![[GRAFIK]](27-1.jpg)
Abb. 1: Strukturen des Maintenance-Schemas im Zusammenhang mit der Re-Zertifizierung
Im Rahmen internationaler Bestrebungen soll die Re-Zertifizierung für den Hersteller schneller und kostengünstiger durchführbar werden. Hierzu wird ein Maintenance-Verfahren eingeführt, das einen kontinuierlichen Sicherheits- und Qualitätsnachweis eines IT-Produktes auch nach geringfügigen Nachbesserungen oder Änderungen am Produkt oder in der Entwicklungsumgebung sicherstellt. Es wird den Herstellern bei dem Maintenance-Verfahren unter bestimmten Voraussetzungen erlaubt, Teile einer Re-Evaluierung selbst durchzuführen.
Das Maintenance-Verfahren ermöglicht es dem Hersteller, ein zertifiziertes Produkt im Anschluss an die Erstzertifizierung kontinuierlich weiterzuentwickeln und das Zertifikat für Folgeversionen aufrechtzuerhalten. In bestimmten Abständen ist jedoch weiterhin eine Re-Zertifizierung erforderlich.
Bei Produkten oder Systemen, bei denen von einer laufenden Weiterentwicklung ausgegangen wird, kann durch die Einrichtung eines Maintenance-Verfahrens der für die Zertifizierung einer neuen Version erforderliche Aufwand auf ein Mindestmaß beschränkt werden.
Auch wenn am zertifizierten Produkt oder System keine Änderungen vorgenommen wurden, besteht die Möglichkeit, dass an seiner Entwicklungs-, Produktions- oder Betriebsumgebung Änderungen auftreten, die im Rahmen eines Maintenance-Verfahrens untersucht werden können.
Durch die ständige Weiterentwicklung der Technik können sich neue Angriffsverfahren und -wege ergeben, die das Sicherheitsniveau des Produktes oder Systems infrage stellen. Das Maintenance-Verfahren ist dazu geeignet, durch kontinuierliche Beobachtung des sicherheitstechnischen Fortschrittes, Sicherheitslücken aufzudecken und das Produkt anzupassen (z. B. durch Modifikation des Produktes, strengere Auflagen an die Einsatzumgebung usw.).
Das Maintenance-Verfahren ist ein Konzept, das erst nach der Prüfung, Bewertung und Zertifizierung eines IT-Produktes oder IT-Systems anhand der Common Criteria (CC) oder ITSEC-Kriterien angewandt wird [1–3]. Ziel ist es, die Rahmenbedingungen dafür festzulegen, dass eine ermittelte Vertrauenswürdigkeit in das zertifizierte Produkt auch bei Änderungen erhalten bleibt, ohne in jedem Fall eine komplette Re-Evaluierung durch eine Prüfstelle durchzuführen.
Nachdem der Hersteller die notwendigen strukturellen Voraussetzungen (z. B. Maintenance-Unterlagen, Konfigurationsmanagementsystem und Änderungsmanagement) und die erforderliche Kompetenz gegenüber der Zertifizierungsstelle nachgewiesen hat, ist es ihm erlaubt, Teile der notwendigen Evaluierungsarbeiten selbstständig duchzuführen. Dabei wird der Hersteller kontinuierlich daraufhin überprüft, ob er die ihm obliegenden Aufgaben in Übereinstimmung mit dem Maintenance-Plan ordungsgemäß ausführt. Nachdem so das Vertrauen in den Hersteller sichergestellt ist, werden in einem Maintenance-Zyklus die notwendigen Prüfungen zum Sicherheitserhalt für jedes Änderungspaket durchgeführt. Im Anschluss an Änderungs- und Prüfaktivitäten erteilt die Zertifizierungstelle dem Hersteller eine Erweiterung seines Zertifikats in Form eines Änderungsanhangs an den Zertifizierungsreport.
Das Maintenance-Verfahren wird vom Hersteller beim BSI beantragt. Nachdem die Rahmenbedingungen festgelegt sind, kann das Maintenance-Verfahren durch zwei Abläufe modelliert werden:
Abb. 1: Strukturen des Maintenance-Schemas im Zusammenhang mit
der Re-Zertifizierung
Die Annahmephase ist eine Vorbereitungsphase, in der die Basis für das Maintenance-Verfahren gelegt wird. Es handelt sich um eine Überprüfung, ob die vom Antragsteller errichteten Strukturen und Prozeduren die Anforderungen des Maintenance-Verfahrens erfüllen und ob die Qualifikation des Sicherheitsanalytikers gegeben ist. In dieser Phase werden die Maintenance-Unterlagen, insbesondere der Maintenance-Plan und der Kategorisierungsbericht, geprüft und abgenommen. Zu Beginn des Verfahrens wird die Entscheidung getroffen, ob ein Maintenance-Zyklus oder eine Re-Evaluierung durchgeführt werden muss.
