1. Vorbemerkungen

Eine der gesetzlichen Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist es, informationstechnische Verfahren, Produkte und Geräte für die Sicherheit in der Informationstechnik (IT) zu prüfen und eine verbindliche Aussage zum Sicherheitswert zu machen.

Betroffen sind vor allem Produkte, die für die Verarbeitung und Übertragung amtlich geheimgehaltener Informationen (Geheimschutz, Verschlusssachen, VS) im Bereich des Bundes und der Länder oder bei Unternehmen im Rahmen von Aufträgen des Bundes oder der Länder eingesetzt werden.

Produkte für die Sicherheit in der Informationstechnik werden als IT-Sicherheitsprodukte bezeichnet. Wenn kryptographische Funktionen enthalten sind, wird von Kryptosystemen gesprochen. Das Prüf- und Beurteilungsverfahren heißt Zulassung.

2. Vorschriftenlage

Die Allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz (Verschlusssachenanweisung - VSA) vom 01. April 2023 und die entsprechenden Vorschriften der Ressorts schreiben vor, dass Produkte, die zum Schutz von Verschlusssachen IT-Sicherheitsfunktionen übernehmen, zuzulassen sind.

Die zugelassenen Produkte sind in der BSI-Druckschrift "BSI 7164 Liste der zugelassenen IT-Sicherheitsprodukte und –systeme" aufgeführt. Darüber hinaus ist bei der Verarbeitung von Verschlusssachen mit einem Geheimhaltungsgrad VS-VERTRAULICH und höher zu beachten, dass hier abstrahlgeprüfte Systeme zum Einsatz kommen müssen; diese sind in der BSI-Druckschrift "BSI TL 03305 Liste der für staatliche VS zugelassene abstrahlsichere/-arme Hardware" zu finden.

Im Bereich der sensitiven, aber nicht eingestuften Informationen gilt eine solche Zulassungsregelung nicht. Dennoch kann auch dort der Einsatz von VS-zugelassenen Systemen sinnvoll sein.

3. Antragstellung

Anträge auf Zulassung eines Systems sind vom bundesbehördlichen Anwender an die unten angegebene Kontaktadresse zu richten.

Die Zulassung beginnt immer mit einer Prüfung des Systems, der sogenannten Evaluierung. Die Arbeiten hierzu werden im BSI durchgeführt. Die Evaluierung im Zusammenhang mit einer Zulassung ist aufwendig und mit einer längeren Wartezeit verbunden. Einem Zulassungsantrag kann nur stattgegeben werden, wenn der Zulassungsantrag mit einen eindeutigen, angemessenen Bedarfsnachweis verbunden ist. Vor Antragstellung muss geklärt sein, ob die ausreichende technische Unterstützung durch den Hersteller sichergestellt ist.

Die Rechte und Pflichten der am Zulassungsverfahren beteiligten Rollen wie Hersteller und Bedarfsträger werden in der Technischen Leitlinie BSI TL IT-01 "Mitwirkungspflichten im Zulassungsverfahren" aufgeführt.

Die Antragstellung durch eine Firma ist nicht möglich, Unternehmen, die der Geheimschutzbetreuung durch das BMWK unterliegen, wenden sich bitte an dieses.

Existiert bereits ein zugelassenes System des Herstellers oder eines anderen Herstellers mit den geforderten Funktionalitäten, so ist nach Möglichkeit das bereits zugelassene System einzusetzen.

4. Durchführung der Evaluierung

Die Evaluierung von IT-Sicherheitsprodukten zum Zwecke der Zulassung erfolgt grundsätzlich im BSI. Für bestimmte Prüfaufgaben (z.B. Abstrahlmessungen) können in Absprache zwischen dem Hersteller und dem BSI geeignete externe Prüfstellen eingesetzt werden.

5. Zulassungsergebnis

Die Evaluierung endet in der Regel mit der Zulassung des IT-Sicherheitsproduktes für eine bestimmte Aufgabenerfüllung bzw. für einen bestimmten Einsatzzweck.

Beispiel: Zulassung für die Übertragung von Verschlusssachen bis zum Geheimhaltungsgrad VS-VERTRAULICH.

Die Zulassungsergebnisse werden in einem Zulassungsreport zusammengefasst. Weitergehende Begründungen zur Zulassung, Prüfmethoden und Prüftiefe unterliegen in großen Teilen der Geheimhaltung und können nicht allgemein veröffentlicht werden. Der Hersteller kann bei Bedarf die Prüfunterlagen einsehen, wenn dieser gegenüber dem BSI ein berechtigtes Interesse nachweist und die notwendigen Sicherheitsvoraussetzungen erfüllt.

6. Versionen

IT-Sicherheitssysteme sind in der Regel in unterschiedlichen Versionen lieferbar. Die Zulassungsaussage des BSI bezieht sich grundsätzlich nur auf einen speziellen Versionsstand. Andere Versionen weichen meist in Ausstattung und Funktionalität erheblich von der geprüften Version ab. Dies gilt insbesondere auch für die Sicherheitsfunktionen. Daher kann die Sicherheitsbeurteilung einer Systemversion nicht auf andere Systemversionen übertragen werden; vielmehr müssen Folgeversionen bei veränderten bzw. angepassten Sicherheitsfunktionen einer Reevaluierung unterzogen werden.

