Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Das BSZ-Verfahren

Der Weg zu einem BSZ-Zertifikat - Ablauf des Zertifizerungsverfahrens

Der Weg zu einem BSZ-Zertifikat

1. Vorbereitung und Antragstellung

Der Weg zu einem BSZ-Zertifikat für ein IT-Produkt beginnt mit der Beantwortung der folgenden Fragen:

  • Ist die BSZ für dieses Produkt möglich?
  • In welchen Geltungsbereich der BSZ fällt das Produkt?
  • Erfüllt das Produkt die Mindestanforderung des Geltungsbereichs?

Die BSZ-Zertifizierungsstelle unterstützt Sie gerne bei der Beantwortung dieser und auch weiter Fragen und bietet dazu unverbindliche und kostenfreie Informationsgespräche an. Informationen zu Geltungsbereichen und Anforderungen an Produkte finden Sie hier.

Danach beginnt die eigentliche Vorbereitung des Zertifizierungsantrags. Der Antragsteller muss

  • einen Vertrag mit einer Prüfstelle für Evaluierung des Produkts schließen und
  • die Dokumente inkl. Sicherheitsvorgaben (eng. Security Target) vorbereiten.
  • optional: Vorprüfung des Produkts & Dokumente durch Prüfstelle.

Nun folgt die Antragstellung. Der Antragsteller übergibt

  • Antrag inkl. Dokumente an die Zertifizierungsstelle und
  • Dokumente, Produkt und weitere Eingaben an die Prüfstelle.

Zum Antrag

2. Auftaktbesprechung

Der nächste Schritt auf dem Weg zum Zertifikat ist die Auftaktbesprechung. Ziel ist, eine solide Grundlage für die Evaluierung zu legen, so dass das Verfahren planmäßig und ohne Hindernisse durchgeführt werden kann. Es nehmen alle am Verfahren beteiligten Parteien, also Antragsteller, Prüfstelle und Zertifizierungsstelle, teil.

Voraussetzung für die Auftaktbesprechung ist, dass

  • der Antrag inkl. aller Dokumente vollständig bei der Zertifizierungsstelle eingegangen ist und
  • die inhaltliche Prüfung keine Zertifizierungshemmnisse ergeben hat.

Die Prüfstelle bereitet die Auftaktbesprechung inhaltlich vor:

  • Evaluierung der Antragstellerdokumente,
  • Schätzung des notwendigen Evaluierungsaufwands und
  • Entwurf des Evaluierungsplans.

In der Auftaktbesprechung

  • wird ein gemeinsames Verständnis von Produkt und Sicherheitsvorgaben geschaffen
  • werden die Sicherheitsvorgaben, insbesondere die zu betrachtende Konfiguration des TOE, final abgestimmt,
  • werden Evaluierungsaufwand, Evaluierungsplanung und der Zeitplan für die Evaluierung festgelegt.

3. Evaluierung

Als Nächstes beginnt die Prüfstelle mit der Evaluierung. Diese ist der Kern der BSZ. In einem festen Zeitrahmen, der sich nach der Komplexität des Produkts richtet, evaluiert die Prüfstelle im Risiko basierten Ansatz die IT-Sicherheit des Produkts. Bei diesem Ansatz nutzt die Prüfstelle ihre Expertise, um die Prüfschwerpunkte so zu setzen, dass der Zeitrahmen optimal ausgenutzt wird.

Die Prüfstelle überprüft,

  • ob die im ST beschriebenen Sicherheitsfunktion vorhanden und wirksam sind,
  • ob das Produkt alle Anforderungen des jeweiligen Geltungsbereichs erfüllt,
  • und ob das Produkt robust gegenüber Cyberangriffen auf seine Schnittstellen reagiert.

Hierzu führt die Prüfstelle

  • Konformitätstests,
  • Penetrationstests
  • und Tests der kryptographischen Funktionen durch.

Die Prüfstelle dokumentiert die Ergebnisse der Evaluierung im Evaluierungsreport. Dieser enthält unter anderem

  • eine Beschreibung von festgestellten Schwachstellen und Abweichungen,
  • Empfehlungen an den Antragsteller bzw. Hersteller des Produkts
  • eine Empfehlung an die Zertifizierungsstelle ob ein Zertifikat erteilt werden sollte.

Der Report wird zum Abschluss der Evaluierung an die Zertifizierungsstelle versendet.

4. Abschlussinterview

Nach dem Erhalt des Evaluierungsreports lädt die Zertifizierungsstelle die Prüfstelle zum Abschlussinterview ein.

Im Interview präsentiert die Prüfstelle

  • das grundsätzliche Vorgehen bei der Evaluierung des Produkts,
  • die Schwerpunkte der Evaluierung,
  • und die Evaluierungsergebnisse inklusive einer detaillierten Bewertung.

Die Zertifizierungsstelle hinterfragt kritisch das Vorgehen der Prüfstelle, um festzustellen, ob die durchgeführte Evaluation ausreichend für eine abschließende Bewertung des Evaluierungsgegenstandes ist.

Zum Abschluss bewertet die Zertifizierungsstelle die Ergebnisse und trifft die finale Zertifizierungsentscheidung.

5. Zertifikatserteilung und Abschluss des Verfahrens

Im letzten Schritt informiert die Zertifizierungsstelle den Antragsteller über die Entscheidung. Es kann sein, dass für eine Zertifikatserteilung Dokumente wie die Sicherheitsvorgaben oder das Handbuch zur sicheren Nutzung (eng. Secure User Guidance, SUG) noch final angepasst werden müssen. Hierzu folgt dann eine formelle Anhörung des Antragstellers mit 14 tägiger Frist. Danach wird der Zertifizierungsbescheid versandt.

Eine Hand hält einen Stempel mit der Aufschrift ZERTIFZIERT über einer Tastatur

Bei positiver Entscheidung bezüglich der Zertifizierung wird die Zertifikatsurkunde und der Zertifizierungsreport angefertigt und zusammen mit dem Zertifizierungsbescheid an den Antragsteller
versandt. Nach Ablauf der Widerspruchsfrist und mit Zustimmung des Antragstellers werden Zertifikat, Zertifizierungsreport und die Sicherheitsvorgaben auf der BSI Webseite veröffentlicht.


Während der Laufzeit des Zertifikats, grundsätzlich 2 Jahre, muss der Antragsteller das zertifizierte Produkt auf Schwachstellen überwachen und falls notwendig auch Sicherheitsupdates zu Verfügung stellen.

Weitere Informationen zur BSZ sowie Antworten auf die wichtigsten Fragen zum Thema finden Sie in unseren FAQ.

Ähnliche Themen

Zurück zu Beschleunigte Sicherheitszertifizierung