Zu den vielseitigen Dienstleistungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gehören die Zertifizierung von IT-Produkten, IT-Systemen und von Schutzprofilen.

Warum IT-Sicherheitszertifizierung von Produkten und Schutzprofilen?

Die zunehmende Nutzung von e-commerce, online-banking oder E-Mail als Kommunikationsmittel haben die Risiken aber auch das Sicherheitsbewusstsein der Anwender erheblich anwachsen lassen. Besondere Risiken stellen die Bedrohung von Integrität und Vertraulichkeit digitaler Dokumente und der Verfügbarkeit von Dienstleistungen dar. Um diese Risiken zu mindern, müssen die genutzten IT-Produkte über Sicherheitseigenschaften verfügen, die einen angemessenen Schutz bieten.

Durch die Evaluierung und Zertifizierung auf der Grundlage der international anerkannten Sicherheitskriterien ITSEC oder CC wird festgestellt, ob diese Produkte tatsächlich über angemessene Sicherheitseigenschaften verfügen. In vielen Anwendungsbereichen wird daher die Evaluierung der genutzten IT-Produkte gefordert. Dies betrifft zum Beispiel IT-Produkte, die im Rahmen des Signaturgesetzes zum Einsatz kommen sollen (Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften, Bundesgesetzblatt Teil I Nr. 22 vom 21.5.2001). Zur Spezifikation der Sicherheitsanforderungen für diese IT-Produkte wird gegenwärtig ein Schutzprofil entwickelt, das die Regelungen des Signaturgesetzes und damit auch der EU-Richtlinie 1999/93/EC umsetzt. Wegen der Bedeutung, die Smartcards für den bargeldlosen Zahlungsverkehr haben, wurden aufgrund der Anforderungen von Kreditkarteninstituten und Banken eine Vielzahl von Smartcard IC und Smartcard Betriebssystemen und Applikationen evaluiert und zertifiziert. Zur Spezifikation der Sicherheitsanforderungen haben Hersteller und Kreditinstitute eine Reihe von Schutzprofilen erstellt. Diese Schutzprofile wurden nach CC evaluiert und zertifiziert/ registriert.

Sicherheitskriterien als Zertifizierungsgrundlage

Evaluierung und Zertifizierung können wahlweise auf der Grundlage der "Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik" (ITSEC) als europäisch anerkanntem Kriterienwerk oder der "Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik/Common Criteria for Information Technology Security Evaluation" (CC) erfolgen. Die CC sind eine Weiterentwicklung und Harmonisierung der europäischen ITSEC, des Orange Books (TCSEC), der Federal Criteria (FC) der USA sowie der kanadischen Kriterien (CTCPEC). Sie wurden im Dezember 1999 durch die internationale Standardisierungsorganisation (ISO) als internationale Norm ISO/IEC 15408 veröffentlicht und kontinuierlich weiterentwickelt. Die CC sind damit das aktuelle Kriterienwerk und werden vom BSI als Evaluierungsgrundlage empfohlen. ITSEC und CC können in der Rubrik IT-Sicherheitskriterien heruntergeladen werden.

Die Anforderungen der Sicherheitskriterien gliedern sich einerseits in Anforderungen an die Bewertung der Korrektheit des zu evaluierenden Produkts oder Systems und andererseits in Anforderungen an die Bewertung der Wirksamkeit von dessen Sicherheitsfunktionen. Zu den Anforderungen zum Bewertungsaspekt 'Korrektheit' gehören z. B. Anforderungen an den Umfang und den Detaillierungsgrad der Design-Dokumentation, an die Strukturierung des Designs, an den Umfang und die Tiefe der funktionalen Tests, Anforderungen an die Entwicklungswerkzeuge und die Sicherheitsmaßnahmen in der Entwicklungsumgebung sowie die Verfahren der Produktauslieferung zum Anwender. Bei der Bewertung der Wirksamkeit der Sicherheitsfunktionen wird durch Analysen und Penetrationstests untersucht, ob es einem Angreifer mit einem angenommenen Angriffspotential möglich ist, die Sicherheitsfunktionen zu überwinden oder Schwachstellen auszunutzen. Die Anforderungen zu beiden Bewertungsaspekten werden in Teil 3 der CC alsVertrauenswürdigkeitsanforderungen zusammengefasst. Die Vertrauenswürdigkeitsanforderungen in Teil 3 der CC sind modular strukturiert. Aus den modularen Anforderungskomponenten wurden die hierarchisch abgestuften Evaluierungsstufen EAL1 bis EAL7 gebildet. Die ITSEC enthalten die ebenfalls abgestuften Evaluierungsstufen E1 bis E6. Mit zunehmender Evaluierungsstufe steigen die Anforderungen an den Prüfumfang und die Prüftiefe. Zur Spezifikation der funktionalen Sicherheitsanforderungen an ein IT-Produkt oder IT-System enthält Teil 2 der CC die ebenfalls modularen funktionalen Anforderungskomponenten.