7. Einsatz in Unternehmen und Einrichtungen der Wirtschaft

Unternehmen und Einrichtungen der Wirtschaft, die aufgrund bestimmter Entwicklungsarbeiten oder geschäftlicher Beziehungen in besonderem Maße durch Wirtschaftsspionage gefährdet sind, können unter folgenden Voraussetzungen ebenfalls VS-zugelassene Systeme erhalten:

1. Das Bundesministerium des Innern erkennt eine Gefährdung durch Wirtschaftsspionage an und bejaht damit das öffentliche Interesse an der Weitergabe der für VS-zugelassenen und in der Regel VS-NfD eingestuften Systeme gemäß § 25 der "Allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz (Verschlusssachenanweisung - VSA) vom 01. April 2023".

2. das Unternehmen/die Einrichtung verpflichtet sich vertraglich,

   1. die Systeme gemäß dem "Merkblatt über die Behandlung von VS des Geheimhaltungsgrades VS-NfD" und einem einvernehmlich festgelegten Sicherheitskonzept zu schützen,
   2. die Schlüsselverteilung für die Systeme durch das BSI oder eine andere vertrauenswürdige Einrichtung durchführen zu lassen,
   3. die Systeme im Ausland nur im Einvernehmen mit dem BSI einzusetzen,
   4. nicht mehr benötigte Systeme an den Hersteller/Vertreiber zurückzugeben oder dem BSI zu überlassen und
   5. einen Sicherheitsbevollmächtigten zu bestimmen, der die Einhaltung der vertraglich übernommenen Verpflichtungen sicherstellt.

8. Übersicht der zugelassenen Systeme

Die Liste der zugelassenen IT-Sicherheitsprodukte und -Systeme ist alphabetisch nach Produktnamen geordnet. Sie enthält Systeme, die vom BSI und deren Vorgängerbehörden zugelassen wurden und noch im Einsatz sind. Ältere Systeme verbleiben in der Liste, damit wichtige Informationen auch zu einem späteren Zeitpunkt verfügbar sind. Genaue technische Spezifikationen und exakte Preise sind von der Hersteller- bzw. Vertriebsfirma zu erfragen.

9. Vertrieb und Export

Zugelassene IT-Sicherheitsprodukte und deren Komponenten unterliegen einem eingeschränkten Vertrieb durch den Hersteller. Der Export bzw. die Verbringung aus Deutschland unterliegt evtl. der deutschen Exportgesetzgebung. Zur Klärung ist das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) zu kontaktieren.

10. Zulassung für die Verarbeitung von EU- bzw. NATO-Verschlusssachen

Die Evaluierung von IT-Sicherheitsprodukten mit Kryptofunktionen zum Zweck der Zulassung erfolgt nach speziellen Kriterien des BSI, die aus Rücksicht auf den Geheimschutzbereich nicht veröffentlicht werden. Die Kriterien orientieren sich an den Richtlinien der NATO und der EU und berücksichtigen alle entsprechenden NATO- und EU-Vorschriften.

Wurden die national zugelassenen Versionen eines IT-Sicherheitsproduktes mit Kryptofunktionen ebenfalls nach den Vorgaben des Rates der Europäischen Union (EU) geprüft, so können sie vom BSI ebenfalls zum Schutz von EU-Verschlusssachen für den nationalen Einsatz zugelassen werden. Dies gilt für die EU-Geheimhaltungsgrade RESTREINT UE/ EU RESTRICTED sowie CONFIDENTIEL UE/EU CONFIDENTIAL, nicht aber für SECRET UE/ EU SECRET. Sollen vom BSI zugelassene IT-Sicherheitsprodukte außerhalb nationaler Netze also bspw. in EU-Institutionen eingesetzt werden, bedarf es hierfür immer einer vorherigen Zulassung durch den EU-Rat basierend auf einer erfolgreichen Zweitevaluierung durch eine Appropriately Qualified Authority (AQUA). Dies gilt für alle EU-Geheimhaltungsgrade.

Wurden die national zugelassenen Versionen eines IT-Sicherheitsproduktes mit Kryptofunktionen auch nach den Vorgaben der NATO geprüft, so können sie vom BSI ebenfalls zum Schutz von NATO-Verschlusssachen der Geheimhaltungsgrad NATO RESTRICTED bzw. NATO CONFIDENTIAL zugelassen werden. Dies gilt nicht für den NATO-Geheimhaltungsgrad NATO SECRET. Hierfür muss immer eine Zulassung des NATO Military Committee basierend auf einer erfolgreichen Zweitevaluierung vorliegen.

11. Kontakt

Bei Fragen zum Themenbereich Zulassung wenden Sie sich bitte an:

Bundesamt für Sicherheit in der Informationstechnik
Referat V 12 - VS-Zulassungen und systematische Freigaben
Postfach 20 03 63
53133 Bonn
Telefon: +49 (0) 22899 / 9582 - 5718
Telefax: +49 (0) 22899 / 10 9582 – 5718
E-Mail: zulassung@bsi.bund.de