Mit der Beschleunigten Sicherheitszertifizierung (BSZ) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein neues Zertifizierungsprogramm für IT-Produkte ins Leben gerufen. Bereits in der Pilotphase stellte die TÜV Informationstechnik GmbH (TÜViT) ihre Eignung als BSZ-Prüfstelle unter Beweis und bietet ab sofort entsprechende Prüfungen an.
Die Beschleunigte Sicherheitszertifizierung richtet sich an Hersteller von IT-Produkten und ermöglicht es diesen, die angegebene Sicherheitsleistung durch ein unabhängiges Zertifikat bestätigen zu lassen. Dabei punktet das neue Zertifizierungsverfahren mit einem festen Zeitrahmen von maximal 3 Monaten, einem überschaubaren Dokumentationsaufwand und einer planbaren Kostenstruktur. Die notwendigen Sicherheitsprüfungen erfolgen durch eine anerkannte BSZ-Prüfstelle wie TÜViT, die ihre Ergebnisse in Form eines Berichtes an das BSI übermittelt. Akzeptiert die Behörde daraufhin den Evaluation Technical Report, stellt sie abschließend das angestrebte Zertifikat aus.
Ist das Programm zu Beginn noch auf Produkte aus dem Bereich der Netzwerkkomponenten begrenzt, eignet es sich prinzipiell jedoch für alle Geräte mit IT-Sicherheitsfunktionalität bis zu einer mittleren Komplexität. Perspektivisch wird die Zertifizierung daher auch für andere Anwendungsbereiche angeboten werden.
Angelehnt ist die BSZ an eine Zertifizierung nach den Common Criteria (CC), sodass sich viele Begrifflichkeiten auch im neuen Schema wiederfinden. Mit einem deutlich geringeren Aufwand stellt die BSZ allerdings eine leichtgewichtige Alternative zur CC-Zertifizierung dar.
„Der Kern der BSZ besteht aus einer Reihe an Konformitäts- und Penetrationstests sowie Dokumenten- und Kryptoanalysen, mit denen wir ein Produkt auf seine Sicherheitsleistung und Widerstandsfähigkeit gegenüber Angriffen hin untersuchen“, beschreibt Timo Müller, IT-Sicherheitsexperte bei TÜViT, das übliche Vorgehen. „Darüber hinaus betrachten wir aber auch das dem Produkt beigefügte Handbuch. Dieses muss für den Benutzer bzw. die Benutzerin nachvollziehbar beschreiben, wie der Evaluationsgegenstand in den sicheren Zustand gebracht wird.“
Vor allem Anwender und Anwenderinnen profitieren damit von dem neuen BSZ-Schema. Denn ein danach zertifiziertes Produkt liefert eine eindeutige und verständliche Darstellung seiner Sicherheitsleistung sowie eine belastbare Aussage über seine Widerstandsfähigkeit. Zudem geht mit dem Zertifikat auch eine Gewähr darüber einher, dass das Produkt über einen definierten Zeitraum von zwei Jahren durch den Hersteller regelmäßig auf neue Sicherheitslücken hin überprüft und mit Sicherheitsaktualisierungen versorgt wird. Die Folge: Ein hohes Vertrauen bei Benutzerinnen und Benutzern.
TÜViT bietet ab sofort entsprechende Prüf- und Evaluierungsleistungen an und begleitet Hersteller auf dem Weg zur erfolgreichen BSZ-Zertifizierung durch das BSI.
Über TÜVIT
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.
Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜVIT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP.