Bundesamt für Sicherheit in der Informationstechnik

M 2.66 Beachtung des Beitrags der Zertifizierung für die Beschaffung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Beschaffungsstelle

Bei der Beschaffung von IT-Produkten, IT-Systemen und Sicherheitsdienstleistungen muss frühzeitig fest­gelegt werden, ob die bloße Zusicherung des Herstellers, Vertreibers oder Anbieters über implementierte Sicherheitsfunktionen und angebotene Dienstleistungen als ausreichend vertrauenswürdig aner­kannt werden kann. Insbesondere bei einem hohen oder sehr hohen Schutz­bedarf kann die Vertrauenswürdigkeit der Produkte und Dienstleistungen in Hinblick auf Informationssicherheit nur dadurch gewährleistet werden, dass unabhängige Prüfstellen die Produkte bzw. die Dienstleistungen und das Managementsystem des Dienstleisters untersuchen und bewerten (evaluieren). Darauf aufbauend kann dann ein Zertifikat erteilt werden.

Zertifizierung von Produkten

Allgemein anerkannte Grundlage der Evaluierung und Zertifizierung von Produkten bilden seit 1991 die europaweit harmonisierten "Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC)" und seit 1998 die weltweit angestimmten "Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik", kurz Common Criteria (CC). In Deutschland führt das BSI solche Zertifizierungen durch. Bei positivem Evalu­ationsergebnis und bei Einhaltung der Rahmenbedingungen von ITSEC bzw. der Common Criteria wird für das untersuchte Produkt oder System vom BSI als Zertifizierungsstelle ein Sicherheitszertifikat erteilt.

Aus dem dazugehörenden Zertifizierungsreport geht hervor, welche Funktionalität mit welcher Prüftiefe untersucht wurde und welche Bewertung vorgenommen wurde. Dabei reichen die Prüftiefe von Evaluationsstufe E 1 (geringste Prüftiefe) bis Evaluationsstufe E 6 (höchste Prüftiefe) bei den ITSEC bzw. von Vertrauenswürdigkeitsstufe EAL  1 (geringste Prüftiefe) bis Vertrauenswürdigkeitsstufe EAL 7 (höchste Prüftiefe) bei den CC. Dabei entspricht die Evaluationsstufe E 1 der ITSEC in etwa der Vertrauenswürdigkeitsstufe EAL 2 der CC usw. Zusätzlich wird die geprüfte Mechanismen­stärke der Implementation der Sicherheitsfunktionen angegeben, die ein Maß für den Aufwand darstellt, der zum Überwinden der Sicherheits­funktionen erforderlich ist. ITSEC und CC unterscheiden hier die Mechanismenstärken niedrig, mittel und hoch. Darüber hinaus werden Hinweise gegeben, welche Randbedingungen beim Einsatz des Produktes beachtet werden müssen.

Stehen bei der IT-Beschaffung mehrere Produkte mit angemessenem Preis-/Leistungsverhältnis zur Auswahl, so kann ein eventuell vorhandenes Sicherheitszertifikat als Auswahlkriterium positiv berücksichtigt werden. Hierbei sollten Sicherheitszertifikate insbesondere dann berücksichtigt werden, wenn der evaluierte Funktionsumfang die Mindestfunktionalität (weitestgehend) umfasst und die Mechanismenstärke dem Schutzbedarf entspricht (siehe M 4.41 Einsatz angemessener Sicherheitsprodukte für IT-Systeme ). Je höher dann die im Zertifikat angegebene Prüfungstiefe ist, desto mehr Vertrauen in Wirksamkeit und Korrektheit der Sicherheitsfunktionen kann dem Produkt entgegengebracht werden.

