Verlag.

20.

Langenheder, W. (1996). Sicherheit und Vertrauen in der Kommunikationstechnik. Soziologische Ansätze und Methoden. Informationstechnik und Technische Informatik, 4, 42-46.

21.

Lepsius, R. M. (1997). Vertrauen zu Institutionen. In S. Hradil (Ed.), Differenz und Integration. Die Zukunft moderner Gesellschaften (Verhandlungen des 28. Kongresses der Deutschen Gesellschaft für Soziologie in Dresden 1996) (pp. 283-294). Frankfurt/New York: Campus Verlag.

22.

Luhmann, N. (1979). Trust and power. Chichester, UK: Wiley.

23.

Luhmann, N. (1988). Familiarity, confidence, trust: Problem and alternatives. In Diego Gambetta (Ed.), Trust: Making and Breaking Cooperative Relations (pp. 94-107). Oxford, UK: Basil Blackwell.

24.

Luhmann, N. (1989). Vertrauen. Ein Mechanismus der Reduktion sozialer Komplexität (3rd ed.). Stuttgart, Germany: Ferdinand Enke Verlag.

25.

Müller, G. F. (1997). Vertrauen in professionellen Beziehungen. Vertrauensbildung durch faire Entscheidverfahren in Organisationen. In Martin K. W. Schweer (Ed.), Vertrauen und soziales Handeln. Facetten eines alltäglichen Phänomens (pp. 189-206). Berlin: Hermann Luchterhand Verlag.

26.

Müller, H.-P., & Schmid, M. (Eds.). (1998). Norm, Herrschaft und Vertrauen. Beiträge zu James S. Colemans Grundlagen der Sozialtheorie. Wiesbaden, Germany: Westdeutscher Verlag.

27.

Nash, M. (1998). Product security evaluation in the UK. Datenschutz und Datensicherheit, 4, 199-202.

28.

Pfitzmann, A., & Rannenberg, K.. (1997). Sicherheit, insbesondere mehrseitige IT-Sicherheit. In G. Müller & A. Pfitzmann (Eds.), Mehrseitige Sicherheit in der Kommunikationstechnik. Verfahren, Komponenten, Integration (pp. 21-29). Bonn/New York: Addison Wesley.

29.

Powell, W. W. , & DiMaggio, P. J. (Eds.). (1991). New institutionalism in organizational analysis. Chicago: University of Chicago Press.

30.

Preisdörfer, P. (1995). Vertrauen als soziologische Kategorie. Zeitschrift für Soziologie, 46, 263-272.

31.

Rannenberg, K. (1998). Sicherheitszertifizierung. Probleme, Trends und Chancen. Datenschutz und Datensicherheit, 4, 190-192.

32.

Rannenberg, K. (1998). Zertifizierung mehrseitiger IT-Sicherheit. Kriterien und organisatorische Rahmenbedingungen. Wiesbaden, Germany: Friedrich Vieweg & Sohn Verlagsgesellschaft mbH.

33.

Rannenberg, K, Damker, H., Langenheder, W. et al. (1995). Mehrseitige Sicherheit als integrale Eigenschaft von Kommunikationstechnik. In Kubicek, Müller, Neumann et al. (Eds.), Jahrbuch Telekommunikation und Gesellschaft (pp. 254-260). Heidelberg, Germany: R. v. Decker’s.

34.

Rannenberg, K. & Fox, D. (1998). Zertifikate—Gütesiegel oder Feigenblatt? Datenschutz und Datensicherheit, 4, 186.

35.

Rohde, M., & Witzel, W. (1998). Akkreditierung von Prüflaboratorien [To trust or not to trust, that is the question]. Datenschutz und Datensicherheit, 4, 203-206.

36.

Rossnagel, A. (1993). Risikoprvention: symbolische Politik oder institutionelle Reform? In G. Kaiser, D. Matejovski, & Fedrowitz (Eds.), Kultur und Technik im 21. Jahrhundert (pp. 135-140). Frankfurt/New York: Campus Verlag.

37.

Schulz, U. , Albers, W. , & Mueller, U. (Eds.). (1994). Social dilemmas and cooperation. Berlin: Springer Verlag.

38.

Schützig, R. (1998). Prüfung und Zertifizierung von IT-Installationen. Eine Herausforderung für die herkömmliche Praxis der formalen Evaluation. Datenschutz und Datensicherheit, 4, 207-210.

39.

Schweer, Martin K. W. (1997). Vertrauen—ein alltägliches Phänomen. In Martin K. W. Schweer (Ed.), Vertrauen und soziales Handeln. Facetten eines alltäglichen Phänomens (pp. 10-15). Berlin: Hermann Luchterhand Verlag.

40.

Schweer, M. K. W. (1997). Vertrauen und Gesellschaft. Der “vertrauenswürdige” Politiker im Urteil der Wähler. In Maritin K. W. Schweer (Ed.), Vertrauen und soziales Handeln. Facetten eines alltäglichen Phänomens (pp. 220-233). Berlin: Hermann Luchterhand Verlag.

41.

Schweer, M. K. W. (Ed.). (1997). Vertrauen und soziales Handeln. Facetten eines alltäglichen Phänomens. Berlin: Hermann Luchterhand Verlag.

42.

Stiegler, H. G. (1998). Alternativen zur heutigen Evaluations- und Zertifizierungspraxis. Möglichkeiten für weitere Entwicklungen. Datenschutz und Datensicherheit, 4, 211-214.

43.

Sztompka, P. (1995). Vertrauen: Die fehlende Ressource in der postkommunistischen Gesellschaft. In Brigitta Nedelmann (Ed.), Politische Institutionen im Wandel (Kölner Zeitschrift für Soziologie und Sozialpsychologie, Sonderheft 35) (pp. 254-278). Weisbaden, Germany: Westdeutscher Verlag.

44.

Wagner, G. (1994). Vertrauen in Technik. Zeitschrift für Soziologie, 2, 145-157.

45.

Ziegler, R. (1997). Interesse, Vernunft und Moral: zur sozialen Konstruktion von Vertrauen. In S. Hradil (Ed.), Differenz und Integration. Die Zukunft moderner Gesellschaften (Verhandlungen des 28. Kongresses der Deutschen Gesellschaft für Soziologie in Dresden 1996) (pp. 241-254). Frankfurt/New York: Campus Verlag.