Anbieter zum Thema

secunet Security Networks AG

SysEleven GmbH

Der Zulassungsprozess: Vom Antrag zur Evaluierung

Bevor das BSI ein Zulassungsverfahren initiiert, muss eine Bundesbehörde ein Beschaffungsinteresse bekunden und einen offiziellen Zulassungsantrag stellen. Das Produkt benötige – so der Tenor des Leitfadens – nur dann eine Zulassungsaussage gemäß § 51 VSA, wenn es im konkreten Einsatzszenario eine der in § 52 VSA aufgeführten IT-Sicherheitsgrundfunktionen zum ausschließlichen Schutz der Verschlusssachen implementiere.

Der Bedarfsträger muss aus diesem Grund zunächst konkrete Einsatzszenarien festlegen und prüfen, ob das BSI bereits geeignete VS-Produkte mit einer Zulassungsaussage ausgestattet hat. Diese sind im Produktkatalog 7164 aufgeführt. Existieren vergleichbare zugelassene Produkte, ist deren Nicht-Verwendbarkeit ausreichend schriftlich zu begründen.

Der Zulassungsantrag erfordert mehrere Liefergegenstände. Dazu zählen

• ein Security Target vom Hersteller, das die zu prüfenden Sicherheitsleistungen abstrakt festlegt,

• eine Beschreibung der Einsatzszenarien und Systemarchitektur

• sowie ein Kryptokonzept, das eine kompakte Beschreibung sämtlicher kryptographisch relevanter Abläufe und Mechanismen darstellt.

Diese Basisdokumente ermöglichen dem BSI eine Vorprüfung, ob das Produkt die Eingangsvoraussetzungen für eine Zulassung zum beantragten Geheimhaltungsgrad erfüllt.

Im weiteren Verlauf sind die im Security Target definierten Sicherheitsleistungen durch detaillierte Nachweise in den Bereichen Sicherheitsarchitektur, Schnittstellenspezifikation, Design, Testnachweise und Schwachstellenanalyse zu belegen. Auch der Sourcecode muss dem BSI zugänglich gemacht werden. Sowohl Sicherheitsleistungen als auch Nachweisumfang hängen vom angestrebten Geheimhaltungsgrad ab.

VS-Anforderungsprofile mit C5 als ergänzendem Standard

Das BSI hat seine Sicherheitsanforderungen in VS-Anforderungsprofilen definiert, die für die zuzulassenden Produkttypen erstellt werden. Parallel dazu gewinnt der Kriterienkatalog C5 an Bedeutung. Der Cloud Computing Compliance Criteria Catalogue spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich primär an professionelle Cloud-Anbieter. Die Kriterien geben Ziele, aber nicht deren konkrete Umsetzung vor. Der Fokus liegt auf der Sicherheit der Cloud-Dienste.

Die C5-Prüfung hat durch einen vom Cloud-Anbieter beauftragten Wirtschaftsprüfer zu erfolgen. Dieser muss nach internationalen Prüfstandards (ISAE 3000) feststellen, dass zumindest alle Basiskriterien erfüllt sind. Der Cloud-Anbieter kann darüber hinaus in Eigenregie festlegen, welche Zusatzkriterien ebenfalls geprüft werden sollen. Die Prüfungshandlungen und Ergebnisse werden im C5-Testat festgehalten, für welches der Wirtschaftsprüfer durch seine Unterschrift haftet.

Der Mindeststandard zur Nutzung externer Cloud-Dienste fordert als zentrale Anforderung einen Nachweis über die Erfüllung der C5-Kriterien durch den Cloud-Anbieter und die Prüfung des Testats durch den Cloud-Kunden. Bei der Prüfung ist es demnach besonders wichtig, dass der Cloud-Kunde selbst die Prüfaussagen, mögliche Abweichungen und weiteren Informationen mit seinen eigenen Anforderungen abgleicht. Das Vorhandensein eines C5-Testats ohne relevante Abweichungen wird als Grundlage für eine sichere Cloud-Nutzung gesehen, reicht aber nicht für eine VS-Verarbeitung aus und sollte daher als eine der Grundvoraussetzungen betrachtet werden.

(ID:50698319)