Zertifizierung von Managementsystemen

Vor dem Einkauf externer Dienstleistungen sollte geprüft werden, ob der Dienstleister über ein zertifiziertes Sicherheitsmanagementsystem verfügt. Im Rahmen der Zusammenarbeit mit externen Dienstleistern werden meistens viele interne und schützenswerte Informationen an diese weitergegeben. Die Informationen müssen von den Dienstleistern entsprechend ihres Schutzbedarfs geschützt werden. Es wird daher empfohlen, auf Dienstleister zurückzugreifen, die ein zertifiziertes Informationssicherheitsmanagementsystem nach ISO 27001 auf der Basis von IT-Grundschutz vorweisen können. Bei Dienstleistungen, die hochverfügbar sein müssen, kann es sinnvoll sein, auf Dienstleister zurückzugreifen, welche ein zertifiziertes Notfallmanagement nach ISO 22301 nachweisen können.

Zertifizierung von Personen

Sollen IT-Dienstleistungen oder Sicherheitsdienstleistungen wie beispielsweise Beratungen zur Verbesserung eines Sicherheitsmanagementsystems beauftragt werden, sollte überlegt werden, hierfür auf entsprechend zertifizierte Personen zurückzugreifen.

Es gibt eine Vielzahl von Zertifikaten, mit denen Personen ihre Qualifikation in bestimmten Bereichen nachweisen können. Dabei gibt es diverse Personenzertifizierungen, die sich speziell an den Bereich Informationssicherheit bzw. Datenschutz richten. Hierzu gehören beispielsweise

  • CISSP (Certified Information Systems Security Professional) und weitere Personenzertifikate von (ISC)², einer unabhängigen Vereinigung von Sicherheitsexperten weltweit
  • TISP (TeleTrusT Information Security Professional), ein auf den deutschsprachigen Markt fokussiertes Expertenzertifikat von TeleTrusT, einem deutschen Sicherheitsverband
  • CISA (Certified Information Systems Auditor) und CISM (Certified Information Security Manager) sind Zertifikate von ISACA, eines Berufsverbandes der IT-Revisoren und Sicherheitsmanager
  • IT Security Coordinator nach ISO 17024
  • Für die deutschen Behörden zertifiziert die Bundesakademie für öffentliche Verwaltung (BAköV) in Zusammenarbeit mit dem BSI "IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung".

Diese Zertifikate genießen insgesamt eine relativ hohe Anerkennung, da für deren Erwerb klar definierte, praxisnahe und nachvollziehbare Kompetenzen und Qualifikationen nachzuweisen sind. Im Vorfeld der Zertifizierung muss das hierfür notwendige Wissen durch Ausbildung und Berufserfahrung erworben werden, für die Aufrechterhaltung des Zertifikates muss außerdem nachgewiesen werden, dass sich die Inhaber regelmäßig in ihrem Fachgebiet weiterbilden.

Zertifizierung von Dienstleistern

Für bestimmte Formen von Dienstleistungen gibt es ebenfalls Zertifikate, mit denen Dienstleister die Qualität und Vergleichbarkeit ihrer Arbeitsergebnisse nachweisen können. Das BSI stellt beispielsweise Zertifikate für IS-Revisionen, IS-Beratungen und Penetrationstest aus. Sollten solche Dienstleistungen eingekauft werden, wird empfohlen, auf entsprechend zertifizierte Dienstleister zurückzugreifen.

Übersichten

Die Zertifizierungsstellen geben regelmäßig Übersichten heraus, welche Pro­dukte und Dienstleister ein Zertifikat erhalten haben. Eine Zusammenstellung der vom BSI zertifizierten IT-Produkte, IT-Systeme, Informationssicherheitsmanagementsysteme, IS-Revisoren, IS-Berater und Penetrationstester findet sich auf der BSI-Webseite. Weiterhin veröffentlicht das BSI neu erteilte Zertifikate in der Zeitschrift KES, Zeitschrift für Informationssicherheit. Diese Informationen lassen sich ebenfalls von den Internetseiten des BSI abrufen.

Prüffragen:

  • Wird beim Einsatz von Produkten mit hohem oder sehr hohem Schutzbedarf eine Zertifizierung nach Common Criteria in Betracht gezogen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK