1. Vorbemerkungen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat unter anderem die gesetzliche Aufgabe, informationstechnische Verfahren, Produkte und Geräte für die Sicherheit in der Informationstechnik (IT) zu prüfen und eine verbindliche Aussage zum Sicherheitswert zu machen.
Betroffen sind Geräte, Produkte und Verfahren, die für die Verarbeitung und Übertragung amtlich geheimgehaltener Informationen (Geheimschutz, Verschlusssachen, VS) im Bereich des Bundes und der Länder oder bei Unternehmen im Rahmen von Aufträgen des Bundes oder der Länder eingesetzt werden. In begrenztem Maße sind auch Geräte, Produkte und Verfahren einbezogen, die für sensitive aber nicht eingestufte Informationen im Behördenbereich eingesetzt werden können. Geräte, Produkte und Verfahren für die Sicherheit in der Informationstechnik werden hier als IT-Sicherheitsprodukte und -systeme bezeichnet oder kurz als Systeme, bzw. Kryptosysteme, falls kryptographische Funktionen enthalten sind. Das Prüf- und Beurteilungsverfahren heißt Zulassung.

2. Vorschriftenlage

In der "Allgemeinen Verwaltungsvorschrift des Bundesministerium des Inneren zum materiellen und organisatorischen Schutz von Verschlusssachen" (VS-Anweisung - VSA) vom 31. März 2006 und in den entsprechenden Vorschriften der Ressorts ist vorgeschrieben, dass Systeme mit Funktionen zur Herstellung von Schlüsselmitteln, Verschlüsselung (Kryptierung), Löschung oder Vernichtung von VS-Datenträgern, Abstrahlsicherheit, Sicherung von Übertragungsleitungen und Trennung von Netzen mit unterschiedlichen maximalen Einstufungen durch das BSI zugelassen sein müssen. Die zugelassenen Systeme sind in folgenden BSI-Druckschriften aufgeführt:

• BSI 7164 Liste der zugelassenen IT-Sicherheitsprodukte und –systeme
• BSI TL 03305 Liste der für staatliche VS zugelassene abstrahlsichere/-arme Hardware
• BSI TL-M01 Produkte für die materielle Sicherheit (nicht-öffentliche Information)

Im Bereich der sensitiven, aber nicht eingestuften Informationen gilt eine solche Zulassungsregelung nicht. Dennoch kann auch dort der Einsatz von VS-zugelassenen Systemen sinnvoll sein.

3. Antragstellung

Anträge auf Zulassung eines Systems sind vom behördlichen Anwender zu richten an die Kontaktadresse.

Die Zulassung beginnt immer mit einer Prüfung des Systems, der sogenannten Evaluierung. Die Arbeiten hierzu werden im BSI durchgeführt. Die Evaluierung im Zusammenhang mit einer Zulassung ist aufwendig und langwierig. Zudem sind die Evaluierungskapazitäten im BSI stark begrenzt. Daher kann einem Prüfungs- und Zulassungsantrag nur dann stattgegeben werden, wenn dem Zulassungsantrag ein eindeutiger, angemessener Bedarfsnachweis beigefügt ist. Zusätzlich ist vor Antragstellung zu klären, ob die ausreichende technische Unterstützung durch die Herstellerfirma gewährleistet ist.

Die Antragstellung durch eine Firma, ohne den Nachweis eines behördlichen Nutzers, ist nicht möglich.

Existiert bereits ein zugelassenes System des Herstellers oder eines anderen Herstellers mit den geforderten Funktionalitäten, so ist das bereits zugelassene System einzusetzen.

4. Durchführung der Evaluierung

Die Evaluierung von Systemen zum Zwecke der Zulassung erfolgt aus Gründen der Unabhängigkeit, des Urheberschutzes und aus allgemeinen Sicherheitsgründen grundsätzlich im BSI. Für bestimmte Prüfaufgaben (z.B. Abstrahlmessungen) können in Absprache zwischen dem Hersteller und dem BSI geeignete externe Prüfstellen eingesetzt werden. Kontakt

5. Zulassungsergebnis

Die Evaluierung endet in der Regel mit der Zulassung der Systeme für eine bestimmte Aufgabenerfüllung bzw. für einen bestimmten Einsatzzweck.

Beispiel: Zulassung für die Übertragung von Verschlusssachen bis zum Geheimhaltungsgrad VS-VERTRAULICH.

Die Zulassungsergebnisse werden in einem Zulassungsreport zusammengefasst. Weitergehende Begründungen zur Zulassung, Prüfmethoden und Prüftiefe unterliegen in großen Teilen der Geheimhaltung und können nicht allgemein bekannt gegeben werden. Der Hersteller kann bei Bedarf die Prüfunterlagen einsehen, wenn dieser gegenüber dem BSI ein berechtigtes Interesse nachweist und die notwendigen Sicherheitsvoraussetzungen erfüllt.

6. Versionen

IT-Sicherheitssysteme sind in der Regel in unterschiedlichen Versionen lieferbar. Die BSI-Prüfung bezieht sich in der Regel nur auf einen speziellen Versionsstand. Andere Versionen weichen meist in Ausstattung und Funktionalität erheblich von der geprüften Version ab. Dies gilt insbesondere auch für die Sicherheitsfunktionen. Daher kann die Sicherheitsbeurteilung einer Systemversion nicht unbedingt auf andere Systemversionen übertragen werden.

