IT-Sicherheitszertifizierung

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Zertifizierung von IT-Produkten/-Systemen, die eine Sicherheitsfunktionalität im Zusammenhang mit der

  • Verfügbarkeit von Daten und Dienstleistungen,
  • Vertraulichkeit von Informationen,
  • Unversehrtheit / Integrität von Daten
  • Authentizität von Daten oder der
  • Unabstreitbarkeit
    zur Verfügung stellen.

Zertifiziert werden können in Software und/oder Hardware realisierte IT-Produkte/-Systeme unterschiedlichster Art (z.B. Chipkarten, RF-Chips, PC-Sicherheitsprodukte (IT-Sicherheit), Betriebssysteme, Firewalls).

Ziel der IT-Sicherheitszertifizierung ist es, IT-Produkte/-Systeme hinsichtlich ihrer Sicherheitseigenschaften transparent und vergleichbar zu bewerten, um

  • einerseits Anwendern Detailinformationen und Orientierungshilfen bei der Auswahl von Produkten zu bieten,
  • andererseits den betreffenden Herstellern eine Bestätigung über die Qualität ihrer Produkte zu geben.

Die Zertifizierung von IT-Produkten und -Systemen auf Basis von formal bekannt gemachten IT-Sicherheitskriterien, wie z. B. den Common Criteria (CC) (ISO/IEC 15408), ist eine wichtige Aufgabe des BSI. Die Aufgaben der Zertifizierung und der Erarbeitung von Kriterien und Verfahren sind im BSI-Errichtungsgesetz geregelt.

Vom BSI zertifizierte Produkte können mit dem nachstehend abgebildeten Zertifizierungsbutton gekennzeichnet werden:

Vorbereitungsphase
Evaluierungsphase
Zertifizierungsphase
veröffentlicht

Die Zertifizierung kann vom Hersteller oder Vertreiber eines Produktes oder von einer Bundesbehörde als Anwender bei der Zertifizierungsstelle beantragt werden. Die Evaluierung der Produkte wird beim BSI selbst oder akkreditierten und lizenzierten Prüfstellen durchgeführt. Alle beteiligten Stellen sind zur Wahrung der Vertraulichkeit von Firmengeheimnissen verpflichtet und garantieren durch vielfältige Maßnahmen die Einhaltung dieser wichtigen Voraussetzung.

Der Verfahrensablauf gliedert sich in vier Phasen:

In der stellt der Hersteller oder Vertreiber einen Zertifizierungsantrag, schließt mit einer lizenzierten Prüfstelle einen Evaluierungsvertrag und stimmt mit der Zertifizierungsstelle und der Prüfstelle (Prüflabor/Prüfstelle) die Sicherheitsvorgaben und einen Meilensteinplan ab. Die Erarbeitung der Sicherheitsvorgaben kann durch die Verwendung eines Schutzprofils wesentlich vereinfacht werden.

In der wird das Produkt/System von der Prüfstelle evaluiert. Die Evaluierung umfasst die Aspekte

  • Konfigurationsmanagement,
  • Auslieferung und Betrieb,
  • Entwicklung,
  • Handbücher,
  • Lebenszyklus-Unterstützung,
  • Testen und
  • Schwachstellenbewertung.

Jede Evaluierung wird von der Zertifizierungsstelle begleitet (Prüfbegleitung), um eine einheitliche Vorgehensweise und Methodik und vergleichbare Bewertungen sicherzustellen. Der Aufwand für Audits, die Prüfung der Dokumentation und das Testen kann je nach gewählter Evaluationsstufe stark variieren. Der Hersteller muss für die Evaluierung das Produkt und die geforderte Dokumentation zur Verfügung stellen und die Auditierung der Entwicklungs- und Produktionsumgebung unterstützen. Sofern erforderlich, stellt der Hersteller auch Testeinrichtungen zur Verfügung und schult die Evaluatoren und Prüfbegleiter.

In der erstellt die Zertifizierungsstelle nach Abschluss der Evaluierung den Zertifizierungsreport. Er enthält neben einer sicherheitstechnischen Beschreibung des Produktes

  • die Bestätigung, dass die Evaluierung nach den anerkannten Verfahren und Kriterien durchgeführt wurde,
  • die Feststellung einer bestimmten Sicherheitsfunktionalität,
  • die Zuerkennung einer bestimmten Sicherheitsstufe / Bewertungsstufe,
  • Hinweise an den Anwender, wie das betreffende Produkt in der Praxis einzusetzen ist.

Sofern der Antragsteller einverstanden ist, wird das Zertifizierungsergebnis .

Nach Produktänderungen, Änderung der Kriterien, Änderung des Auslieferungsverfahren etc. kann das Produkt auf Basis der erfolgten Zertifizierung re-zertifiziert (Re-Zertifizierung) werden. Bei Produktänderungen ohne Sicherheitsrelevanz kann die Gültigkeit des Zertifikats in einem stark verkürzten Verfahren (Maintenace-Verfahren) auf die neue Produktversion ohne Beteiligung einer Prüfstelle erweitert werden.

Um die Mehrfach-Zertifizierung des gleichen Produktes in verschiedenen Staaten zu vermeiden, wurde zwischen dem BSI und den nationalen Stellen anderer Staaten eine gegenseitige Anerkennung von IT-Sicherheitszertifikaten - sofern sie auf ITSEC oder Common Criteria (CC) beruhen - unter gewissen Bedingungen vereinbart.

EU Cybersecurity Act

Mit dem Cybersecurity Act ist am 27. Juni 2019 ein EU-weites Regelwerk für Zertifizierungen der IT-Sicherheit in Kraft getreten. Durch die Verordnung können Hersteller ihre IT-Produkte, Dienstleistungen und Prozesse freiwillig zertifizieren lassen, um deren IT-Sicherheit transparent zu machen.[1]

Einzelnachweis

  1. SecuPedia Aktuell: Mehr Verbraucher-Klarheit über IT-Sicherheit


Siehe übergeordnete Stichworte

Siehe auch



Diese Seite wurde zuletzt am 27. Juni 2019 um 16:05 Uhr von Doris Porwitzki geändert. Basierend auf der Arbeit von Oliver Wege, Admin und Christian Krause.