Navigation und Service

Die technische Evaluierung eines Produktes wird im Regelfall durch beim BSI akkreditierte und lizenzierte Prüfstellen durchgeführt, die der Antragsteller frei wählen kann. Die Prüfstellen stehen neben dem BSI für die Beratung über alle Aspekte des Verfahrens zur Verfügung.

Dies ist grundsätzlich möglich. Falls das betreffende System sich aus Einzelprodukten verschiedener Hersteller zusammensetzt, können diese einen gemeinsamen Zertifizierungsantrag oder getrennte, aber aufeinander abgestimmte Anträge stellen.
Für IT-Systeme kann auch eine Zertifizierung nach den IT-Grundschutz-Katalogen relevant sein. In den IT-Grundschutz-Katalogen werden Standardsicherheitsmaßnahmen für typische IT-Systeme empfohlen. Das Ziel dieser IT-Grundschutz-Empfehlungen ist es, durch geeignete Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmaßnahmen ein solides und vertrauenswürdiges Sicherheitsniveau für IT-Systeme zu erreichen.

Zwischen dem BSI und bestimmten deutschen privatwirtschaftlichen Zertifizierungsstellen wurden Anerkennungsvereinbarungen geschlossen. Zertifikate, die den Bestimmungen dieser Anerkennungsvereinbarung entsprechen, werden vom BSI anerkannt.

Um die Mehrfach-Zertifizierung des gleichen Produktes in verschiedenen Staaten zu vermeiden, wurde eine gegenseitige Anerkennung von IT-Sicherheitszertifikaten – sofern sie auf ITSEC oder Common Criteria (CC) beruhen – unter gewissen Bedingungen vereinbart.
Eine Vereinbarung (Common Criteria-Vereinbarung) über die gegenseitige Anerkennung von IT-Sicherheitszertifikaten und Schutzprofilen auf Basis der Common Criteria (CC) bis einschließlich der Vertrauenswürdigkeitsstufe EAL 4 wurde zwischen den nationalen Stellen in Australien, Deutschland, Finnland, Frankreich, Griechenland, Großbritannien, Italien, Kanada, Neuseeland, Niederlande, Norwegen, Spanien, USA, Israel, Schweden, Östereich, Ungarn und der Tükei unterzeichnet.
Das Abkommen über die gegenseitige Anerkennung von IT-Sicherheitszertifikaten auf Grundlage der europäischen ITSEC (SOGIS-MRA) aus dem Jahre 1998 wurde zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten auf Basis der CC bis einschließlich der Evaluationsstufe EAL7 erweitert.
In dem Dokument Deutsche IT-Sicherheitszertifikate (BSI-7148), 27.03.2020 können die nationalen Stellen der unterzeichneten Staaten für die jeweiligen Abkommen nachgeschlagen werden.

Eine Zertifizierung von Kryptomechanismen, als Teil einer Sicherheitsfunktion eines Produktes, ist möglich, Einzelheiten können bei der Zertifizierungsstelle nachgefragt werden.

In der Regel wird durch das Zertifizierungsverfahren erreicht, dass die aktuelle Produktversion zertifiziert wird. Dabei wird genau festgelegt, welche Teile des Produktes für die Sicherheit relevant sind und welche nicht. Jede Änderung, die zu einer neuen Produktversion führt, muss dem BSI mitgeteilt werden. Soll diese neue Version zertifiziert sein, muss ein neuer Zertifizierungsantrag beim BSI gestellt werden. Betreffen die Änderungen nur Teile, die nicht sicherheitsrelevant sind d. h. die keine Sicherheitsfunktion direkt betreffen (dies können z. B. Gerätetreiber sein) muss keine neue Evaluierung angestoßen werden. Andernfalls werden in einer Re-Zertifizierung nur die geänderten Teile und deren Schnittstellen untersucht.

Schon eine Zertifizierung auf der untersten Stufe EAL1 nach den Common Criteria ist für den Endnutzer eine wertvolle Aussage hinsichtlich der Sicherheit des eingesetzten Produktes, die schon weit über die gängigen Produkttests, wie sie in technischen Zeitschriften zu finden sind, hinausgeht.

Je früher im Entwicklungsstadium eines Produktes mit der Zertifizierung begonnen wird, um so kostengünstiger und zeitsparender kann das Verfahren durchgeführt werden. Die Vorgespräche mit dem BSI vor Antragstellung sind kostenfrei. Die Höhe der Kosten richtet sich nach angestrebter EAL-Stufe. Der Umfang der Sicherheitsfunktionen und die Komplexität des Produktes spielen ebenfalls eine entscheidende Rolle. Die Prüfstellen erstellen meist in einer Vorevaluierung einen genauen Kostenvoranschlag für die Evaluierung. Das BSI erhebt bei Verfahrensende Zertifizierungskosten nach Aufwand gemäß Kostenverordnung, die jedoch nur einen Bruchteil der Gesamtkosten (Evaluierung und Zertifizierung) betragen.
Weitere Kosten fallen häufig beim Hersteller selbst an, da dieser sicher stellen muss, dass die Entwicklungsdokumentation den Common Criteria-Anforderungen entspricht.

Eine Zertifizierung sollte man möglichst früh anstoßen, um die Sicherheitskriterien bei der Entwicklung des Produktes entsprechend anwenden zu können. Eine entwicklungsbegleitende Zertifizierung ist vorteilhaft. Es ist aber auch möglich, bereits fertige Produkte zu zertifizieren.

Jede intensive und qualitativ hochwertige Prüfung beansprucht eine bestimmte Zeit. Durch die entwicklungsbegleitende Zertifizierung, die das BSI in den meisten Prüfverfahren anwendet, konnte die Zeit aber bereits stark reduziert werden. Parallel zur Produktentwicklung finden dabei Zug um Zug die notwendigen Prüfschritte statt. Das Zertifikat liegt dann fast zeitgleich mit der Markteinführung vor.

Zertifikate gibt es in den folgenden Bereichen

• IT-Sicherheitszertifizierungen: Zertifiziert wird nach international anerkannten IT-Sicherheitskriterien, wie z. B. den Common Criteria (ISO/IEC 15408). Auf der Basis der genannten Kriterienwerke können Produkte und Systeme unterschiedlichster Art evaluiert werden. Eine wesentliche Voraussetzung ist jedoch, dass die am Ende des Verfahrens im Zertifikat zu bestätigenden Sicherheitseigenschaften im Zusammenhang mit der Wahrung von Vertraulichkeit, Verfügbarkeit und Integrität stehen. Nähere Informationen hierzu finden Sie auf den Seiten der Zertifizierung.
• Profil-Zertifizierungen: Mit Schutzprofilen ist Anwendergruppen und Herstellern die Möglichkeit gegeben, produktklassentypische und dienstleistungsspezifische Sicherheitsanforderungen festzulegen. Die Berücksichtigung von Schutzprofilen bei der Produktentwicklung erleichtert deren Evaluierung und führt zu Produkten, die in besonderem Maße den anwenderspezifischen Anforderungen entsprechen. Auch Schutzprofile können evaluiert und zertifiziert werden.
• IT-Grundschutz: Da der IT-Grundschutz-Katalog ein anerkanntes Kriterienwerk für IT-Sicherheit darstellt, hat das BSI ein Zertifizierungsschema für IT-Grundschutz erarbeitet. Damit kann durch ein IT-Grundschutz-Zertifikat dokumentiert werden, dass für den betrachteten IT-Verbund alle relevanten Sicherheitsmaßnahmen aus dem IT-Grundschutz-Katalog realisiert wurden. Nähere Informationen zum IT-Grundschutz-Zertifikat.
• Bestätigungen (Digitale Signaturen): Bei digitalen Signaturen wird ein Zertifikat als Bestätigung einer vertrauenswürdigen dritten Partei benötigt, um nachzuweisen, dass die zur Erzeugung der Digitalen Signatur eingesetzten kryptographischen Schlüssel wirklich zu dem Unterzeichnenden gehört. Nähere Informationen zu digitalen Signaturen.
• Zulassungen: IT-Produkte, die für die Übertragung und Verarbeitung von staatlichen Verschlusssachen (VS) genutzt werden sollen, benötigen eine Zulassung durch das BSI. Der Antrag auf Zulassung eines IT-Produktes kann grundsätzlich nur von einem behördlichen Anwender gestellt werden.

Jedes IT-Produkt, das Sicherheitsfunktionalitäten im Zusammenhang mit Vertraulichkeit, Verfügbarkeit oder Integrität von Daten besitzt, d. h. Hardware, Software oder eine Kombination von beiden, kann geprüft und bei Erfüllung der Anforderungen zertifiziert werden. Beispiele hierfür sind: PC-Sicherheitsprodukte, Betriebssysteme, Datenbanken, Firewalls, Chipkartenleser, Smart-Cards (Hardware und Software), Produkte zur Übertragungssicherung, digitale Fahrtenschreiber, u.v.m. Für fast alle genannten Beispiele werden heute bereits Produkte nach den CC geprüft.

Normalerweise stellt der Hersteller eines IT-Sicherheitsproduktes/Systems einen Zertifzierungsantrag beim BSI. Es ist aber auch möglich, dass ein Vertreiber einen Zertifizierungsantrag stellt. Der Vertreiber muss dann die Mitwirkung des Herstellers schriftlich sicherstellen.

Sicherheitskriterien sind sehr abstrakt geschrieben – gerade weil die Anforderung besteht, sie auf alle möglichen Produkte anwenden zu können.
Die Zertifizierung eines IT-Produkts/IT-Systems wird unterstützt durch

• die Druckschrift "Hinweise für Hersteller und Vertreiber" (7138)
• Faltblätter "BSI-Sicherheitszertifikate",
• Informationen auf den Webseiten des BSI,
• Beratungsgespräche, durchgeführt von der Zertifizierungsstelle des BSI
• Schulungen von Evaluatoren und Hersteller,
• Beispieldokumentation zu Herstellerdokumenten,
• Sicherheitskriterien,
• Leitfaden zur IT-Sicherheit auf Basis der Common Criteria

Für Anwender stehen folgende Informationen zur Zertifizierung zur Verfügung:

• das BSI-Forum (Organ des BSI in der Zeitschrift "<kes> - Die Zeitschrift für Informations-Sicherheit" ),
• Web-Seiten des BSI unter "Zertifizierte Produkte",
• die Druckschrift: Deutsche IT-Sicherheitszertifikate (BSI-7148), 27.03.2020,
• nach Anfrage per E-Mail an zertifizierung@bsi.bund.de,
• Newsletter