Das Bundesamt für Sicherheit in der Informationstechnik hat zum 1. Oktober 2021 das Zertifizierungsprogramm nach dem neuen Schema Beschleunigte Sicherheitszertifizierung (BSZ) gestartet. Das Programm ist zunächst auf Produkte aus dem Bereich der Netzwerkkomponenten ausgerichtet. Künftig wird es auch für andere Anwendungsbereiche angeboten werden.
Das neue Zertifizierungsprogramm gilt als eine wichtige Neuerung im Angebot des BSI für mehr Cyber-Sicherheit in Deutschland. Die BSZ ermöglicht es Herstellern, die Sicherheitsaussage ihres Produktes durch ein unabhängiges Zertifikat bestätigen zu lassen.
Das Zertifizierungsschema verfolgt einen risikobasierten Ansatz. Die Sicherheitsleistungen des IT-Produkts werden dabei innerhalb eines festen Zeitrahmens mittels Konformitäts- und Penetrationstests auf ihre Sicherheitsleistungen und ihre Widerstandsfähigkeit gegen Angriffe geprüft. Das gesamte Verfahren ist klar strukturiert und mit einem überschaubaren Dokumentationsaufwand verbunden.
So werden die Produktzertifizierungen nach BSZ für die Hersteller gut planbar und mit moderaten Kosten umsetzbar sein. Für Anwenderinnen und Anwender wird zudem gewährleistet, dass der Hersteller das Produkt über einen definierten Zeitraum von in der Regel zwei Jahren durch Sicherheitsupdates auf dem neuesten Stand hält. Das Zertifikat ist mit einer eindeutigen und verständlichen Darstellung der Sicherheitseigenschaften sowie einer belastbaren Aussage über die Widerstandsfähigkeit des zertifizierten Produkts verbunden.
Das BSZ-Schema wurde erfolgreich in einer Pilotphase erprobt. In dieser konnte nicht nur schon das erste BSZ-Zertifikat für ein IT-Produkt vergeben werden, sondern es konnten auch die ersten Prüfstellen ihre Eignung nachweisen. So stehen zum Programmstart bereits drei für die BSZ anerkannte Prüfstellen bereit:
- TÜV Informationstechnik GmbH, Prüflabor für IT-Qualität, Standort Essen,
- OpenSource Security GmbH, IT-Sicherheitslabor, Standort Steinfurt und
- SRC Security Research & Consulting GmbH, Standort Bonn.
Weitere Prüfstellen können sich ab dem Start des Programms im Rahmen eines Erstverfahrens ebenfalls für die BSZ anerkennen lassen. Eine Voraussetzung für die Anerkennung als BSZ-Prüfstelle ist die Umsetzung und Aufrechterhaltung der Norm DIN EN ISO/IEC 17025:2018. Die BSZ schafft ein hohes Niveau an Vertrauen (CSA-high) in die Sicherheitsaussagen und ergänzt damit das schon bestehende Portfolio des BSI mit der Zertifizierung nach Common Criteria und der Zertifizierung nach Technischen Richtlinien.
Das BSZ-Schema ist zur französischen Certification de Sécurité de Premier Niveau (CSPN) kompatibel. Eine gegenseitige Anerkennung zwischen Deutschland und Frankreich ist in Vorbereitung. Die Kompatibilität zum Fixed-Time-Ansatz (FIT CEM/prEN 17640) bildet zudem eine Basis für die Integration auf europäischer Ebene in zukünftige Schemata nach der Verordnung (EU) 2019/881, bekannt als Cyber Security Act (CSA). (rhh)