Die Sicherheitsvorgaben sind das zentrale Dokument jeder Evaluierung. Sie enthalten u. a. eine Beschreibung des zu evaluierenden Produkts und seiner Einsatzumgebung, die angenommenen Bedrohungen und zu erfüllenden Sicherheitspolitiken, die Spezifikation seiner funktionalen Sicherheitsanforderungen und seiner Sicherheitsfunktionen und die vom Antragsteller angestrebte Evaluierungsstufe. In Sicherheitsvorgaben nach CC werden die funktionalen Sicherheitsanforderungen durch die funktionalen Anforderungskomponenten des Teils 2 der CC gebildet. Das Dokument "IT Sicherheit auf Basis der CC – Ein Leitfaden", das u. a. eine Zuordnung produkttypischer Bedrohungen zu funktionalen Anforderungen der CC enthält, bietet hierbei Unterstützung. Dieses Dokument ist in der Rubrik 'IT-Sicherheitskriterien' unter Common Criteria (CC) zu finden.

Eine Zielsetzung der Kriterienwerke ITSEC und CC ist es, eine Anwendung auf möglichst viele Produktkategorien zu ermöglichen. Deshalb war eine offenere Formulierung der Anforderungen sowie ein Verzicht auf die Aufnahme verbindlicher Evaluierungsmethoden in die Kriterien notwendig. Um aber ein allgemein anerkanntes Konzept für IT-Sicherheitsevaluierungen bereitstellen zu können und damit die Basis für eine Anerkennung der Gleichwertigkeit von Zertifikaten unterschiedlicher Zertifizierungsstellen zu schaffen, werden in internationaler Zusammenarbeit sogenannte Evaluationsmethodologien entwickelt. Für die ITSEC wurde 1993 das "Handbuch für die Bewertung von Systemen der Informationstechnik" (ITSEM) veröffentlicht. Als Evaluationsmethodologie zu den CC liegt die "Common Evaluation Methology" (CEM) vor.

Neben den produktartunabhängigen Evaluationsmethodologien ITSEM und CEM war für den Smartcard-Bereich die Entwicklung zusätzlicher produktartspezifischer Methodologien erforderlich: "Integrated Circuit Hardware Evaluation Methodology", "The Application of ITSEC to Integrated Circuits", "The Application of CC to Integrated Circuits". Die hier genannten Dokumente können auf der Seite zu den Anwendungshinweisen und Interpretationen zu ITSEC und CC heruntergeladen werden.
Da die Kriterienanforderungen teilweise interpretationsbedürftig sind, erstellt das BSI in Abstimmung mit den Prüfstellen Interpretationen. Diese Interpretationen werden als AIS ("Anwendungshinweise und Interpretationen zum Schema") bezeichnet. Im internationalen Rahmen wurden Interpretationen zu den ITSEC harmonisiert und als ITSEC Joint Interpretation Library (ITSEC-JIL) veröffentlicht. Für die internationale Abstimmung von Interpretationen der CC wurde das CC Interpretations Management Board (CCIMB) eingerichtet.

Schutzprofile (Protection Profiles)

Das Konzept der Schutzprofile ist eine wesentliche Neuerung, die mit den CC eingeführt wurde. Mit Schutzprofilen können Anforderungen an die Sicherheit einer ganzen Kategorie von IT-Produkten oder IT-Systemen definiert werden, ohne dabei auf eine konkrete Implementierung Bezug zu nehmen. Schutzprofile bieten Anwendern oder Anwenderorganisationen die Möglichkeit, Sicherheitsanforderungen an IT-Produkte zu spezifizieren, um so Herstellern Produktvorgaben als Entwicklungsgrundlage bereitzustellen. Auch Anforderungen an die spezifischen IT-Systeme eines Dienstleistungsbereichs können z. B. zum Zwecke der Systemakkreditierung in einem Schutzprofil beschrieben werden. Hersteller oder Herstellervereinigungen können Schutzprofile auch zur Standardisierung nutzen.

Die Struktur von Schutzprofilen entspricht derjenigen von Sicherheitsvorgaben. Durch die Verwendung von Schutzprofilen wird daher der Aufwand bei der Erstellung von Sicherheitsvorgaben für konkrete IT-Produkte oder Systeme erheblich reduziert. Das Schutzprofil ist nur noch produkt- oder systemspezifisch anzupassen.
Auch für Schutzprofile ist eine Evaluierung und Zertifizierung vorgesehen, die die Voraussetzung für deren Registrierung ist. Bis heute sind eine ganze Reihe von Schutzprofilen bei den verschiedenen internationalen Zertifizierungsstellen registriert, wobei ein Großteil dieser Profile Smartcard-IC und Smartcard-Betriebssysteme und Applikationen betrifft. Weitere Schutzprofile aus den Bereichen Firewall, Betriebssysteme, Datenbanksysteme, biometrische Verfahren und Signaturkomponenten wurden bereits registriert bzw. befinden sich in der Entwicklung. Registrierte Schutzprofile werden unter den folgenden Web-Adressen veröffentlicht:

