Evaluierung und Zulassung
-
Die für ein Zulassungsverfahren erforderlichen Dokumente werden durch BSI-Vorgabendokumente umfassend festgelegt. Diese Vorgaben orientieren sich an den international anerkannten Sicherheitskriterien der Common Criteria und passen diese auf die Bedürfnisse einer Prüfung des Produktes im Rahmen der Zulassung an. Sie definieren die von einem Hersteller im Rahmen eines Evaluierungs- und Zulassungsprozesses dem BSI zu belegenden Aspekte, der Sicherheitseigenschaften eines Produktes. Zentrales Dokument in diesem Zusammenhang stellt das sogenannte Security Target dar, das die im Rahmen der Evaluierung zu prüfenden Sicherheitsleistungen abstrakt festlegt und die Grundlage der Evaluierung bildet.
Diese Sicherheitsleistungen sind durch detaillierte Nachweise u. a. in den Bereichen Sicherheitsarchitektur, Schnittstellenspezifikation, Design, Sourcecode, Testnachweise und Schwachstellenanalyse vom Hersteller zu belegen.
Sowohl die vom Produkt zu erbringenden Sicherheitsleistungen, als auch der Nachweisumfang hängen dabei vom angestrebten Zulassungsgrad ab. -
Die Dauer eines Zulassungsverfahrens wird von verschiedenen Faktoren beeinflusst. Sie hängt entscheidend von dem beabsichtigten Zulassungsgrad, der Komplexität des IT-Sicherheitsproduktes, dem Prüfumfang sowie von der Unterstützung der Beteiligten, etwa bei der Bereitstellung von Produktdokumentation durch den Hersteller, ab.
-
Die Dokumente können entweder in Papierform oder in einem revisionssicheren Format vorliegen. Zusätzlich können die Dokumente in einer editierbaren elektronischen Form bereitgestellt werden.
-
Zugelassene IT-Sicherheitsprodukte werden in die BSI-Schrift 7164 "Liste der zugelassenen IT-Sicherheitsprodukte und -systeme".
-
Die Unterstützung des BSI durch den Hersteller erstreckt sich insbesondere auf eine aussagekräftige Dokumentation zum vorgelegten IT-Sicherheitsprodukt, aber auch auf evaluierungsbegleitende Aktivitäten (z. B. Nennung kompetenter Ansprechpartner, Bereitstellung von Testsystemen und evtl. von Messgeräten).
-
Die Zulassung ist eine verbindliche Aussage zum Sicherheitswert eines IT-Sicherheitsproduktes. Nach der Erteilung einer Zulassung für ein IT-Sicherheitsprodukt dürfen Verschlusssachen (VS) gemäß Sicherheitsüberprüfungsgesetz bis zum Zulassungsgrad, für den die Zulassung maximal erteilt wurde, mit diesem IT-Sicherheitsprodukt verarbeitet oder übertragen werden.
-
Gemäß VSA kann eine Dienststellenleitung die Verwendung von Produkten freigeben, insbesondere wenn keine geeigneten zugelassenen Produkte verfügbar sind und die Bereitstellung zugelassener Produkte nicht oder nicht zeitgerecht veranlasst werden kann. Die dabei empfohlene Beratung durch das BSI wird durch die Freigabeempfehlung dokumentiert. Eine Freigabeempfehlung ist auf ein bestimmtes Szenario beschränkt und kann mit einer Nutzungseinschränkung verbunden sein.
Zu einer Freigabeempfehlung wird das BSI nach Möglichkeit Hinweise für die freigebende Stelle geben (insbesondere Einsatz- und Betriebsbedingungen). Dazu gehört auch eine Liste mit erkannten Schwachstellen und Risiken, die sich aus diesen beim Einsatz ergeben. Unter Zuhilfenahme dieser Hinweise ist dann der Nutzer im Rahmen der Freigabe aufgefordert, die Nachteile bezüglich der IT-Sicherheit und die Vorteile eines Einsatzes in Anbetracht der Risiken gegeneinander abzuwägen und dies insbesondere durch eine entsprechende Risikoanalyse zu dokumentieren. Die Risikoanalyse muss Maßnahmen empfehlen und vorschreiben, welche die erkannten Risiken minimieren. Die resultierenden Restrisiken müssen für den Nutzer aus dieser Risikoanalyse klar erkennbar sein und von diesem getragen werden.
-
Der Antrag auf Zulassung eines IT-Sicherheitsproduktes kann grundsätzlich nur von einem bundesbehördlichen Anwender (Bedarfsträger) gestellt werden. Ein entsprechendes Antragsformular kann bei der unten angegebenen Kontaktadresse abgefragt werden.
