Fragen von Antragstellern bzw. Herstellern

-
In der Beschleunigte Sicherheitszertifizierung werden nur vollständige IT-Produkte betrachtet. Einzelne integrierte Komponenten hingegen können mit ihr nicht zertifiziert werden. Ein Produkt muss relevante IT-Sicherheitsfunktionalität enthalten, die über externe Schnittstellen getestet werden kann und in einen der für die BSZ definierten Geltungsbereiche passen.
Typische Beispiele sind hier
- IP basierte Netzwerk-Router
- eingebettete und vernetzte industrielle Steuerungsgeräte
- Softwareanwendungen und virtualisierte Produkte
- und mobile Handhelds für Spezialaufgaben.
Außerdem zeichnet die BSZ sich durch eine festgelegte Zeitdauer für die Evaluierung des Produkts aus. Die Zeitdauer hängt vom konkreten Produkt ab und liegt zwischen 15 und 60 Personentagen. Es ist Aufgabe der beauftragten Prüfstelle, die erforderliche Zeitdauer für das Produkt zu ermitteln und vorzuschlagen. Ist ein Produkt nicht innerhalb einer Zeitdauer von 60 Personentagen in erforderlichem Umfang und hinreichender Tiefe prüfbar, so ist eine Zertifizierung mittels BSZ nicht möglich.
Im Einzelfall beraten wir Sie gerne, ob die BSZ für Ihr Produkt in Frage kommt.
-
Die BSZ ist in drei Phasen, insgesamt fünf Prozessschritte aufgeteilt:
- Vorbereitung und Antragsphase: Der Antragsteller prüft, ob das IT-Produkt die Mindestanforderungen erfüll, bereitet die notwendigen Dokumente vor und beauftragt eine anerkannte BSZ-Prüfstelle. Dann stellt er den Antrag auf eine Produktzertifizierung mittels BSZ. Die Zertifizierungsstelle prüft den Antrag und eröffnet das Verfahren. Es wird empfohlen, die Dokumente vor dem Einreichen von der Prüfstelle auf Plausibilität prüfen zu lassen.
Evaluierungsphase.
- Auftaktbesprechung: Die Prüfstelle stellt dem Hersteller und der Zertifizierungsstelle ihr Verständnis des Produkts und ihre Planung für die Evaluierung einschließlich einer detaillierten Aufwands- und Zeitplanung vor. Die Zertifizierungsstelle prüft diese Planung und gibt die Evaluierung frei.
- Evaluierung: Die Prüfstelle evaluiert das Produkt innerhalb des in der Auftaktbesprechung festgelegten Zeitrahmens.
- Abschlussinterview: Die Prüfstelle berichtet der Zertifizierungsstelle über die Evaluierung und gibt eine Empfehlung ab, ob das Produkt zertifiziert werden sollte oder nicht. Der Antragsteller nimmt nicht an dem Interview teil und wird erst im Nachhinein informiert.
- Zertifizierungsphase: Der Antragsteller erhält zum Abschluss des Verfahrens einen Bescheid. Wenn das Produkt mit positivem Ausgang evaluiert wurde, erhält der Antragsteller ein Zertifikat.
Eine detaillierte Beschreibung der einzelnen Punkte finden Sie im Dokument Produktzertifizierung: Programm Beschleunigte Sicherheitszertifizierung (BSZ) Version 2.2 im Abschnitt 3.3.
Ein BSZ-Verfahren kann in der Regel innerhalb von drei Monaten von der Eröffnung des Verfahrens bis zur Zertifizierungsentscheidung durchgeführt werden.
-
Die BSZ stellt eine Reihe von Anforderungen an die Sicherheitsfunktionalitäten, die ein Produkt erfüllen muss, um ein Zertifikat zu erhalten.
- Es muss alle Anforderungen an die Sicherheitsfunktionalität die im jeweiligen Geltungsbereich gelten erfüllen.
- Es muss einen sicheren Aktualisierungsmechanismus für Sicherheitsupdates bereitstellen.
