DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Arti­kel­serie “Ver­trauen durch Pro­dukt­zer­tif­zierung” — Teil 2

IT-Sicher­heits­zer­ti­fi­zie­rungen: Ein Über­blick

Pro­dukt­zer­ti­fi­zie­rungen sind eine besonders effektive Maß­nahme zur Stei­gerung des Ver­trauens in IT-Sicher­heits­pro­dukte. Doch welche rele­vanten Zer­ti­fi­zie­rungen gibt es im IT-Sicher­heits­be­reich? Und was sind die Vor- und Nach­teile? Damit beschäf­tigen wir uns im Teil 2 dieser Artikel-Serie.

Im ersten Teil dieser Artikel-Serie haben wir die Pro­dukt­zer­ti­fi­zierung als eine besonders effektive Maß­nahme zur Stei­gerung des Ver­trauens in IT-Sicher­heits­pro­dukte iden­ti­fi­ziert. Auf­bauend darauf wollen wir in diesem Beitrag einen Über­blick über im IT-Sicher­heits­be­reich rele­vante Zer­ti­fi­zie­rungen geben. Am Bei­spiel der Common Cri­teria sollen die Ziel­setzung von Pro­dukt­zer­ti­fi­zie­rungen, die Akteure und Pro­zesse sowie die Vor- und Nach­teile auf­ge­zeigt werden.

Sicher­heits­zer­ti­fi­zierung

Im IT-Sicher­heits­umfeld gibt es ein breites Spektrum an Zer­ti­fi­zie­rungen. Orga­ni­sa­tionen können sich nach ISO27001 bzw. IT-Grund­schutz und Per­sonen z. B. als CISSP (Cer­tified Infor­mation Systems Security Pro­fes­sional) oder ISTQB Security Tester zer­ti­fi­zieren lassen.

Für IT-Pro­dukte gibt es domä­nen­spe­zi­fische Zer­ti­fi­zie­rungen wie das EMVCo Zer­ti­fi­zie­rungs­schema, welches die Sicherheit, Inter­ope­ra­bi­lität und Akzeptanz von chip­kar­ten­ba­sierten elek­tro­ni­schen Zah­lungs­sys­temen gewähr­leistet. Des Wei­teren werden bei­spiels­weise im Regie­rungs­umfeld ein­ge­setzte Kryp­to­graphie-Kom­po­nenten häufig nach FIPS 140–2 (ein­ge­führt durch das National Institute of Stan­dards and Tech­nology) zer­ti­fi­ziert. Für eine breite Palette an IT-Pro­dukten – von Fire­walls und Betriebs­sys­temen, über Smart­cards bis hin zu TPMs – hat sich die Common Cri­teria Zer­ti­fi­zierung eta­bliert.

Common Cri­teria

Die Common Cri­teria (ISO/IEC 15408, kurz CC) sind ein Standard zur Bewertung und Prüfung von Sicher­heits­funk­tio­na­li­täten von IT-Pro­dukten nach gestaf­felten Ver­trau­ens­wür­dig­keits­stufen. Sie ver­folgen das Ziel, die Sicher­heits­funk­tio­na­lität eines Pro­dukts trans­parent zu beschreiben, auf Wirk­samkeit und Kor­rektheit zu prüfen sowie die Sicher­heits­zer­ti­fi­zierung und deren Resultate ver­gleichbar zu gestalten. Im Rahmen spe­zi­eller Abkommen (CCRA und SOG-IS) ist ein Common Cri­teria IT-Sicher­heits­zer­ti­fikat inter­na­tional aner­kannt.

Für den Anwender ist es essen­ziell zu wissen, in welchem Maße er Zusi­che­rungen über die Sicherheit eines Pro­dukts tat­sächlich ver­trauen kann. Die CC ver­folgen daher das Ziel, den Nutzern eine ver­ständ­liche Bewertung der Sicher­heits­ei­gen­schaften an die Hand zu geben: Kor­rektheit der Sicher­heits­funk­tio­na­lität, Wirk­samkeit der Sicher­heits­funk­tio­na­lität gegen Angriffe, Analyse der poten­ti­ellen Schwach­stellen sowie ent­spre­chende Prüf­tiefe. Der Nutzer hat somit die Mög­lichkeit, die ver­spro­chene Sicher­heits­funk­tio­na­lität zu erfassen und zu ent­scheiden, inwieweit dieses Produkt für den geplanten Ein­satz­zweck aus sicher­heits­tech­ni­scher Sicht geeignet ist.

