Bundesamt für Sicherheit in der Informationstechnik

Zulassung

Mit einer durch das BSI ausgesprochenen Zulassung wird der gesetzlichen Aufgabe, IT-Sicherheitsprodukte zu prüfen und eine verbindliche Aussage zur Stärke der umgesetzten Sicherheitsfunktionen zu treffen, Folge geleistet. Insbesondere IT-Sicherheitsprodukte, die für die Verarbeitung, Übertragung und Speicherung von amtlich geheim gehaltenen Informationen (Verschlusssachen, VS) im Bereich des Bundes und der Länder oder bei Unternehmen im Rahmen von Aufträgen des Bundes oder der Länder eingesetzt werden, bedürfen nach den Vorgaben der Verschlusssachenanweisung (VSA) einer solchen Evaluierung und Beurteilung. Die Angemessenheit der IT-Sicherheitsfunktionen bestätigt das BSI durch eine Zulassung, in welcher der maximale Geheimhaltungsgrad der durch das Produkt geschützten VS genannt wird. Gemäß §51 VSA müssen alle Produkte zugelassen werden, welche die in §52 VSA genannten Sicherheitsgrundfunktionen für den Schutz von Verschlusssachen umsetzen.

Das Ziel einer erfolgreichen Zulassung für die Geheimhaltungsgrade VS-NUR FÜR DEN DIENSTGEBRAUCH, VS‑VERTRAULICH oder GEHEIM kann nur auf Grundlage von klaren Vorgaben erreicht werden. Um eine solide und konsolidierte Basis von Anforderungen aller am Produkt interessierter Parteien erstellen zu können, wurde im BSI der Prozess zur Generierung von VS-Anforderungsprofilen etabliert. Hierzu setzen sich sowohl Hersteller, als auch Betreiber, Anwender und das BSI zusammen, um alle Aspekte der Informationssicherheit an informationssichernde Systeme möglichst umfänglich abzustimmen und zu definieren. VS-Anforderungsprofile beschreiben dabei IT-Sicherheitsanforderungen für bestimmte Produktklassen und -typen in einem festgelegten Format, das sich an den Vorgaben der Common Criteria für Protection Profiles orientiert. Mit ihrem informellen Charakter richten sie sich in erster Linie an Anwender und Betreiber, wie beispielsweise Behörden, die Produkte beim Umgang mit eingestuften Dokumenten verwenden wollen und hierfür die grundsätzlichen Anforderungen benötigen, denen geeignete Produkte genügen müssen. Zum anderen richten sich VS-Anforderungsprofile an die Hersteller solcher Produkte, um ihnen eine generelle technische Leitlinie zur Umsetzung geltender relevanter IT-Sicherheitsanforderungen zu geben.