- Die im Produkt verwendeten kryptographischen Mechanismen sollten im dem SOG-IS Katalog enthalten sein. Wenn andere Mechanismen verwendet werden, müssen diese sicher zu deaktivieren sein oder es muss vorher mit der Zertifizierungsstelle abgeklärt werden, ob eine Zertifizierung möglich ist. Kryptographische Protokolle, die vom BSI empfohlen werden, sind in der technischen Richtlinie BSI-TR-02102 zusammengestellt. Je nach Geltungsbereich kann es spezifische Anforderungen an die Umsetzung von kryptographischer Protokolle geben.
-
Für die Evaluierung eines IT-Produkts werden folgende Dokumente und Informationen verlangt:
- Das Dokument Sicherheitsvorgaben (Security Target; STSecurity Target) (siehe AIS B1 ). Darin wird das Produkt, dessen Sicherheitsfunktionalitäten, Konfiguration, Einsatzumgebung sowie das Bedrohungsmodell beschrieben. Das ST sollte ungefähr zehn Seiten lang sein und soll so geschrieben werden, dass es von den typischen Produktkäufern und Nutzern verstanden wird. Je nach Geltungsbereich kann es spezifische Vorgaben für ein ST geben.
- Einen abstrakten Überblick über die Architektur (z. B. welches Betriebssystem, welche zentralen Softwarekomponenten)
- Eine Softwarestückliste (Software Bill of Materials; SBOM) (siehe AIS B1 ).
- Eine kurze technische Erläuterung, wie der Aktualisierungsmechanismus funktioniert.
- Eine Anleitung, wie das Produkt in den zu zertifizierenden sicheren Zustand gebracht wird (Secure User Guidance; SUG) ( AIS B3 ): Das Dokument muss im Falle der erfolgreichen Zertifizierung dem Produkt beigefügt werden. Diese Anleitung kann auch in den Nutzerhandbüchern und Installationsanleitungen enthalten sein. Ein SUG ist nicht notwendig, wenn das Produkt im Auslieferungszustand sicher konfiguriert ist oder eigenständig aktiv zu einer sicheren Installation und Konfiguration anleitet.
- Eine Auflistung der im Produkt enthaltenen kryptographischen Mechanismen (Algorithmen und Kommunikationsprotokolle) und für für die Kryptoanalyse benötigte Dokumentation, wie sie in der AIS B1 beschrieben ist
- Eine Liste, in der bestätigt wird, dass und ggfs. wie das Produkt die Mindestanforderungen in dem jeweiligen Geltungsbereiche (z.B. AIS B6) erfüllt werden.
Weitere Details finden Sie im Dokument BSZ-Produkte oder in den angegebenen Dokumenten.
-
Mit dem Antrag auf Produktzertifizierung mittels BSZ müssen die Herstellerdokumente eingereicht und eine BSZ-Prüfstelle für die Evaluation benannt werden. Das heißt für einen Antragsteller, dass die Herstellerdokumente vor Antragstellung erstellt werden müssen und ein Vertrag mit einer für die BSZ anerkannten Prüfstelle geschlossen werden muss.
Um ein erfolgreiches und verzugsfreies Verfahren zu ermöglichen, sollte die ausgewählten Prüfstelle vor Antragsstellung überprüfen, ob das Produkt zusammen mit dem ST und den anderen Dokumenten eine erfolgversprechende Evaluierung erlaubt. Unzureichende oder falsche Dokumentation kann zu einem negativen Verfahrensausgang führen. Hierbei ist zu beachten, dass die ausgewählte Prüfstelle nur auf Mängel hinweisen darf, ein Mitwirken bei der Erstellung der Dokumente oder der Entwicklung des Produkts jedoch nicht zulässig ist. Im Verfahren selbst sind mit beginn der Evaluierungsphase keine Anpassungen der Dokumente mehr zulässig. Mehr Details zur Hilfestellung bei Erstellung der Dokumente finden Sie im Dokument BSZ-Produkte Abschnitt 5.3.3.
Die Prüfstelle hat sicherzustellen, dass das erforderliche Personal für die fristgerechte Durchführung des Verfahrens zur Verfügung steht.
-
Das BSI gibt Auskunft zu konkreten Fragen zur BSZ und zum Verfahrensablauf. Dazu können Sie sich gerne per E-Mail an uns wenden. Wir beantworten Ihre Fragen und Sie können auch gerne einen Termin für ein Beratungsgespräch vereinbaren.
Beratung zu Produkten und Unterstützung bei der Erstellung der notwendigen Dokumente kann das BSI nicht leisten. Hier bieten die anerkannten BSZ-Prüfstellen geeignete Angebote. Dabei ist unbedingt darauf zu achten, dass eine BSZ-Prüfstelle, die Beratungsleistungen für eine Produktentwicklung oder im Vorfeld eines Zertifizierungsverfahrens erbracht hat, nicht als Prüfstelle für das betreffende Verfahren in Frage kommt. Das BSI prüft bei jedem Antrag die Unabhängigkeit der gemeldeten Prüfstelle. Mehr Details zur Hilfestellung bei Erstellung der Dokumente finden Sie im Dokument Produktzertifizierung: Programm Beschleunigte Sicherheitszertifizierung (BSZ) Version 2.2 Abschnitt 5.3.3.
-
Allgemeine Informationen finden Sie im Dokument BSZ-Produkte.
Anforderungen an Produkt, Herstellerdokumente und Evaluation in der BSZ finden sie hier.
-
Das BSI führt eine Liste mit allen für die BSZ anerkannten Prüfstellen.
Bei der BSZ wird die formale Anerkennung von Prüfstellen mit einem ersten regulären Produktzertifizierungsverfahren gleichzeitig durchgeführt. Interessierte Prüfstellen oder interessierte Produkthersteller suchen hierfür nach Partnern für ein solches Verfahren. Falls ein BSZ-Produktzertifizierungsverfahren in Zusammenarbeit mit einer noch nicht für die BSZ anerkannten Prüfstelle durchgeführt werden soll, ist dies also möglich. Der Produkthersteller stellt dafür einen Antrag auf Produktzertifizierung mit der interessierten Prüfstelle als Partner. Die Prüfstelle stellt gleichzeitig einen Antrag auf Anerkennung.
-
Die Kosten für ein Zertifizierungsverfahren setzen sich aus zwei Posten zusammen: Die Kosten für die Zertifizierungsstelle und die Kosten für die Prüfstelle.
Der Kostenrahmen für ein typisches BSZ-Verfahren liegt voraussichtlich bei 10.000 bis 15.000 € für die Zertifizierungsstelle. Die Kosten werden nach Zeitaufwand berechnet. Hierbei gilt die Besondere Gebührenverordnung BMI - BMIBGebV (Abschnitt 7 Nummer 1.7).
Die Kosten für Evaluation und Verfahrensbegleitung durch die Prüfstelle müssen zwischen Antragsteller und Prüfstelle vereinbart werden. Hierzu kann das BSI keine weitere Auskunft erteilen.
-
Grundsätzlich besteht die Evaluierung aus den folgenden Teilen:
- Prüfung der sicheren Einrichtung bzw. Installation des Produktes
- Prüfung der Konformität zu den Herstellerdokumenten und den Mindestanforderungen für den jeweiligen BSZ-Geltungsbereiche (siehe z.B. AIS B6)
- Penetrationstest
- Evaluierung der kryptographischen Funktionalität
-
Eine Produktzertifizierung mittels BSZ bezieht sich auf eine bestimmte Version eines Produktes. Andere, z.B. neue Produktversionen sind nicht im Zertifikat eingeschlossen. Sie können jedoch durch eine Rezertifizierung die neue Version ggf. mit geringerem Aufwand zertifizieren lassen. Gegenüber der Erstzertifizierung kann der Aufwand durch Nachnutzung bereits bekannter Prüfergebnisse reduziert werden. Der Antragsteller beschreibt dafür die Änderungen am Produkt gegenüber der zertifizierten Produktversion in einer Änderungsbeschreibung mit Auswirkungsanalyse (Impact Analysis Report; IAR), welche er dem neuen Zertifizierungsantrag beifügt.
-
Das Zertifizierungsprogram der BSZ ist in unterschiedliche Geltungsbereiche unterteilt. Diese Geltungsbereiche beschreiben ein thematisches Gebiet, auf das die BSZ anwendbar ist. Sie können durch konkrete Regulierung, Normung oder Branchenspezifika bestimmt werden und spezifische Zusatzanforderungen an Verfahren oder Prüfstelle stellen.
Momentane Geltungsbereiche:
- Allgemeine Netzwerkkomponenten und eingebettete IP-vernetzte Geräte:
Dieser Geltungsbereich umfasst eine große Bandbreite von Produkten, die über Netzwerkschnittstellen mit der Außenwelt kommunizieren. Beispiele für typische Produkte hier sind IP basierte Netzwerk-Router, eingebettete und vernetzte industrielle Steuerungsgeräte, mobile Handhelds für Spezialaufgaben. In diesem Geltungsbereich steht die Prüfung Sicherheitsleistung der IT-Produkte über die Netzwerkschnittstellen im Fokus. Highspeed Konnektor (HSK) für die Telematikinfrastruktur:
Ein HSK ist eine performante und skalierbare Lösung für die Anbindung an die Telematikinfrastruktur des deutschen Gesundheitswesens (TI) und die Nutzung ihrer Anwendungen. Zertifikate in diesem Geltungsbereich sind ausschließlich für den Zulassungsprozess von Highspeed Konnektoren bei der gematik GmbH gedacht.
Weitere Geltungsbereiche werden sukzessive erschlossen.
- Allgemeine Netzwerkkomponenten und eingebettete IP-vernetzte Geräte:
Fragen von Prüflaboren
-
Um eine anerkannte Prüfstelle im Programm der Beschleunigten Sicherheitszertifizierung zu werden, muss ein Anerkennungsverfahren durchlaufen werden. Die Anforderungen an eine Prüfstelle werden im Dokument BSZ-Prüfstellen definiert, beispielsweise sind Grundvoraussetzungen:
- Die Erfüllung der Anforderungen der DIN EN ISO/IEC 17025 in der jeweils gültigen Fassung,
- die Anerkennung von mindestens drei BSZ Evaluatoren, wobei mindestens ein Evaluator die Anforderung des BSZ Evaluators Kryptographie erfüllen muss. Die Anforderungen an die Evaluatoren werden im Dokument BSZ-Evaluator beschrieben.
Die Anerkennung als BSZ-Prüfstelle erfolgt stets in Verbindung mit einem Produktzertifizierungsverfahren. Beide Verfahren laufen in diesem Fall parallel. Die Anerkennungsstelle und die Zertifizierungsstelle arbeiten bei der formellen und fachlichen Kompetenzfeststellung zusammen. Die Praxisbewährung der Prüfstelle und der aktiv an der Zertifizierung beteiligten Evaluatoren ist eine Voraussetzung für die abschließende Kompetenzfeststellung der Evaluatoren und schließlich für die Anerkennung der Prüfstelle.
Die erstmals für ein Produktzertifizierungsverfahren gemeldeten Evaluatoren durchlaufen vor Beginn der Evaluationsphase zudem ein strukturiertes Interview mit Experten der Zertifizierungsstelle. Dieses Interview dient der vorläufigen Kompetenzfeststellung der Evaluatoren für dieses Verfahren, dem die oben beschriebene Praxisbewährung nachfolgt. Werden beide Maßnahmen erfolgreich durchlaufen, erfolgt die finale Kompetenzfeststellung.
