Im folgenden Artikel erfahren Sie mehr darüber, wie die SRC GmbH seit September 2021 als anerkannte Prüfstelle für die BSZ agiert und welche wichtigen Entwicklungen und Expertise sie in diesem Bereich bietet.
Beschleunigte Sicherheitszertifizierung (BSZ): Eine Einführung
Die BSZ ist ein Verfahren, das vom BSI in Deutschland angeboten wird, um die Sicherheit von IT-Produkten nachzuweisen. Es wurde eingeführt, um den Herstellern eine schnellere Möglichkeit zu bieten, die Sicherheit ihrer Produkte mit einem BSI-Zertifikat zu belegen. Durch diese Bewertung soll sichergestellt werden, dass das Produkt den Sicherheitsanforderungen des BSI entspricht und den Endanwendern ein angemessenes Maß an Schutz bietet. Im Vergleich zur herkömmlichen Zertifizierung nach Common Criteria (CC) bietet die BSZ den Vorteil einer schnelleren Zertifizierung, besser planbarer Evaluierungslaufzeiten, sowie einen erheblich reduzierter Dokumentationsaufwand für den Hersteller. SRC ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte Prüfstelle für die Beschleunigte Sicherheitszertifizierung (BSZ) und war eine der ersten anerkannten Zertifizierungsstellen überhaupt.
Der Weg zur Sicherheit: BSZ im Vergleich zu CC
Das Verfahren erlaubt nur einen einzelnen Durchlauf, d.h. das zu evaluierende Produkt darf während der Evaluierung nicht mehr verändert werden. Damit wird das Verfahren insgesamt stark beschleunigt, allerdings besteht immer das Risiko, dass Produkte im ersten Versuch durchfallen und damit kein Zertifikat erhalten. In dem Fall kann aber jederzeit ein neues Zertifizierungsverfahren beim BSI beantragt werden.
Unter der Leitung von Peter Jung: Die ersten Schritte der SRC mit BSZ
Unter der Projektleitung von Peter Jung, der von Beginn an bei der SRC die Beschleunigte Sicherheitszertifizierung verantwortet, evaluierte die SCR seitdem u.a. den Lancom 1900EF VPN Router, der auch das erste BSZ-Produkt überhaupt war, sowie anschließend den secunet Highspeedkonnektor. Sobald dieser evaluiert wird, werden wir in einem weiteren Artikel darüber berichten.
Neue Expertise bei SRC: Tim Hirschberg und Dr. Matthieu Felsinger
Wir freuen uns, mitteilen zu können, dass die SRC seit Mai 2023 mit Tim Hirschberg (BSZ-Evaluator), und Dr. Matthieu Felsinger (BSZ-Evaluator und BSZ-Evaluator für Kryptographie) nun zwei weitere zertifizierte Evaluationsexperten im Team hat, die u.a. Evaluierungen verantworten und Prüfungsberichte erstellen. Beide ergänzen das bisherige Team – bestehend aus Peter Jung (BSZ-Evaluator und BSZ-Evaluator für Kryptographie), Matthias Heuft (BSZ-Evaluator) und Dirk Feldhusen (BSZ-Evaluator für Kryptographie).
Die BSZ-Zertifizierung im Detail: Konzentration auf Sicherheitsversprechen
Die Beschleunigte Sicherheitszertifizierung konzentriert sich auf die Überprüfung der vom Hersteller zugesagten Sicherheitsleistung. Die eigentliche Zertifizierung wird nach einer Evaluierung des Produkts durch eine vom BSI anerkannte Prüfstelle, wie die SRC, durchgeführt. Der resultierende Prüfbericht dient dem BSI als Grundlage für die Vergabe des Zertifikats.