7. Einsatz in Unternehmen und Einrichtungen der Wirtschaft

Andere Unternehmen und Einrichtungen der Wirtschaft, die aufgrund bestimmter Entwicklungsarbeiten oder geschäftlicher Beziehungen in besonderem Maße durch Wirtschaftsspionage gefährdet sind, können unter folgenden Voraussetzungen ebenfalls VS-zugelassene Systeme erhalten:

1. Das Bundesministerium des Innern erkennt eine Gefährdung durch Wirtschaftsspionage an und bejaht damit das öffentliche Interesse an der Weitergabe der für VS-zugelassenen und in der Regel VS-NfD eingestuften Systeme gemäß § 21 der "Allgemeinen Verwaltungsvorschrift des Bundesministerium des Inneren zum materiellen und organisatorischen Schutz von Verschlusssachen" (VS-Anweisung - VSA) vom 31. März 2006.

2. das Unternehmen/die Einrichtung verpflichtet sich vertraglich,

   1. die Systeme gemäß dem "Merkblatt über die Behandlung von VS des Geheimhaltungsgrades VS-NfD" und einem einvernehmlich festgelegten Sicherheitskonzept zu schützen,
   2. die Schlüsselverteilung für die Systeme durch das BSI oder eine andere vertrauenswürdige Einrichtung durchführen zu lassen,
   3. die Systeme im Ausland nur im Einvernehmen mit dem BSI einzusetzen,
   4. nicht mehr benötigte Systeme an den Hersteller/Vertreiber zurückzugeben oder dem BSI zu überlassen und
   5. einen Sicherheitsbevollmächtigten zu bestimmen, der die Einhaltung der vertraglich übernommenen Verpflichtungen sicherstellt.

8. Übersicht der zugelassenen Systeme

Die Liste der zugelassenen IT-Sicherheitsprodukte und -Systeme enthält:

• Zugelassene Kryptosysteme
• Zugelassene Systeme ohne kryptographische Anteile

Die Aufstellung ist alphabetisch nach Produktnamen geordnet.

Die Liste enthält Systeme, die vom BSI und deren Vorgängerbehörden zugelassen wurden und noch im Einsatz sind. Es erscheint sinnvoll, auch ältere Systeme in der Liste zu belassen und damit wichtige Informationen zur Verfügung zu stellen. Genaue technische Spezifikationen und exakte Preise sind von der Hersteller- bzw. Vertriebsfirma zu erfragen.

9. Vertrieb und Export

Zugelassene Kryptosysteme und deren Komponenten unterliegen einem eingeschränkten Vertrieb.

Der Export von zugelassenen Kryptosystemen und deren Komponenten unterliegt der deutschen  Exportgesetzgebung und bedarf grundsätzlich der Zustimmung der zuständigen Stellen.

10. Internationale Anerkennung

Die Evaluierung von IT-Sicherheitsprodukten zum Zwecke der Zulassung erfolgt nach speziellen Kriterien des BSI, die aus Rücksicht auf den Geheimschutzbereich nicht veröffentlicht werden können. Die Kriterien orientieren sich an den Richtlinien der NATO und der EU und berücksichtigen alle entsprechenden Vorschriften der NATO und der EU.

Daraus ergeben sich für national zugelassene IT-Sicherheitsprodukte im Rahmen der EU folgende Regelungen:

Wurden die zugelassenen Versionen eines Produktes vom BSI nach den Richtlinien des Rates der Europäischen Union (EU) geprüft, so sind sie gemäß den Sicherheitsvorschriften des Rates der EU hiermit auch für die entsprechende Einstufung für den nationalen Einsatz zugelassen.
Soll das Produkt im Rat der EU oder einer Unterorganisation benutzt werden, ist eine Zweitevaluierung durch eine Appropriately Qualified Authority (AQUA) und eine Zulassung durch den Rat erforderlich (EU-Vorschrift TECH-P-01-02).

Für national zugelassene IT-Sicherheitsprodukte im Rahmen der NATO gelten folgende Regelungen:

Wurden die zugelassenen Versionen eines Produktes vom BSI gemäß den Vorgaben der NATO-Vorschrift C-M(2002)49 und nachgeordneter Direktiven geprüft, so sind sie hiermit auch für den Schutz von NATO-Informationen bis zum Geheimhaltungsgrad "NATO RESTRICTED" bzw. "NATO CONFIDENTIAL" zugelassen.

Für einen Einsatz mit Geheimhaltungsgrad "NATO SECRET" oder höher, ist eine erfolgreiche Zweitevaluierung durch die zuständige NATO-Behörde und eine Zulassung durch das NATO Military Committee (NAMILCOM) erforderlich.

Die erforderliche Stärke eines Kryptoproduktes (Strength of Mechanism, SoM) kann in Abhängigkeit von der Bedrohung (Threat Level) und der Auswirkung (Impact Level) betrachtet werden.
Es werden die SoM Basic, Standard, Enhanced und High unterschieden. Üblicherweise entsprechen für klassische Anwendungsfälle die SoM zugehörigen internationalen Geheimhaltungsgraden:

• Standard - Restricted
• Enhanced - Confidential
• High - Secret

11. Kontakt

Bei Fragen zum Themenbereich Zulassung wenden Sie sich bitte an:

Bundesamt für Sicherheit in der Informationstechnik
Referat KM 12 Zulassung von VS-Produkten
Postfach 20 03 63
53133 Bonn
Telefon: +49 (0) 22899 / 9582 - 5470
Telefax: +49 (0) 22899 / 10 9582 – 5470
E-Mail: zulassung@bsi.bund.de
De-Mail: zulassung@bsi-bund.de-mail.de

12. FAQ

FAQ Evaluierung und Zulassung