BSZ Zertifikat

SRC als Prüfstelle für Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ) anerkannt

Am 01. Oktober ist die „Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ)“, das neue Zerti­fi­zie­rungs­ver­fahren des Bundes­amtes für Sicherheit in der Infor­ma­ti­ons­technik (BSI) gestartet. Bereits am 28. September wurde SRC vom BSI als Prüfstelle für dieses neue Verfahren anerkannt. Sandro Amendola leitet beim BSI die Abteilung Standar­di­sierung, Zerti­fi­zierung und Sicherheit von Telekom­mu­ni­ka­ti­ons­netzen. Stell­ver­tretend für das BSI überreichte er die Anerken­nungs­ur­kunde an Peter Jung, der bei SRC für die BSZ verant­wortlich ist.

Die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung ist das neue leicht­ge­wichtige Verfahren des BSI zur Zerti­fi­zierung der Sicherheit von IT-Produkten. Im Gegensatz zu einer CC-Zerti­fi­zierung hat eine Zerti­fi­zierung nach BSZ einige Vorteile: einen erheblich gerigeren Dokumen­ta­tion­aufwand, eine deutlich verkürzte Durch­führung und dadurch einen gerin­geren Kostenaufwand.

Das Zerti­fi­zie­rungs­schema verfolgt einen risiko­ba­sierten Ansatz. Die Sicher­heits­leis­tungen des IT-Produkts werden dabei von einer anerkannten Prüfstelle wie SRC innerhalb eines festen Zeitrahmens mittels Konfor­mitäts- und Penetra­ti­ons­tests auf ihre Sicher­heits­leis­tungen und ihre Wider­stands­fä­higkeit gegen Angriffe geprüft.

Auch für den Anwender entsteht Nutzen. Er erhält eine verständ­liche Dokumen­tation der Sicher­heits­leistung und das Versprechen, dass auftre­tende Schwach­stellen innerhalb des Gültig­keits­zeit­raums des Zerti­fikats garan­tiert behoben werden.

„Nachdem SRC bereits die erste erfolg­reiche Evalu­ierung nach BSZ durch­ge­führt hat, freuen wir uns sehr über die nun erfolgte Anerkennung als Prüfstelle für dieses innovative Zerti­fi­zie­rungs­schema“ sagt Peter Jung als Vertreter der Prüfstelle und Themen­ver­ant­wort­licher für die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung BSZ bei SRC.

SRC wurde als eine der ersten Prüfstellen für BSZ anerkannt. SRC hat die Evalu­ierung des LANCOM-1900EF durch­ge­führt, dem ersten zerti­fi­zierten BSZ-Produkte überhaupt.
LANCOM 1900EF

Lancom 1900EF VPN Router erhält erste Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ)

Das BSI hat der LANCOM Systems GmbH das erste Zerti­fikat nach dem neuen BSI-Schema „Beschleu­nigte Sicher­heits­zer­ti­fi­zierung“ (kurz: BSZ) erteilt. In diesem Pilot-Verfahren hat SRC die Sicher­heits­ei­gen­schaften des Lancom 1900EF VPN Routers bewertet und dem BSI abschließend die Zulassung empfohlen.

LANCOM hat bei SRC bereits in vielen Verfahren die Sicherheit ihrer Lösungen durch Common Criteria Evalu­ie­rungen oder Penetra­ti­ons­tests prüfen und bestä­tigen bzw. zerti­fi­zieren lassen. Mit der Piloteva­lu­ierung zur BSZ haben das BSI, LANCOM und SRC gemeinsam einen weiteren Zerti­fi­zie­rungs­standard für Lösungen zur IT-Sicherheit gesetzt. Dieser hat das Ziel, bei verkürzter Zeit für die Markt­ein­führung des Produktes das erfor­der­liche Sicher­heits­niveau zu gewährleisten.

Die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ) erlaubt Herstellern in einem festge­legten Zeitraum ihre Produkte evalu­ieren und vom BSI zerti­fi­zieren zu lassen.  Dabei muss die Evalu­ierung von einer vom BSI anerkannten Prüfstelle durch­ge­führt werden. Bei der BSZ ist der Gesamt­aufwand der Evalu­ierung, im Vergleich zu z.B. Common Criteria Evalu­ie­rungen von Anfang an vorge­geben (Fixed Time). So können Hersteller den zu erwar­tenden Aufwand gut einschätzen.

Beim Design der Angriffs­sze­narien gesteht die BSZ den Evalua­toren einen relativ großen Spielraum zu. Dieser Prüfkatalog muss dem BSI ausführlich und detail­liert dargelegt werden. Dieser Gestal­tungs­spielraum fordert ein überdurch­schnitt­liches Maß an Sachkunde, Sorgfalt und Kreati­vität sowohl von der Insti­tution Prüfstelle, als auch von jedem einzelnen Evaluator. Der Prüfkatalog und die abschlie­ßende Bewertung im Prüfbe­richt schöpfen aus einem breiten Know-how an z.B. Krypto­graphie, Penetra­ti­ons­tests oder Protokoll-Angriffen. Die Umsetzung durch den Hersteller wird durch die Prüfstelle bewertet und die Verant­wort­lichen bei SRC müssen diese gegenüber der kriti­schen Betrachtung des BSI verteidigen.

„Besonders in dem Feld der IoT-Geräte wird die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung sicherlich eine große Rolle spielen“ sagt dazu Gerd Cimiotti, Geschäfts­führer der SRC Security Research & Consulting GmbH. Er bedankt sich, ebenso wie Lancom und das BSI für die Profes­sio­na­lität auf allen Seiten, mit der dieses Pilot­ver­fahren letztlich zu einem erfolg­reichen Abschluss gebracht wurde.

Ralf Koenzen, Gründer und Geschäfts­führer der LANCOM Systems GmbH, gibt die Perspektive des Herstellers wieder: „Wenn man etwas zum ersten mal tut, dann ist der Aufwand immer größer. Gerade dann empfindet man die Erfahrung und die Expertise eines Partners wie SRC als Orien­tierung und spürbare Erleichterung.“

Als langjäh­riger Partner des BSI hat SRC schon eine Vielzahl an Projekten in den unter­schied­lichsten Zulas­sungs­schemata durch­ge­führt. Derzeit befindet sich SRC im Verfahren zur Anerkennung als Prüfstelle für die Beschleu­nigte Sicherheitszertifizierung.

Gern begleiten wir auch Ihre Beschleu­nigte Sicher­heits­zer­ti­fi­zierung. Haben Sie Fragen zum BSZ, sprechen Sie uns gerne an.