Die glo­balen Ziele der CC-Mit­glied­staaten sind ein gemein­sames stan­dar­di­siertes Kri­te­ri­enwerk sowie eine trans­pa­rente und abge­stimmte Eva­lu­ie­rungs­me­thodik. In den jewei­ligen Ländern sind staat­liche oder staatlich aner­kannte Insti­tu­tionen für die Zer­ti­fi­zierung nach CC ver­ant­wortlich. Die ent­spre­chenden Pro­zesse und natio­nalen Cha­rak­te­ristika werden durch die natio­nalen Zer­ti­fi­zie­rungs­schemata fest­gelegt.

Deut­sches Zer­tif­zie­rungs­schema

In Deutschland ist das Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) für die Zer­ti­fi­zierung von Pro­dukten nach CC ver­ant­wortlich. Die Eva­lu­ierung (Prüfung der Doku­men­tation, Audit der rele­vanten Standorte, unab­hängige Kor­rekt­heits­tests und Schwach­stel­len­analyse mit Pene­tra­ti­ons­tests) wird von einer unab­hän­gigen Prüf­stelle durch­ge­führt. Die Prüf­stelle muss zuvor vom BSI ent­spre­chend aner­kannt worden sein. Das BSI über­wacht als nationale Zer­ti­fi­zie­rungs­stelle die Eva­lu­ierung, so dass die Ver­gleich­barkeit der Vor­ge­hens­weise und Prüf­ergeb­nisse sowie ein hohes Ver­trauen in die Ergeb­nisse gewähr­leistet sind.

Für die Durch­führung einer CC-Zer­ti­fi­zierung gibt es mehrere Gründe. Ein CC-Zer­ti­fikat steigert das Ver­trauen der Kunden in das Produkt und kann somit als effek­tives Mar­ke­ting­werkzeug ein­ge­setzt werden. Oftmals ist die Zer­ti­fi­zierung nach CC jedoch nur ein Bau­stein in über­ge­ord­neten Zulas­sungs­pro­zessen für bestimmte Pro­dukt­gruppen von hohem natio­nalen und inter­na­tio­nalen Interesse. Bei­spiele hierfür sind intel­li­gente Fahr­ten­schreiber und Kom­po­nenten für die Tele­ma­tik­in­fra­struktur im Gesund­heits­wesen.

Im dritten Teil dieser Arti­kel­reihe werden die ent­spre­chenden natio­nalen und inter­na­tio­nalen Regu­larien sowie Gesetz­ge­bungen im Mit­tel­punkt stehen und imple­men­tierte Zulas­sungs­pro­zesse bei­spielhaft erörtert.

Einen tie­feren Ein­blick in die The­matik bietet das Seminar „Ver­trauen durch Pro­dukt­zer­ti­fi­zierung“ der Fraun­hofer Academy. Es richtet sich an alle inter­es­sierte Ent­scheider und Mit­ar­beiter, die mehr über das Thema Pro­dukt­zer­ti­fi­zierung erfahren wollen.

+++++++

Der Beitrag ist im Rahmen einer Arti­kel­serie erschienen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Nadja Menz, Fraun­hofer FOKUS

Nadja Menz arbeitet als wis­sen­schaft­liche Mit­ar­bei­terin im Kom­pe­tenz­zentrum Digital Public Ser­vices am Fraun­hofer FOKUS. Sie ist Expertin im Bereich IT-Sicherheit, mit einem Schwer­punkt auf Qua­li­täts­si­cherung und Zer­ti­fi­zierung. Nadja Menz arbeitet im CertLab, das Zer­ti­fi­zie­rungen von IT-Sicher­heits­pro­dukten basierend auf dem Common Cri­teria Standard für das Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik begleitet. Im Rahmen der Fraun­hofer Academy ist Nadja Menz Refe­rentin zum Thema „Ver­trauen durch Pro­dukt­zer­ti­fi­zierung“

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.