-
Grundsätzlich sind alle IT-Sicherheitsprodukte, die für die Verarbeitung und Übertragung von Verschlusssachen eingesetzt werden, einer Prüfung und Sicherheitsbeurteilung zu unterziehen. §37 der VSA legt die Details hierzu fest. Es wird unterschieden zwischen IT-Sicherheitsprodukten, die vom BSI zugelassen sein müssen, und IT-Sicherheitsprodukten, die zugelassen sein sollen. Die zweite Gruppe lässt Ausnahmen zu, falls keine geeigneten zugelassenen Produkte zur Verfügung stehen. Hierbei sind immer die Belange der nationalen Sicherheit zu berücksichtigen. In der Regel kommen dabei IT-Sicherheitsprodukte zum Einsatz, die nach Common Criteria mit nationalem Schutzprofil durch das BSI zertifiziert wurden.
-
Die Dokumente müssen in deutscher und/oder englischer Sprache vorliegen.
-
Die Zulassung von IT-Sicherheitsprodukten für die Übertragung und Verarbeitung von VS wird gemäß BSI-Gesetz und der "Allgemeinen Verwaltungsvorschrift des Bundesministerium des Inneren zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA) vom 31. März 2006" nur durch das BSI erteilt.
-
Es entstehen weder für den Bedarfsträger noch für den Hersteller direkte Kosten. Jedoch sind Aufwände für die Unterstützung des BSI im Rahmen des Zulassungsverfahrens durch den Hersteller und den Bedarfsträger zu leisten. Kostenerstattungen durch das BSI sind nicht möglich.
-
Nein. Die vom Hersteller zur Verfügung gestellten Informationen werden im BSI vertraulich gehandhabt. Nur die mit dem Zulassungsverfahren betrauten Personen haben Zugang zu den gelieferten Informationen. Eine entsprechende Geheimhaltungsvereinbarung kann in schriftlicher Form fixiert werden.
-
Das Bundesamt für Sicherheit in der Informationstechnik hat unter anderem die gesetzliche Aufgabe, IT-Sicherheitsprodukte zu prüfen (Evaluierung) und eine verbindliche Aussage zum Sicherheitswert zu machen (Zulassung). Betroffen sind IT-Sicherheitsprodukte , die für die Verarbeitung und Übertragung von amtlich geheimgehaltenen Informationen (Verschlusssachen, VS) im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden. Die Produktklassen sind in der VSA vom 31. März 2006" aufgeführt ( §37 VSA). Hauptsächlich sind von dem Verfahren IT-Sicherheitsprodukte betroffen, die kryptographische Anteile enthalten, und daher als Kryptosysteme bezeichnet werden.
-
Eine Evaluierung mit dem Ziel der Zulassung ist die technische Prüfung und sicherheitstechnische Bewertung eines IT-Sicherheitsproduktes gemäß wohldefinierter IT-Sicherheitskriterien und entsprechender Prüfmethodik.
-
Nein, in der Zulassung wird der genaue Konstruktions- bzw. Versionsstand festgelegt. Der Anwender darf nur die zugelassenen Versionen unter Beachtung der in den Zulassungsdokumenten aufgeführten Einsatz- und Betriebsbedingungen benutzen, ansonsten ist die Verarbeitung bzw. Übertragung von VS nicht erlaubt.
Ein geänderter Konstruktions-/ Versionsstand muss vom Hersteller an das BSI gemeldet werden. Dies führt zu einer Nachevaluierung, die sich in der Regel nur auf die geänderten und sicherheitsrelevanten Bestandteile beschränkt und zu einer Aktualisierung der Zulassung. -
Die Liste der zugelassenen IT-Sicherheitsprodukte und -systeme finden Sie hier.
-
Die Zulassung bezieht sich nur auf IT-Sicherheitsprodukte für die Verarbeitung und Übertragung von staatlichen VS und berücksichtigt insbesondere Belange des staatlichen Geheimschutzes. Eine Zulassung wird nur durch das BSI ausgesprochen. Demgegenüber kann eine Zertifizierung für alle IT-Produkte mit Sicherheitsfunktionalität angestrengt werden, sofern sich der Hersteller entschließt, eine neutrale Prüfung durchführen zu lassen. Diese Evaluierung kann auch bei externen Prüfstellen erfolgen.
-
Das IT-Sicherheitsprodukt wird im Rahmen einer Vorprüfung auf seine Zulassungsfähigkeit hin untersucht. Der Abbruch des Zulassungsverfahrens ist aufgrund von triftigen Gründen zu jedem Zeitpunkt des Zulassungsprozesses möglich. Dies kann z. B. aufgrund mangelnder Unterstützung durch den Hersteller der Fall sein.
-
Es gibt folgende Zulassungsgrade: VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD), VS-VERTRAULICH (VS-V), GEHEIM und STRENG GEHEIM. Dabei darf die Einstufung der zu schützenden Informationen den Grad der Zulassung nicht übersteigen.
-
Bundesamt für Sicherheit in der Informationstechnik
Referat KM 12 Zulassung von VS-Produkten
Postfach 20 03 63
53133 Bonn
Telefon: +49 (0) 22899 / 9582 - 5470
Telefax: +49 (0) 22899 / 10 9582 – 5470
E-Mail: zulassung@bsi.bund.de
De-Mail: zulassung@bsi-bund.de-mail.de