Der Weg zum Zertifikat: Der Prüfprozess bei SRC
Die Evaluierung erfolgt in einem festen Zeitrahmen (etwa 2–3 Monate), der sich nach der Komplexität des Produkts richtet. Die Evaluierungsleistungen umfassen unter anderem die Prüfung der zugesagten Sicherheitsfunktionalität (Konformitätstests) und der Installationsanleitung sowie Penetrationstests, bei denen unter realistischen Angriffsszenarien die Wirksamkeit der technischen Sicherheitsmaßnahmen des Produkts geprüft wird.
Eine Ganzheitliche Bewertung: Kryptografie und mehr
Auch die Bewertung der implementierten kryptografischen Verfahren ist Teil des umfassenden Prüfprozesses, den ein IT-Produkt durchlaufen muss, um die Beschleunigte Sicherheitszertifizierung zu erhalten.
Der Blick in die Zukunft der Sicherheitszertifizierung
Wir bei der SRC GmbH sind stolz auf unsere Rolle als anerkannte Prüfstelle für die Beschleunigte Sicherheitszertifizierung und darauf, kontinuierlich die Sicherheitsstandards in der IT-Branche voranzutreiben. Mit unserem erfahrenen Team und unserem Engagement für Innovation werden wir weiterhin dazu beitragen, die Sicherheit von IT-Produkten zu gewährleisten.
Wenn Sie mehr über unsere Zertifizierungsleistungen erfahren möchten oder Fragen haben, zögern Sie nicht, uns zu kontaktieren. Gemeinsam können wir die Sicherheitsanforderungen Ihrer Produkte erfüllen und Ihnen den Weg zur Zertifizierung ebnen. Wir freuen uns darauf, mit Ihnen zusammenzuarbeiten und die Zukunft der Sicherheitszertifizierung zu gestalten.
https://src-gmbh.de/wp-content/uploads/2021/05/IT-Sicherheitsgesetz-2.0-vom-Bundesrat-gebilligt.jpg20003000Janine Wolffhttps://src-gmbh.de/wp-content/uploads/2017/08/SRC-Logo.pngJanine Wolff2023-09-05 17:09:482023-09-05 17:34:51SRC GmbH: Vorreiter in der BSZ-Zertifizierung mit Erweiterung des Expertenteams
Am 01. Oktober ist die „Beschleunigte Sicherheitszertifizierung (BSZ)“, das neue Zertifizierungsverfahren des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gestartet. Bereits am 28. September wurde SRC vom BSI als Prüfstelle für dieses neue Verfahren anerkannt. Sandro Amendola leitet beim BSI die Abteilung Standardisierung, Zertifizierung und Sicherheit von Telekommunikationsnetzen. Stellvertretend für das BSI überreichte er die Anerkennungsurkunde an Peter Jung, der bei SRC für die BSZ verantwortlich ist.
Die Beschleunigte Sicherheitszertifizierung ist das neue leichtgewichtige Verfahren des BSI zur Zertifizierung der Sicherheit von IT-Produkten. Im Gegensatz zu einer CC-Zertifizierung hat eine Zertifizierung nach BSZ einige Vorteile: einen erheblich gerigeren Dokumentationaufwand, eine deutlich verkürzte Durchführung und dadurch einen geringeren Kostenaufwand.
Das Zertifizierungsschema verfolgt einen risikobasierten Ansatz. Die Sicherheitsleistungen des IT-Produkts werden dabei von einer anerkannten Prüfstelle wie SRC innerhalb eines festen Zeitrahmens mittels Konformitäts- und Penetrationstests auf ihre Sicherheitsleistungen und ihre Widerstandsfähigkeit gegen Angriffe geprüft.
Auch für den Anwender entsteht Nutzen. Er erhält eine verständliche Dokumentation der Sicherheitsleistung und das Versprechen, dass auftretende Schwachstellen innerhalb des Gültigkeitszeitraums des Zertifikats garantiert behoben werden.
„Nachdem SRC bereits die erste erfolgreiche Evaluierung nach BSZ durchgeführt hat, freuen wir uns sehr über die nun erfolgte Anerkennung als Prüfstelle für dieses innovative Zertifizierungsschema“ sagt Peter Jung als Vertreter der Prüfstelle und Themenverantwortlicher für die Beschleunigte Sicherheitszertifizierung BSZ bei SRC.
