Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Beschaffungsstelle
Bei der Beschaffung von IT-Produkten und IT-Systemen muß frühzeitig festgelegt werden, ob die bloße Zusicherung des Herstellers oder Vertreibers über implementierte Sicherheitsfunktionen als ausreichend vertrauenswürdig anerkannt werden kann. Insbesondere bei einem hohen oder sehr hohen Schutzbedarf kann die Vertrauenswürdigkeit der Produkte in Hinblick auf IT-Sicherheit nur dadurch gewährleistet werden, daß unabhängige Prüfstellen die Produkte untersuchen und bewerten (evaluieren).
Allgemein anerkannte Grundlage dieser Evaluierungen bilden seit 1991 die europaweit harmonisierten "Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC)" und das Evaluationshandbuch ITSEM und seit 1998 die weltweit angestimmten "Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik" / Common Criteria (CC). In Deutschland führen das BSI selbst und vom BSI akkreditierte Prüfstellen solche Evaluationen durch. Bei positivem Evaluationsergebnis und bei Einhaltung der Rahmenbedingungen von ITSEC und ITSEM bzw. der Common Criteria wird für das untersuchte Produkt oder System vom BSI als Zertifizierungsstelle ein Sicherheitszertifikat erteilt.
Aus dem dazugehörenden Zertifizierungsreport geht hervor, welche Funktionalität mit welcher Prüftiefe untersucht wurde und welche Bewertung vorgenommen wurde. Dabei reichen die Prüftiefe von Evaluationsstufe E 1 (geringste Prüftiefe) bis Evaluationsstufe E 6 (höchste Prüftiefe) bei den ITSEC bzw. von Vertrauenswürdigkeitsstufe EAL 1 (geringste Prüftiefe) bis Vertrauenswürdigkeitsstufe EAL 7 (höchste Prüftiefe) bei den CC. Dabei entspricht die Evaluationsstufe E 1 der ITSEC in etwa der Vertrauenswürdigkeitsstufe EAL 2 der CC usw. Zusätzlich wird die geprüfte Mechanismenstärke der Implementation der Sicherheitsfunktionen angegeben, die ein Maß darstellt für den Aufwand, den man zum Überwinden der Sicherheitsfunktionen aufbringen muß. ITSEC und CC unterscheiden hier die Mechanismenstärken niedrig, mittel und hoch. Darüber hinaus werden Hinweise gegeben, welche Randbedingungen beim Einsatz des Produktes beachtet werden müssen.
Stehen bei der IT-Beschaffung mehrere Produkte mit angemessenem Preis-/Leistungsverhältnis zur Auswahl, so kann ein eventuell vorhandenes Sicherheitszertifikat als Auswahlkriterium positiv berücksichtigt werden. Hierbei sollten Sicherheitszertifikate insbesondere dann berücksichtigt werden, wenn der evaluierte Funktionsumfang die Mindestfunktionalität (weitestgehend) umfaßt und die Mechanismenstärke dem Schutzbedarf entspricht (vgl. M 4.41 Einsatz eines angemessenen PC-Sicherheitsproduktes ). Je höher dann die im Zertifikat angegebene Prüfungstiefe ist, desto mehr Vertrauen in Wirksamkeit und Korrektheit der Sicherheitsfunktionen kann dem Produkt entgegengebracht werden.
Die Zertifzierungsstellen geben regelmäßig Übersichten heraus, welche Produkte ein Zertifikat erhalten haben. Eine Zusammenstellung der vom BSI zertifizierten IT-Produkte und -Systeme kann beim BSI angefordert werden: BSI 7148 - BSI-Zertifikate. Weiterhin veröffentlicht das BSI neu erteilte Zertifikate in der Zeitschrift KES, Zeitschrift für Kommunikations- und EDV-Sicherheit. Diese Informationen lassen sich vom BSI Server abrufen
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .