Bundesamt für Sicherheit in der Informationstechnik

BSZ-Zertifizierung

Die "Beschleunigte Sicherheitszertifizierung" (BSZ) bietet als Alternative zur CC-Zertifizierung die Möglichkeit, die Sicherheitsaussage eines Produktes durch ein Zertifikat bestätigen zu lassen. Die BSZ ist hierbei weniger flexibel als CC, bietet dafür besser planbare Evaluierungslaufzeiten und geringeren Dokumentationsaufwand.

Kernpunkt der BSZ ist eine Kombination von Prüfungen (Evaluierung) der Erfüllung der vom Hersteller zugesagten Sicherheitsleistung mit Penetrationsprüfungen, die untersuchen, ob die Sicherheitsleistung nicht umgehbar ist. Diese Evaluierungen erfolgen in einem vom Produkt abhängigen festen Zeitrahmen. Des Weiteren wird geprüft, ob die Installationsanleitung korrekt ist und die Kryptographie keine Probleme aufweist.

Für den Benutzer der zertifizierten Produkte bietet die BSZ zum einen eine verständliche Darstellung der Sicherheitsleistung des geprüften Produktes und zum anderen die Zusicherung, für einen definierten Zeitraum mit Sicherheitsaktualisierungen vom Hersteller bei neu erkannten Schwachstellen(klassen) versorgt zu werden.

Die eigentliche Evaluierung wird durch eine vom BSI anerkannte Prüfstelle durchgeführt. Diese Anerkennung wird nach Abschluss eines erfolgreich durchlaufenen Anerkennungsverfahrens ausgesprochen.

Jede Evaluierung wird mit dem Ziel, eine einheitliche Vorgehensweise und Methodik sicherzustellen, durch Mitarbeiter der Zertifizierungsstelle begleitet. Der Prüfbericht der Prüfstellen wird von diesen Mitarbeitern der Zertifizierungsstelle nach einer intensiven fachlichen Auseinandersetzung mit der Prüfstelle abgenommen. Es erfolgt hierbei auch ein Abgleich der Bewertungen mit denen aus anderen Zertifizierungsverfahren.

Das Ergebnis des Zertifizierungsverfahrens wird in einem Zertifizierungsreport festgehalten. Hierin sind unter anderem das Sicherheitszertifikat (zusammenfassende Bewertung) und der detaillierte Zertifizierungsbericht enthalten. Der Zertifizierungsbericht enthält die sicherheitstechnische Beschreibung des zertifizierten Produktes, die Einzelheiten der Bewertung und Hinweise für den Anwender.

Die erteilten Zertifikate und Zertifizierungsreporte werden – sofern der Antragsteller dem zustimmt – durch die Zertifizierungsstelle veröffentlicht.

Das BSZ-Verfahren befindet sich derzeit im Aufbau. Seitens des BSI ist geplant, nach Abschluss einer Pilotphase im Laufe des Jahres 2019 Anträge anzunehmen. Die gegenseitige Anerkennung von Zertifikaten mit anderen europäischen Zertifizierungsstellen (insbesondere mit der ANSSI, hier das CSPN-Verfahren) ist ein erklärtes Ziel.

Weitere Informationen zur Zertifizierung:

Bundesamt für Sicherheit in der Informationstechnik
Referat D 22 und D 23
Postfach 20 03 63
53133 Bonn
Telefon: +49 228 99 9582-111
Telefax: +49 228 99 9582-5455
E-Mail: zertifizierung@bsi.bund.de