![[GRAFIK]](27-2.jpg)
Abb. 2: Übersicht über die Annahmephase
In den Maintenance-Unterlagen sind im Maintenance-Plan die geplanten Modifikationen am zertifizierten Produkt beschrieben. In der Überprüfungsphase erstellt der Sicherheitsanalytiker anhand der im Maintenance-Plan aufgeführten Modifikationen eine Auswirkungsanalyse. Hier wird festgelegt, welche technischen Auswirkungen die entsprechenden Modifikationen haben und welche Dokumente geändert werden müssen. Er führt die notwendigen Evaluierungsarbeiten durch und dokumentiert seine Prüftätigkeiten in den Maintenance-Unterlagen.
Die Prüfstelle bewertet die Auswirkungsanalyse des Herstellers und kontrolliert die Vollständigkeit der durchgeführten Evaluierungsarbeiten. Für höhere Evaluationsstufen (oberhalb EAL4) werden von der Prüfstelle unabhängige Penetrationstests und Schwachstellenanalysen durchgeführt. In der Zertifizierungsphase wird von der Zertifizierungstelle ein Änderungsanhang zum Zertifizierungsreport erstellt. Dabei wird das Zertifikat auf eine neue Version des Produktes erweitert beziehungsweise es werden Änderungen der Entwicklungsumgebung anerkannt.
Das Maintenance-Verfahren bietet die Möglichkeit, Einfluss auf die sicherheitstechnische Entwicklung eines zertifizierten Produktes zu nehmen. Durch kontinuierliche Beobachtung (Inspektion) des sicherheitstechnischen Fortschrittes und neuer Möglichkeiten Sicherheitslücken aufzudecken, wird es oft notwendig, das zertifizierte Produkt weiterzuentwickeln (z. B. durch Modifikation des Produktes, strengere Auflagen an die Einsatzumgebung oder zusätzliche Auflagen für den Anwender).
Zur Überwachung der Evaluierungstätigkeit des Sicherheitsanalytikers führt die Prüfstelle Audits durch. Es wird geprüft, ob der Antragsteller die ihm obliegenden Aufgaben in Übereinstimmung mit dem Maintenance-Plan ordnungsgemäß ausgeführt hat (Überwachungszyklus).
![[GRAFIK]](27-3.jpg)
Abb. 3: Übersicht über den Maintenance-Zyklus
Bei einer Re-Zertifizierung werden alle sicherheitsrelevanten Änderungen an der zertifizierten Fassung des Evaluationsgegenstands berücksichtigt und frühere Ergebnisse der Prüfung und Evaluierung wiederverwendet, wenn diese noch gültig sind.
Durch die Re-Zertifizierung mit Re-Evaluierung wird eine erneute Validierung sämtlicher Kriterien erforderlich, die der beabsichtigten Vertrauenswürdigkeitsstufe entsprechen. Es ist andererseits jedoch nicht notwendig, alle Evaluierungsarbeiten erneut durchzuführen. Die auszuführenden Arbeiten werden von der mit der Re-Evaluierung befassten Prüfstelle in Absprache mit der Zertifizierungsstelle durchgeführt.
In vielen Fällen ist es aber unpraktikabel, die Erhaltung der Vertrauenswürdigkeit durch eine Re-Zertifizierung jeder neuen Version des evaluierten Produktes sicherzustellen.
Im Unterschied zur Re-Zertifizierung geht es bei dem Maintenance-Verfahren um einen kontinuierlichen Prozess bei der Produktweiterentwicklung. Der für das Maintenance-Verfahren zuständige Sicherheitsanalytiker kann kleine Änderungen selbstständig analysieren und bewerten. Es handelt sich dabei um eine fortwährende Validierung der Korrektheit und der Wirksamkeit der Sicherheitsmaßnahmen, die vom zertifizierten Produkt oder System bereitgestellt werden.
Um das Vertrauen zu erhalten, dass sämtliche Kriterien erfüllt werden, muss die Prüfstelle prüfen, ob der Sicherheitsanalytiker beim Antragsteller die ihm obliegenden Aufgaben ordnungsgemäß durchgeführt hat.
Nicht jede Änderung des Produktes oder Systems kann mittels eines Maintenance-Verfahrens berücksichtigt werden. Die Zertifizierungsstelle ist dafür verantwortlich, zu entscheiden, ob bei größeren Änderungen des Produktes eine Re-Zertifizierung erforderlich ist.
Das Maintenance-Verfahren ist ein neues Mittel, um die Zertifizierung von Produkten effizienter und marktorientierter anbieten zu können. Sie bietet dem Hersteller die Möglichkeit, kontinuierlich das Sicherheitsniveau zu halten und die Qualität seiner Entwicklung nachzuweisen.
Der Anwender kann so mit noch mehr Vertrauen in das vorgeschriebene Prüfungsniveau die angebotenen Sicherheitsprodukte einsetzen, ohne sich bei jedem neuen Release Gedanken über den Sicherheitsstandard machen zu müssen. Sicherheit vor Ort für jedermann ist so keine Vision mehr.
Weitere Informationen können auch per E-Mail von zerti@bsi.bund.de angefordert werden
![[externer Link]](../../../../images/link.gif)
www.commoncriteria.org www.bsi.bund.de/cc/ www.bsi.bund.de/zertifiz/itkrit/itsec.htm© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/4, Seite 27