SRC wurde als eine der ersten Prüfstellen für BSZ anerkannt. SRC hat die Evaluierung des LANCOM-1900EF durchgeführt, dem ersten zertifizierten BSZ-Produkte überhaupt.
https://src-gmbh.de/wp-content/uploads/2021/10/BSZ-Zertifikat.jpg20002667Homepage Adminhttps://src-gmbh.de/wp-content/uploads/2017/08/SRC-Logo.pngHomepage Admin2021-10-04 09:16:202021-10-04 09:29:09SRC als Prüfstelle für Beschleunigte Sicherheitszertifizierung (BSZ) anerkannt
LANCOM hat bei SRC bereits in vielen Verfahren die Sicherheit ihrer Lösungen durch Common Criteria Evaluierungen oder Penetrationstests prüfen und bestätigen bzw. zertifizieren lassen. Mit der Pilotevaluierung zur BSZ haben das BSI, LANCOM und SRC gemeinsam einen weiteren Zertifizierungsstandard für Lösungen zur IT-Sicherheit gesetzt. Dieser hat das Ziel, bei verkürzter Zeit für die Markteinführung des Produktes das erforderliche Sicherheitsniveau zu gewährleisten.
Die Beschleunigte Sicherheitszertifizierung (BSZ) erlaubt Herstellern in einem festgelegten Zeitraum ihre Produkte evaluieren und vom BSI zertifizieren zu lassen. Dabei muss die Evaluierung von einer vom BSI anerkannten Prüfstelle durchgeführt werden. Bei der BSZ ist der Gesamtaufwand der Evaluierung, im Vergleich zu z.B. Common Criteria Evaluierungen von Anfang an vorgegeben (Fixed Time). So können Hersteller den zu erwartenden Aufwand gut einschätzen.
Beim Design der Angriffsszenarien gesteht die BSZ den Evaluatoren einen relativ großen Spielraum zu. Dieser Prüfkatalog muss dem BSI ausführlich und detailliert dargelegt werden. Dieser Gestaltungsspielraum fordert ein überdurchschnittliches Maß an Sachkunde, Sorgfalt und Kreativität sowohl von der Institution Prüfstelle, als auch von jedem einzelnen Evaluator. Der Prüfkatalog und die abschließende Bewertung im Prüfbericht schöpfen aus einem breiten Know-how an z.B. Kryptographie, Penetrationstests oder Protokoll-Angriffen. Die Umsetzung durch den Hersteller wird durch die Prüfstelle bewertet und die Verantwortlichen bei SRC müssen diese gegenüber der kritischen Betrachtung des BSI verteidigen.
„Besonders in dem Feld der IoT-Geräte wird die Beschleunigte Sicherheitszertifizierung sicherlich eine große Rolle spielen“ sagt dazu Gerd Cimiotti, Geschäftsführer der SRC Security Research & Consulting GmbH. Er bedankt sich, ebenso wie Lancom und das BSI für die Professionalität auf allen Seiten, mit der dieses Pilotverfahren letztlich zu einem erfolgreichen Abschluss gebracht wurde.
Ralf Koenzen, Gründer und Geschäftsführer der LANCOM Systems GmbH, gibt die Perspektive des Herstellers wieder: „Wenn man etwas zum ersten mal tut, dann ist der Aufwand immer größer. Gerade dann empfindet man die Erfahrung und die Expertise eines Partners wie SRC als Orientierung und spürbare Erleichterung.“
Als langjähriger Partner des BSI hat SRC schon eine Vielzahl an Projekten in den unterschiedlichsten Zulassungsschemata durchgeführt. Derzeit befindet sich SRC im Verfahren zur Anerkennung als Prüfstelle für die Beschleunigte Sicherheitszertifizierung.