• https://www.bsi.bund.de/
• http://www.scssi.gouv.fr/
• http://www.cesg.gov.uk/
• http://www.cse-cst.gc.ca/
• http://www.dsd.gov.au/infosec
• http://www.niap-ccevs.org/cc-scheme/

Das Zertifizierungsschema des BSI

Das BSI-Zertifizierungsschema sieht vor, dass an einem Zertifizierungsverfahren der Hersteller oder Vertreiber als Antragsteller, das BSI als Zertifizierungsstelle und eine Prüfstelle beteiligt sind. Die Prüfstellen sind nach DIN EN Norm 45001 oder DIN EN Norm ISO/IEC 17025 anerkannt (aktuelle Liste der Prüfstellen).
Unter Mitwirkung des BSI und der Prüfstelle werden zu Beginn eines Zertifizierungsverfahrens die Sicherheitsvorgaben erarbeitet. Auf der Grundlage der abgestimmten Sicherheitsvorgaben kann der Hersteller oder Vertreiber nun mit der Prüfstelle einen Evaluierungsvertrag schließen. Im Anschluss daran stellt er den Zertifizierungsantrag beim BSI. Die Prüfstelle führt die als Evaluierung bezeichnete technische Prüfung durch, die entsprechend den Prüfaspekten des angewendeten Kriterienwerks in verschiedene Teilschritte gegliedert ist. Die Prüfergebnisse werden von der Prüfstelle in Prüfberichten dokumentiert und begründet. Zum Abschluss der Evaluierung erstellt die Prüfstelle den Evaluierungsendbericht, der die Ergebnisse der Evaluierung zu allen geforderten Prüfaspekten zusammenfasst. Die Zertifizierungsstelle hat die Aufgabe, die Gleichwertigkeit der Evaluierungsergebnisse verschiedener Prüfstellen sicherzustellen. Um dies zuerreichen, führt sie bei jedem Verfahren eine Prüfbegleitung durch, die die Abstimmung der Sicherheitsvorgaben, die Erarbeitung und Abstimmung von Interpretationen sowie die Abnahme der Prüfberichte umfasst. Das Ergebnis des Zertifizierungsverfahrens wird von der Zertifizierungsstelle in einem Zertifizierungsreport zusammengefasst. Sofern der Antragsteller der Veröffentlichung des Zertifizierungsreports zustimmt, wird er unter der Rubrik Zertifizierung veröffentlicht.

Aufwand einer Zertifizierung

Der mit der Evaluierung verbundene Aufwand hängt von der Komplexität des zu evaluierenden Produkts und damit ganz entscheidend von der Evaluierungsstufe ab, die vom Hersteller in den Sicherheitsvorgaben gewählt wurde. Mit steigender Evaluierungsstufe nehmen der Umfang und der Detaillierungsgrad der zu evaluierenden Produkt- und Design-Dokumentation und dementsprechend auch die Prüftiefe und der Testumfang zu. Wird z. B. bei der Stufe EAL3 noch auf einen Entwurf auf niedriger Ebene (Feinentwurf) und die Darstellung der Implementierung (Quellcode oder Hardwarekonstruktionszeichnungen) verzichtet, so müssen diese Design-Dokumente ab der Stufe EAL4 in die Evaluierung einbezogen werden. In höheren Stufen werden darüber hinaus ein formales Sicherheitsmodell und Design-Dokumentation in semiformaler oder formaler Darstellung gefordert.

Weitere entscheidende Faktoren sind die Art des Entwicklungsprozesses und die verfügbaren Ressourcen beim Hersteller. Sowohl ITSEC als auch CC unterstellen beim Hersteller einen strukturierten Entwicklungsprozess, in dessen Verlauf die geforderte Design-Dokumentation standardmäßig erstellt wird. Ist dies bei einem Hersteller der Fall, so ist die Wahl einer der höheren Evaluationsstufen unproblematisch. Andernfalls empfiehlt es sich, zunächst mit der Evaluierung nach einer niedrigeren Evaluationsstufe zu beginnen. Dies ist in allen Fällen anzuraten, in denen nicht ein besonderer Einsatzzweck eine höhere Evaluationsstufe vorschreibt oder erfordert (z. B.. digitale Signaturkomponenten, Smartcards).
Die für ein Zertifizierungsverfahren zu veranschlagenden Kosten fallen wegen der oben angeführten Faktoren sehr unterschiedlich aus. Grundsätzlich gilt, dass ein strukturierter Entwicklungsprozess der standardmäßig zur geforderten Dokumentation führt, das Verfahren verkürzt und die Kosten senkt. Die Kosten der Zertifizierung beim BSI machen nur einen Bruchteil der Evaluierungskosten aus. Der Großteil der externen Kosten fällt bei der Prüfstelle an.

Weitere Informationen zur Zertifizierung:

Bundesamt für Sicherheit in der Informationstechnik
Referat SZ 21 und SZ 22
Postfach 20 03 63
53133 Bonn
Telefon: +49 228 99 9582-111
Telefax: +49 228 99 9582-5455
E-Mail: zertifizierung@bsi.bund.de