BSI TR-03180

Zur Beurteilung der Güte des IT-Sicherheitsniveaus eines mobilen IT-Gerätes werden definierte Kriterien (sowohl für das Gerät, als auch für die Unterstützungsprozesse auf Seiten des Herstellers) benötigt. Mit diesen Kriterien kann für ein bestimmtes Gerät das IT-Sicherheitsniveau geprüft und gemessen werden.

Die Technische Richtlinie (TR) 03180 stellt Kriterien mobiler IT-Geräte und der sie unterstützenden Prozesse zusammen, die aus Sicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für ein angemessenes IT-Sicherheitsniveau mobiler IT-Geräte relevant sind. Die TR bezieht sich auf Geräte, die im privaten Umfeld von Verbraucherinnen/ und Verbrauchern zum Einsatz kommen sollen. Dies gilt insbesondere für die Einsatzzwecke Telefonie, SMS/MMS, Terminverwaltung, Internetrecherche, Social Networking, Fotografieren und das Speichern von Dateien, für die sie als reine Consumer-Produkte konzipiert wurden.

Unter „mobilen IT-Geräten“ versteht die TR ausschließlich Smartphones und Tablets. Zwar zählen auch Laptops zu den mobilen IT-Geräten, weisen jedoch einige für Smartphones und Tablets typische Eigenschaften nicht auf. Zu den typische Eigenschaften zählen zum Beispiel Software-Verteilstrukturen, in denen zentrale Marktplatzbetreiber mehr oder weniger Kontrolle über installierbare Programme haben, die Art der Geräteverwaltung und der Formfaktor. Zwar nähert sich die Welt der klassischen Desktop-Betriebssysteme inzwischen immer mehr an die Welt der Betriebssysteme für Smartphones und Tablets an, derzeit sind Laptops jedoch mit stationären IT-Geräten (PCs) eher verwandt, als mit Smartphones bzw. Tablets.

Ein erheblicher Teil der Sicherheitsziele und Kriterien in dieser TR sind dabei nicht spezifisch für Smartphones und Tablets und können auch auf andere mobile IT-Geräte und stationäre bzw. klassische IT-Geräte angewendet werden.

Die BSI TR-03180 ist grundsätzlich offen für Korrekturen und Anpassungen an zukünftige technologische Veränderungen/ und Entwicklungen.
Anregungen können gerne an referat-tk12@bsi.bund.de gesendet werden.

Download

BSI TR-03180

BSI TR-03180 A Anforderungskatalog IT-Sicherheitskennzeichen

Das Dokument TR-03180 Anhang A „Anforderungskatalog IT-Sicherheitskennzeichen“ legt fest, welche Anforderungen ein mobiles Endgerät für die Erteilung eines IT-Sicherheitskennzeichen des BSI erfüllen muss.

Der Anforderungskatalog leitet aus den Kriterien der BSI TR-03180 konkrete Prüfeigenschaften ab, die ein mobiles Endgerät im Verbraucherkontext - je nach Verbindlichkeit - erfüllen muss, soll, darf oder kann, um die Freigabe für ein IT-Sicherheitskennzeichen zu erhalten.

Der Anforderungskatalog enthält zudem Prüfvorgaben zu den einzelnen Prüfeigenschaften. Diese Prüfspezifikation ist für die Selbstprüfung durch den Hersteller als auch durch eine von ihm beauftragte Konformitätsbewertungsstelle vorgesehen. Um eine objektive Prüfbarkeit der Prüfeigenschaften und eine Nutzung der Testergebnisse für das IT-Sicherheitskennzeichen unabhängig vom jeweiligen Prüfer zu gewährleisten, enthält die Prüfspezifikation zu jeder Prüfeigenschaft eine Auswahl von erlaubten Prüfmethoden.

Weiterentwicklung und Praxistest

Das BSI ist daran interessiert, die TR-03180 A möglichst praxisgerecht zu gestalten und die Perspektiven verschiedener Akteure in das Standardisierungsvorhaben einfließen zu lassen. Die BSI TR-03180 A ist aktuell nach einer öffentlichen Kommentierungsphase in der Version 1.0.0 veröffentlicht.

Für die Anwendung im Rahmen des IT-Sicherheitskennzeichens ist ein weiterer Praxistest mit einer Konformitätsbewertungsstelle und ein oder mehreren Herstellern geplant. Interessierte Hersteller, die am Praxistest teilnehmen wollen, können sich per E-Mail bis zum 31. September 2024 an it-sicherheitskennzeichen@bsi.bund.de wenden.

Kommentare, Anmerkungen und Verbesserungsvorschläge zur BSI TR-03180 A können jederzeit an it-sicherheitskennzeichen@bsi.bund.de gesendet werden.

Download

BSI TR-03180 A - Requirements catalogue for the IT Security Label

BSI TR-03180 A Appendix A - Conformity declaration for the IT-Security Label