-
Der Nachweis der Kenntnisse eines BSZ-Evaluators setzt sich aus den Grundanforderungen und der erforderlichen Fachkompetenz zusammen. Die Fachkompetenz ist abhängig von dem jeweiligen Kompetenz- oder Geltungsbereich und wird im Dokument BSZ-Evaluatoren definiert. Grundanforderungen sind beispielsweise:
- ein Abschluss in einem einschlägigen Fachhochschul- oder Hochschulstudium oder mindestens 5 Jahre fachspezifische Berufserfahrung,
- Berufserfahrung in einem einschlägigen Berufsfeld und Praxiserfahrung mit Penetrationstests von Produkten.
Die erstmals für ein Produktzertifizierungsverfahren gemeldeten Evaluatoren durchlaufen vor Beginn der Evaluationsphase ein strukturiertes Interview mit Experten der Zertifizierungsstelle. Dieses Interview dient der vorläufigen fachlichen Kompetenzfeststellung der Evaluatoren für dieses Verfahren. Im Rahmen der nachfolgenden Evaluierung folgt eine Praxisbewährung für die Evaluatoren. Werden beide Maßnahmen erfolgreich durchlaufen, erfolgt die finale Kompetenzfeststellung. Für die Beurteilung der Praxisbewährung ist es sehr wichtig, dass die Evaluatoren in hinreichendem Umfang eigene Arbeitsergebnisse produzieren und die Prüfstelle dies für die Zertifizierungsstelle nachvollziehbar darlegen.
-
Eine Prüfstelle kann grundsätzlich Hersteller zum Thema BSZ beraten. Dabei ist unbedingt darauf zu achten, dass eine BSZ-Prüfstelle, die Beratungsleistungen für eine Produktentwicklung oder im Vorfeld eines Zertifizierungsverfahrens erbracht hat, nicht als Prüfstelle für das betreffende Verfahren in Frage kommt.
Es ist aber vorgesehen, dass die Prüfstelle, die die Evaluierung durchführen soll, vor Antragsstellung überprüft, ob das Produkt zusammen mit dem ST und den anderen Dokumenten eine erfolgversprechende Evaluierung erlaubt. Die Prüfstelle darf hierbei nur Mängel berichten, aber nicht bei der Erstellung der Dokumente oder der Entwicklung des Produkts mitwirken. Mehr Details zur Hilfestellung bei Erstellung der Dokumente finden Sie im Dokument BSZ-Prüfstellen Abschnitt 5.2.
Fragen von Nutzern zertifizierter Produkte
-
Eine Liste mit zertifizierten Produkten kann auf der BSI Webseite abgerufen werden. Dort finden Sie zu jedem Zertifikat auch einen Zertifizierungsreport mit weiteren Informationen zum jeweiligen Zertifikat und Produkt.
-
Ein BSZ-Zertifikat liefert eine eindeutige und verständliche Darstellung der Sicherheitsleistung des Produkts. Dies beinhaltet unter anderem eine Beschreibung der Einsatzumgebung bzw. von Anforderungen an die Einsatzumgebung sowie eine Anleitung, wie das Produkt konfiguriert werden soll.
Ein BSZ-Zertifikat trifft weiterhin eine belastbare Aussage über die Widerstandsfähigkeit des Produkts. Anerkannte und kompetente Evaluatoren haben das Produkt eingehend untersucht konnten innerhalb der vorher festgelegten Zeitdauer der Evaluation keine relevanten Schwachstellen finden.
Ein BSZ-Zertifikat verpflichtet den Hersteller des Produkts, während der Laufzeit des Zertifikats, in der Regel 2 Jahre, Sicherheitsaktualisierungen bei neu erkannten Schwachstellen(Klassen) zur Verfügung zu stellen.
-
Hersteller sind dazu verpflichtet, für ein zertifiziertes Produkt während der Laufzeit des Zertifikats im Falle von identifizierten Schwachstellen Sicherheitsupdates zu Verfügung stellen. Diese können direkt vom Hersteller bezogen werden.