Cybersicherheit: Neue BSI-Zertifizierung schließt Lücke

Veröffentlicht am: 29. Juli 2021 Autor: Ralf Koenzen Veröffentlicht in Netzpolitik, Unternehmen Keine Kommentare

Der 21. Juni 2021 war ein beachtlicher Tag für die Cybersicherheit in Deutschland. Im Rahmen einer virtuellen Zertifikatübergabe überreichte der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, etwas ganz Besonderes: Das allererste Sicherheitszertifikat gemäß der neuen Beschleunigten Sicherheitszertifizierung (BSZ).  

Damit schließt das BSI eine durchaus kritische Lücke in der bisherigen Zertifizierungslandschaft. Gab es für den Hochsicherheitsbereich schon seit Mitte der 1990er Jahre mit den „Common Criteria“ ein verlässliches Prüfschema, fehlte es für Breitenanwendungen in Wirtschaft und Verwaltung bislang an unabhängig testierter Orientierung.  

Für den Hochsicherheitsbereich: die Common Criteria

Die Common Criteria-Zertifizierung ist vor allem wegen ihrer breiten Anerkennung interessant. Viele Staaten zertifizieren nach diesem Schema und erkennen die gemäß CC erteilten Zertifizierungen aus anderen Ländern an.

Das Vorgehen ist international harmonisiert, ihm liegt stets ein Vier-Augen-Prinzip zu Grunde. Das heißt: Eine akkreditierte Prüfstelle und eine Zertifizierungsstelle – hierzulande das BSI – arbeiten Hand in Hand zusammen. Erst wenn beide grünes Licht geben, wird das Sicherheitszertifikat ausgestellt.

Doch es gibt zwei Haken, die die Akzeptanz in der Breite erschweren: Bis zum Erhalt eines ersten CC-Zertifikats vergehen in der Regel mehrere Jahre, währenddessen darf die Software nicht mehr verändert werden. Ein CC-zertifiziertes Produkt entspricht demnach, je nach Dauer des Zertifizierungsverfahrens, nicht mehr unbedingt dem neuesten Stand. In Zeiten agiler Entwicklung und kurzer Update-Zyklen ist das für viele Anwenderunternehmen und Verwaltungseinrichtungen schlicht nicht interessant. Hinzu kommt, dass Betrieb und Rollout aus Sicherheitsgründen engen Vorgaben unterliegen, wodurch moderne, effiziente Installationsprozesse und Managementszenarien nicht genutzt werden können.

Auch wir bei LANCOM haben 2013 eine CC-zertifizierte Routerfamilie auf den Markt gebracht, um Projekte im Hochsicherheitsbereich – beispielsweise bei obersten Bundesbehörden – zu realisieren. Die Breite unserer Vernetzungsprojekte wurde aber weiterhin mit nicht-zertifizierten Routern und Gateways realisiert. 

Schnell, sicher, markttauglich: die neue BSZ

Genau diese beiden Haken geht das BSI nun mit der „Beschleunigten Sicherheitszertifizierung“ (BSZ) an. Das neue Prüfschema setzt auf Tempo und Einsatztauglichkeit für die große Masse an Netzwerken in Industrie, Wirtschaft und Verwaltung und ist eine echte Bereicherung für die IT-Sicherheitslandschaft.

Analog zu den Common Criteria, setzt die BSZ auf das Vier-Augen-Prinzip aus Prüf- und Zertifizierungsstelle und bestätigt die Sicherheitsversprechen von Herstellern durch ein unabhängiges Zertifikat. Mit einer anvisierten Prüfdauer von nur drei Monaten und einem sehr praxisnahen Ansatz, inklusive Pen-Testing und keinerlei operativen Einschränkungen, sind BSZ-zertifizierte Produkte hochattraktiv für all jene, die sich BSI-zertifizierte Sicherheit und top-aktuelle Funktionen im Paket wünschen.

Die BSZ ist kompatibel zur französischen CSPN. Diese beiden Schemata werden derzeit europäisch genormt und können in ein zukünftiges europäisches Schema gemäß des Cyber Security Act aufgehen. Denn genau da muss sich noch etwas ändern. Noch ist die BSZ nicht international anerkannt. Wir hoffen aber, dass sich dies zeitnah ändert.

Übrigens sind auch eine Update-Garantie sowie die Verpflichtung, auf Meldungen zu Schwachstellen zeitnah zu reagieren, ein Teil des BSZ-Zertifikats. Deshalb empfiehlt sich der Einsatz BSZ-zertifizierter Produkte für alle Bereiche, die höchsten Anforderungen an ihre IT-Sicherheit stellen.

Die allererste BSZ: SD-WAN Gateway von LANCOM

Umso mehr freuen wir uns, dass LANCOM als erster Hersteller überhaupt das neue Zertifizierungsschema durchlaufen konnte. Als eigens ausgewählter Pilot-Teilnehmer konnten wir aktiv daran mitwirken, das Schema erfolgreich in die Praxis zu bringen. Im Herbst 2021 soll das Verfahren in den Regelbetrieb gehen und damit auch für andere Hersteller geöffnet werden.

Das Produkt, mit dem wir die BSZ durchlaufen haben, ist ein vielseitiges VPN- und SD-WAN Gateway, das schon heute in Abertausenden von Kundenprojekten erfolgreich im Einsatz ist: der LANCOM 1900EF. Er bildet die Grundlage für die sichere, vertrauenswürdige und standortübergreifende Vernetzung in Wirtschaftsunternehmen mit gehobenem Sicherheitsbedürfnis, in Industrieanlagen, KRITIS, öffentlichen Einrichtungen – inklusive Schulen –, Kliniken und Krankenhäusern.

Unser Dank geht an dieser Stelle nochmal an das BSI und an unsere Prüfstelle SRC, die uns während des Verfahrens eng begleitet haben.

Ab Ende 2021: Neues Sicherheitskennzeichen für Consumer-Geräte

Fehlt zum perfekten Dreiklang zwischen Hochsicherheit, B2B-Sicherheit und Konsumenten-Sicherheit eigentlich nur noch eines: eine Orientierungshilfe für Privatkunden.

Auch hier legt das BSI nach. Mit dem im Juni verabschiedeten IT-Sicherheitsgesetz 2.0 wurde die gesetzliche Grundlage für ein neues Sicherheits-Label für vernetzte und smarte Geräte geschaffen, das nun in den Startlöchern steht und Transparenz für Verbraucher:innen schaffen soll. Ab Ende 2021 können Hersteller für ihre Produkte und Angebote das IT-Sicherheitskennzeichen beantragen.

Anders als die Common Criteria oder das BSZ basiert das Kennzeichen auf einer Herstellerselbsterklärung, die zwar vom BSI auf Plausibilität geprüft, jedoch nicht testiert wird.

Im ersten Schritt können Hersteller von Breitband-Routern und Anbieter von E-Mail-Diensten das IT-Sicherheitskennzeichen beantragen. Als Grundlage für die Herstellererklärungen dienen zwei Technische Richtlinien (TR), die in den letzten Jahren erarbeitet wurden.

Wir von LANCOM waren Teil der Arbeitsgruppe beim BSI, die die Technische Richtlinie für Breitbandrouter (BSI TR-03148) in einem intensiven Prozess ausgearbeitet hat. Unser Ziel auch hierbei: das IT-Sicherheits- und Cybersicherheitsniveau in Deutschland in der Breite zu heben.

Wer mehr darüber wissen möchte: Ich hatte das Thema im vergangenen Jahr schon einmal hier in meinem Blog behandelt.

Man sieht, dass sich etwas tut an der Cybersecurity-Front. Mit guten neuen Initiativen legt das BSI die Basis dafür, dass sowohl professionelle Anwender als auch Konsumenten bei ihren Investitions- und Kaufentscheidungen künftig die Sicherheitseigenschaften von Produkten und Lösungen bewusster mit einbeziehen und so die Widerstandsfähigkeit ihrer eigenen Systeme entscheidend stärken können.

Kommt jetzt noch die internationale Anerkennung hinzu, sind wir auch europaweit auf einem sehr guten Weg.

Verwandte Posts

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.