Internationale Anerkennung von IT-Sicherheitszertifikaten
Zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten werden internationale Abkommen in Arbeitsgruppen ausgehandelt und von den entsprechenden Staaten unterzeichnet. Durch diese Abkommen wird die Mehrfach-Zertifizierung des gleichen Produktes in verschiedenen Staaten vermieden, wenn die IT-Sicherheitszertifikate auf ITSEC oder CC beruhen. Diese Anerkennungsabkommen regeln grundsätzlich:
- wie das jeweilige Abkommen koordiniert und umgesetzt wird. Dafür ist jeweils ein Management Commitee (wie das SOGIS-MC oder das CCRA-MC) verantwortlich, dem verschiedene Arbeitsgruppen zuarbeiten,
- wie die Anerkennung und die gegenseitige Überwachung von nationalen Zertifizierungsstellen erfolgt,
- in welchen Vertrauenswürdigkeitsstufen und technischen Bereichen die Anerkennung gilt und
- welche Einschränkungen bei der Anerkennung von Zertifikaten gelten, wenn dieser nationale, internationale oder EU-Gesetze und -Verordnungen entgegenstehen. Dies gilt insbesondere in Anwendungsbereichen der nationalen Sicherheit.
Bisher hat das BSI zur europäischen Anerkennung von IT-Sicherheitszertifikaten das SOGIS-MRA und zur weltweiten Anerkennung das CCRA-Abkommen unterzeichnet.
In Bezug auf die Anerkennung von Zertifikaten durch das BSI schließt dies eine Begrenzung der Anerkennung ein, wenn der Anerkennung überwiegende öffentliche Interesse - insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland - entgegenstehen (BSIG §9, Abs. 4, 2.).
Daraus resultierend ist die Anerkennung eingeschränkt in Bezug auf
- Auswahl kryptographischer Algorithmen und Funktionen und
- Prüfergebnisse zur Implementierung und zur Stärke von kryptographischen Algorithmen und Funktionen.
Hier haben nationale Regelungen und Vorschriften Vorrang.
- Kurz-URL:
- https://www.bsi.bund.de/dok/6618118