Beschleunigte Sicherheitszertifizierung (BSZ)

Einleitung
Was ist die BSZ?
Whitepaper
Ihre Vorteile
Unsere Leistungen
Ablauf der Evaluierung
Checkliste Dokumente
FAQ
Warum TÜVIT?
Kontaktieren Sie uns

Schnell, planbar, geringerer Aufwand: Die leichtgewichtige Alternative zur CC-Zertifizierung

Mit der Beschleunigten Sicherheitszertifizierung (BSZ) belegen Sie die Sicherheitsaussage Ihres IT-Produktes durch ein unabhängiges Zertifikat.

Im Fokus der BSZ steht dabei die sicherheitstechnische Robustheit Ihres IT-Produktes. Durch eine Kombination aus Evaluierungen und Penetrationsprüfungen weisen Sie objektiv nach, dass Ihr Produkt die angegebene Sicherheitsleistung sowie die geforderten Sicherheitsvorgaben des BSI erfüllt – schnell, planbar und mit geringem Dokumentationsaufwand.

Als anerkannte BSZ-Prüfstelle bietet TÜVIT Ihnen Prüf- & Evaluierungsleistungen an und unterstützt Sie auf dem Weg zur erfolgreichen Zertifizierung Ihres IT-Produktes.

In unter 3 Monaten zur IT-Sicherheitszertifizierung

Dank planbarer Evaluierungslaufzeiten & reduziertem Aufwand stellt die BSZ eine deutlich schnellere Alternative zur CC-Zertifizierung dar.

Risikobasierte Prüfung durch erfahrene Penetrationstester:innen

Unsere erfahrenen IT-Sicherheitsexpert:innen überprüfen die Sicherheit Ihres IT-Produktes in Form von Penetrationstests & Angriffen mit hohem Sachverstand.

Planbare Kosten & reduzierter Umfang an geforderten Dokumenten

Der geringere Umfang der zu erstellenden Dokumente senkt den Aufwand auf Herstellerseite & ermöglicht eine zeitlich planbare Zertifizierungsprüfung.

Beschleunigte Sicherheitszertifizierung (BSZ)

Jetzt Kontakt aufnehmen

Was ist die Beschleunigte Sicherheitszertifizierung (BSZ)?

Was ist die Beschleunigte Sicherheitszertifizierung (BSZ)?

Die Beschleunigte Sicherheitszertifizierung (BSZ) ermöglicht es Herstellern, die Sicherheitsaussage ihres IT-Produktes durch ein unabhängiges Zertifikat zu belegen. Die objektive Bestätigung gewährleistet dabei ein möglichst hohes Maß an Vertrauen in das IT-Gerät bei Endkund:innen.

Die BSZ ist ein Zertifizierungsverfahren des Bundesamts für Sicherheits in der Informationstechnik (BSI) und basiert auf einer Kombination aus Konformitätsprüfungen in Bezug auf die Sicherheitsleistung eines Produktes und Penetrationstests, mit denen die Wirksamkeit der technischen Sicherheitsmaßnahmen auf die Probe gestellt wird.

Vorteile der Beschleunigten Sicherheitszertifizierung (BSZ)

Hohes Niveau an Vertrauen
Objektive Bestätigung der Sicherheitsaussage Ihres IT-Produktes durch ein Zertifikat.

Minimale Anforderungen an zu liefernde Nachweise
Der reduzierte Umfang der geforderten Dokumente hält den Aufwand für Hersteller gering.

Leichtgewichtige Alternative zu CC
Die BSZ stellt eine deutlich schnellere Alternative zu einer Zertifizierung nach den Common Criteria (CC) dar.

CSPN-Anerkennung
Das BSZ-Zertifizierungsschema ist kompatibel zur französischen CSPN & wird von der ANSSI anerkannt.

Belastbare Zeit- & Kostenplanung
Die BSZ reduziert die Kommunikation auf ein Minimum. Das Ergebnis ist eine zeitlich planbare Zertifizierungsprüfung.

Auf europäische Anerkennung ausgelegt
Die Kompatibilität zum Fixed Time Ansatz (FIT CEM) bildet eine Basis für die Integration auf europäischer Ebene in zukünftige CSA-Schemata.

Unsere Leistungen im Rahmen der BSZ

BSZ-Leistungen: Durchführung eines Pre-Pentests

Durchführung eines Pre-Pentests

Bestmöglich auf die BSZ vorbereitet: Noch vor Beginn der eigentlichen Evaluierung bewerten unsere Expert:innen die Wirksamkeit & Vollständigkeit der implementierten Sicherheitsmaßnahmen, zeigen konkrete Risiken auf & schlagen geeignete Maßnahmen zur Beseitigung der identifizierten Schwachstellen vor.

BSZ-Leistungen: Review der Sicherheitsvorgaben

Review der Sicherheitsvorgaben

Vor der Evaluationsphase empfehlen wir als ersten grundlegenden Schritt die Erstellung & Überprüfung des Security Targets (ST). Das ST ist ein Dokument, das u.a. die Sicherheitsfunktionalität, die Schnittstellen, das Bedrohungsmodell & die kryptographischen Mechanismen beschreibt. Das Dokument wird vom Antragssteller erstellt.

Unsere Expert:innen nehmen auf Wunsch eine Vorqualifizierung des ST-Dokumentes vor, geben Feedback dazu, ob das IT-Produkt evaluiert werden kann, & übernehmen die Abstimmung mit dem BSI.

BSZ-Leistungen: Evaluierung des IT-Produktes nach BSZ

Evaluierung des IT-Produktes nach BSZ

Die Prüfung Ihres IT-Produktes erfolgt in 4 Phasen:

Konformität zu den Sicherheitsvorgaben (ST)
Penetrationstests zur Robustheitsprüfung
Korrektheit der Installationsanleitung
Analyse der implementierten Kryptographie

Neben den automatisierten Analyse- & Angriffstechniken führen unsere IT-Sicherheitsexpert:innen immer auch manuelle Untersuchungen durch.

Jetzt Kontakt aufnehmen

Beschleunigte Sicherheitszertifizierung – Ablauf der Evaluierung

1.

Vorbereitung

Review des TOE (Target of Evaluation) sowie Erstellung & Evaluierung des ST (Security Target). Anschließende Kalkulation des Evaluationsaufwandes.

2.

Gemeinsames Kick-Off im BSI

Besprechung der Evaluierung Ihres Produktes, Bestimmung des benötigten Zeitrahmens sowie des dahinterstehenden Testplans & Klärung von Fragen.

3.

Evaluation & Prüfbericht

Betrachtung der Produktbeschreibung & Bewertung der Sicherheitsleistung Ihres Produktes auf Basis von Dokumentenanalysen, Konformitätsprüfungen, Pentests & Kryptoanalysen.

4.

Abschlussinterview &
Ausstellung des Zertifikats

Abschließendes Interview, in dem wir den Prüfbericht gegenüber dem BSI verteidigen. Akzeptiert das BSI diesen, wird das Zertifikat ausgestellt.

Checkliste: Diese Dokumente benötigen Sie

Security Target (ST) Dokument

   Architekturübersicht (Betriebssystem, Hauptkomponenten, eingesetzte Bibliotheken)

   Beschreibung des Updatemechanismus

   Beschreibung der kryptographischen Funktionalität (Protokolle, Parameter, Bibliotheken)

Installationsanleitung für das Produkt (Secure User Guide)

Häufig gestellte Fragen (FAQ):

Welche Produkte sind initial nach BSZ zertifizierbar (Beispiele)?

Allgemeine Netzwerkkomponenten und eingebettete IP-vernetzte Geräte:

IP basierte Netzwerk-Router
Eingebettete, vernetzte industrielle Steuergeräte
Mobile Handhelds für Spezialaufgaben (Programmiergeräte, Scanner etc.)

Zukünftig sind Produktkategorien mit einheitlichen Vorgaben an technisch vergleichbare Produkte angedacht, die auch eine Entscheidung der Zertifizierbarkeit konkreter Produkte vereinfachen.

Wie ist der Abschlussbericht aufgebaut?

Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

Einleitung: Kurzbeschreibung des Prüfgegenstandes.
Management/Executive Summary: Zusammenfassung der Ergebnisse.
Risikobewertung: Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle.
Detaillierte Beschreibung der Schwachstellen, Abweichungen & Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜVIT-Expert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.

Welche Informationen enthalten die Sicherheitsvorgaben (Security Target)?

Das Security Target (ST) beschreibt die Sicherheitsfunktionalität des zu evaluierenden Produktes, die Schnittstellen, das Bedrohungsmodell, die kryptographischen Mechanismen sowie die (erwartete) Umgebung des Evaluationsgegenstandes. Das Dokument muss vom Antragsteller erstellt werden. Dies ist die Hauptgrundlage für die nachfolgende Evaluation.

Der Aufbau sowie Vorgaben zum Inhalt des ST sind im AIS B1 Dokument des BSI zu finden.

Wie lange ist das Zertifikat gültig?

Die Zertifizierung hat eine Gültigkeit von 2 Jahren. In dieser Zeit verpflichtet sich der Hersteller, das Produkt auf potenziell neue Sicherheitslücken hin zu überwachen und entsprechende Updates zur Verfügung zu stellen.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision und Penetrationstests zertifiziert ist.

Internationales Expertennetzwerk

Rund um den Globus: Wir unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen zur Seite.