Für vertrauenswürdig befunden
Von Sabine Philipp
Wer IT-Produkte auf den Markt bringt bzw. in Auftrag gibt oder damit verbundene Dienstleistungen anbietet, sollte schon bei der Konzeption an die Sicherheit denken. Gute Karten haben Sie mit entsprechenden Zertifikaten – wenn sie von einer seriösen Stelle vergeben werden.
Nach § 3, Abs. 3 BSI-Errichtungsgesetz (BSIG) ist es die Aufgabe des Bundesamts für Sicherheit in der Informationstechnik (BSI), Sicherheitszertifikate für IT-Produkte zu erteilen. Die Zertifizierung ist freiwillig, es hat aber klare Vorteile, wenn Sie das BSI mit ins Boot holen. Denn es ist eine neutrale Stelle, die maßgeblich an der Erarbeitung der Kriterien für Sicherheit und Vertrauenswürdigkeit beteiligt war.
Auf sieben Sicherheitsstufen
Welche detaillierten Einsatzmöglichkeiten und Sicherheitsstufen es für zertifizierte Produkte gibt, können Sie beim BSI online abrufen. Sie finden dort ausführliche Zertifizierungsreporte, Profile und Vorgaben, die genau sagen, was ein Produkt in puncto Sicherheit können muss. Dabei gibt es verschiedene Sicherheitsstufen, die so genannten Evaluation Assurance Levels (EAL).
Ein Beispiel: Sie stellen Controllerchips für Kopierer her, die sicherstellen, dass kein Unberechtigter Zugang zu den zwischengespeicherten Inhalten Ihres Druckers hat (wie z.B. der freundliche Herr vom Kundenservice, der durch Fernwartung auf das Gerät zugreifen kann). Das ist in sicherheitsrelevanten Bereichen unbedingt wichtig, und die Behörden schreiben ein Zertifikat sogar vor. Für Hersteller ist ein entsprechender Nachweis also das beste Marketing-Argument, mit dem Produzenten auf die Sicherheitsbedürfnisse Ihrer Kunden konkret eingehen können. Als Käufer bietet Ihnen das Zertifikat eine gewisse Sicherheit, dass Ihr System nicht manipuliert werden kann.
Garantiert richtlinienkonform
Eine Zertifizierung nach den Technischen Richtlinien (TR) wird notwendig, wenn Sie neben bestimmten Sicherheitseigenschaften zusätzlich funktionale Anforderungen für den Betrieb eines IT-Produktes oder -Systems realisieren müssen.
Ein Beispiel: Ein Unternehmen stellt elektronische Passlesegeräte für Flughäfen her. Nun muss dieses Lesegerät aber nicht nur Reisepässe aus Deutschland sicher lesen können, sondern z.B. auch aus Dschibuti. Daher hat man sich weltweit auf eine Reihe von Formaten geeinigt, die alle Lesegeräte verstehen müssen: die Technischen Richtlinien. Die anschließende Zertifizierung bestätigt, dass das Produkt tatsächlich das kann, was die TR festschreiben, und daher sicher ist.
Selbstschutz geht vor
Bei der IT-Grundschutz-Zertifizierung checkt eine unabhängige Stelle, wie es mit den handfesten Sicherheitsvorkehrungen in Ihrem Unternehmen aussieht und vergibt bei erfolgreicher Prüfung ein Testat. Dieses Zertifikat nach dem international anerkannten Standard ISO 27001 kann für IT-Dienstleister und Rechenzentren relevant sein, bei denen sensible Daten verarbeitet werden.
Aber auch dann, wenn die IT-Infrastruktur lediglich den eigenen Geschäftsprozessen dient, sind die Checks gut fürs Risikomanagement. Inzwischen vermerken nämlich auch Wirtschaftsprüfer und Banken im Zuge von Basel II wohlwollend, wenn bei der IT-Sicherheit alles im grünen Bereich ist.
Das BSI stellt die sehr detaillierten IT-Grundschutzkataloge online zur Verfügung, in denen auch bautechnische Details genannt werden und gesagt wird, warum der Server nicht gerade unter dem Flachdach stehen sollte. (Es regnet leichter hinein.)
Antrag, Prüfung und Report
Sie suchen sich eine zertifizierte Prüfstelle heraus, mit der Sie gemeinsam mit dem BSI die Sicherheitsvorgaben und einen Meilensteinplan erarbeiten. Dann schließen Sie einen Evaluierungsvertrag mit der Prüfstelle, die Sie prüfen wird. Daneben stellen einen Antrag beim BSI. (Die Liste anerkannter Anbieter gibt es online.)
Damit Sie für Ihr Produkt nicht in jedem Land ein neues Zertifikat beantragen müssen, wurde für viele Nationen eine gegenseitige Anerkennung vereinbart – wenn die Prüfung auf ITSEC oder Common Criteria (CC) beruht.
Bei der Prüfung eines Produktes wird als Erstes getestet, ob es den Sicherheitskriterien entspricht, die vom BSI öffentlich gemacht wurden bzw. die allgemein anerkannt sind. Fällt der Check positiv aus, können Sie Ihre Produktzertifikate auf der Internet-Seiten des BSI als Reporte publizieren lassen; für Veröffentlichungen von ISO-27001-Zertifikaten auf IT-Grundschutz-Basis gibt es eine eigene Seite.
Wie lange die Zertifizierung dauert und was sie kostet, hängt stark vom Produkt und dem Unternehmen ab. Generell gilt: Je weniger komplex die Angelegenheit ist und je früher Sie mit der Zertifizierung beginnen, desto günstiger wird es.
Fazit: Standards im Wettbewerb
Für die Zertifzierung von IT-Produkten gilt Ähnliches wie für andere Gütesiegel: Ob sich Aufwand und Kosten im Einzelfall lohnen, bestimmt großteils die eigene Position im Verhältnis zu den Mitbewerbern im selben Marktsegment. Ein Seitenblick auf die Zertifikate der Konkurrenz kann daher nie schaden. Zunehmend wichtig wird aber auch die Erwartungshaltung der Kunden, die mehr und mehr auf geprüfte Sicherheit achten.