![[Illustraion]](03-3-039-1.gif)
CC-Schutzprofile werden in den USA bereits häufig im Lastenheft öffentlicher Ausschreibungen geführt.
Internationale Standards sind für die Wirtschaft von großer Bedeutung, weil sie die Vereinheitlichung von Produkten in globalen Märkten unterstützen. Der Verbraucher profitiert von einer weltweiten Normung, weil die damit verbundene Transparenz von Produkteigenschaften die Vergleichbarkeit erleichtert. Internationale Standards im Bereich der Informationstechnik sind besonders nützlich, weil der IT-Markt seit jeher ein Weltmarkt ist.
Die Common Criteria (CC) sind aus verschiedenen nationalen und europäischen Kriterienwerken wie TCSEC, ITSEC, Federal Criteria und CPCPEC hervorgegangen. Die CC sind nun dabei, sich international als "der" Standard für IT-Sicherheitsanforderungen für IT-Produkte zu etablieren.
Unterstützung finden die CC bei der Mehrzahl der Mitgliedstaaten der EU, insbesondere in den Staaten, die die CC entweder selbst entwickelt haben oder sie im Rahmen der Anerkennung von Zertifikaten anwenden. Ähnliches gilt für NATO, WEU, Internationale Atomenergiebehörde, Eurosmart und so weiter.
CC-Schutzprofile werden in den USA bereits häufig im
Lastenheft öffentlicher Ausschreibungen geführt.
----------Anfang Textkasten----------
Für die Prüfung und Bewertung der Sicherheit von Informationstechnik (IT) gibt es den Internationalen Standard ISO/IEC 15408 (Common Criteria, CC), der zum 1. Dezember 1999 von der Internationalen Standardisierungsorganisation (ISO) veröffentlicht worden ist. Diese Kriterien sind nicht nur Grundlage für die systematische Prüfung (Evaluation) von IT-Sicherheit, sondern bieten den IT-Herstellern auch einen Maßstab für die möglichen Sicherheitsmaßnahmen in ihren Produkten.
Das Bundesministerium des Innern hat im Einvernehmen mit dem Bundesministerium für Wirtschaft die deutsche Übersetzung der CC Version 2.1 am 29. September 2000 mit der Bekanntgabe im Bundesanzeiger in Deutschland eingeführt. Hersteller und Vertreiber von IT-Produkten sowie Bundesbehörden können beim Bundesamt für Sicherheit in der Informationstechnik (BSI) Sicherheitszertifikate auf Grundlage der CC beantragen.
Die Einführung der CC in Deutschland eröffnet der Wirtschaft die Möglichkeit, IT-Sicherheitszertifikate auf der Basis dieser weltweit einheitlichen Kriterien zu erhalten und damit am internationalen Wettbewerb teilzunehmen.
Das Zertifikat unterstützt den Anwender bei der Beurteilung, ob ein IT-Produkt für den geplanten Einsatz die adäquate Sicherheitsfunktionalität besitzt. Andererseits bedeutet ein Zertifikat für den Hersteller die Bestätigung einer bestimmten Sicherheitsfunktionalität seines Produktes durch eine unabhängige neutrale Stelle.
Im Mai 2000 wurde zwischen verschiedenen nationalen Zertifizierungsstellen ein Abkommen zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten auf Basis der CC geschlossen. Dieses Abkommen (CCRA) betrifft Zertifikate für Schutzprofile und Produkte bis zur Prüftiefe EAL4. Hieran beteiligt sind die Länder Australien/Neuseeland, Deutschland, Frankreich, Kanada, USA und das Vereinigte Königreich (UK).
Des Weiteren verpflichten sich eine Anzahl von Ländern CC-Zertifikate der oben genannten Stellen einseitig anzuerkennen; dies sind Finnland, Griechenland, Israel, Italien, Niederlande, Norwegen, Österreich, Schweden und Spanien.
----------Ende Textkasten----------
Internationalen Regelwerken zur Vergabe von Produktzertifikaten wird in den Industrieländern große Bedeutung beigemessen. Hier seien insbesondere Japan und die Niederlande genannt, die in den nächsten Monaten den Aufbau ihres nationalen Regelwerkes durch die Vergabe erster international anerkannter CC-Zertifikate abschließen werden. Auch viele andere Länder zeigen ein starkes Interesse am Aufbau eines nationalen Schemas, zum Beispiel Österreich, Schweden, Norwegen und Italien.
Der Blick in die Liste der zertifizierten Produkte zeigt unterschiedliche Trends bei der Produktzertifizierung diesseits und jenseits des Atlantiks. Insbesondere in Europa (z. B. in Deutschland und Frankreich) ist eine hohe Nachfrage nach Zertifikaten auf dem Gebiet der Smartcards festzustellen (neben Zertifikaten für verschiedene andere IT-Produkte). Ein Grund hierfür ist möglicherweise in entsprechenden Gesetzgebungen, beispielsweise auf dem Gebiet der Digitalen Signatur oder des Digitalen Tachographen, zu finden. Im Allgemeinen ist die Produktzertifizierung in Deutschland jedoch eine freiwillige Angelegenheit des Herstellers und in der Regel nicht vorgeschrieben.
In den USA hingegen werden Zertifikate für die verschiedensten IT-Produkte vergeben – aber auch im Markt verlangt. Insbesondere für den Einsatz von Produkten des Militärs sowie im Behördenbereich werden bei Ausschreibungen verstärkt Produkte mit CC-Zertifikat gefordert. Dies gilt sogar für Produkte, die man typischerweise nicht unbedingt als IT-Sicherheitsprodukte bezeichnen würde, beispielsweise digitale Fotokopierer. Darüber hinaus fördert die Erstellung von Schutzprofilen (Protection Profiles, PP) die Nachfrage nach CC-Zertifikaten. Die Schutzprofile werden in den USA als Bestandteil des Lastenheftes bei öffentlichen Ausschreibungen geführt und es werden zurzeit für die verschiedensten Produktklassen Sicherheitskonzepte auf Basis von Schutzprofilen geschrieben. Durch das große Engagement der USA bei der Erstellung von Schutzprofilen für ausgewählte Produktklassen im Behördenumfeld erhalten die amerikanischen Behörden damit eine einfache Orientierungshilfe über die entsprechende Sicherheitsleistung zu beschaffender Produkte.
Bedingt durch die Anforderung in den USA, im öffentlichen Bereich nur noch Produkte mit CC-Zertifikat zu akzeptieren, werden Hersteller von IT-Produkten weltweit gezwungen, sich einem Zertifizierungsverfahren zu unterziehen, wenn sie auf dem amerikanischen Markt in diesem Sektor mitbieten möchten. Auch viele deutsche Firmen bemühen sich in letzter Zeit verstärkt um ein CC-Zertifikat, da ansonsten in den USA mit Wettbewerbsnachteilen zu rechnen ist.
Nicht nur in den USA, sondern auch bei vielen internationalen Organisationen wie der NATO oder der ESA lässt sich der Trend beobachten, verstärkt nur noch CC zertifizierte IT-Sicherheitsprodukte einzusetzen. Es zeichnet sich zunehmend ab, dass damit die CC für die Produktzertifizierung ähnlich wie andere ISO-Standards (z. B. ISO 9001) weltweit Maßstäbe setzen und an Bedeutung gewinnen.
Was bedeutet dieser Trend nun für die deutsche Zertifizierungslandschaft, das heißt für die Prüfstellen, das BSI und die Hersteller? Wie bereits beschrieben, bewirkt die aktuelle Entwicklung ein deutlich zunehmendes Geschäft für die deutschen Prüfstellen. Manche Prüfstellen haben es bereits verstanden, im europäischen Ausland und insbesondere auch in den USA und Japan zu akquirieren, anschließend in Deutschland zu evaluieren und beim BSI zertifizieren zu lassen. Dies ist ein klarer Vertrauensbeweis in das deutsche Zertifizierungsschema des BSI. Auch die Anzahl der Prüfstellen in Deutschland ist ein Zeichen für ein wachsendes Geschäft auf diesem Gebiet. Das BSI hat zurzeit die meisten privatwirtschaftlichen Prüfstellen – nämlich 11 – aller am CCRA-Abkommen beteiligten Länder (siehe Kasten). Auch aus den Ländern, die kein eigenes Zertifizierungsschema besitzen, melden sich verstärkt Organisationen, die für das BSI evaluieren wollen (z. B. TNO aus den Niederlanden).
----------Anfang Textkasten----------
----------Ende Textkasten----------
Aufgrund der internationalen Anerkennung von CC-Zertifikaten
können Hersteller ihre Zertifikate in Deutschland erhalten und
ihre zertifizierten Produkte auf dem amerikanischen Markt anbieten.
Die Tatsache, dass deutsche CC-Zertifikate in der Praxis auch
tatsächlich im Ausland anerkannt werden, wird durch
Zertifizierungsanträge amerikanischer und anderer
ausländischer Firmen in Deutschland untermauert (siehe hierzu
die deutsche Liste zertifizierter Produkte, hier lassen sich Firmen
wie IBM, Hitachi, Bull, Gemplus etc. finden; vgl. ![[externer Link]](../../../../images/link.gif)
www.bsi.bund.de/zertifiz/).
Die Bedeutung eines CC-Zertifikats ist für die deutschen Hersteller nicht immer gleich erkennbar, da es in Deutschland zu wenige Bereiche gibt, in denen ein Zertifikat verlangt wird. Zur Erlangung eines Zertifikats muss ein Hersteller zunächst, je nach Prüftiefe zum Teil erheblich, in eine Evaluierung investieren. Da jedoch die Anerkennung eines deutschen Zertifikats im Ausland gemäß dem bestehenden CCRA-Abkommen gewährleistet ist – dies zeigt die Praxis –, haben deutsche Hersteller somit die gleichen Chancen auf dem amerikanischen Markt wie US-Unternehmen. Dies wird insbesondere auch durch den international guten Ruf des deutschen Zertifizierungsschemas beim BSI unterstützt. Im Vergleich zu Herstellern aus Ländern ohne Zertifizierungsschema wie etwa Italien oder Spanien besitzen deutsche Hersteller damit sogar Wettbewerbsvorteile: Sie haben ihr nationales Zertifizierungsschema vor Ort.
----------Anfang Textkasten----------
Das bestehenden BSI-Zertifizierungsverfahren fokussiert primär Produkte für den IT-Sicherheitsbereich. Aufwand und Kosten für einen Evaluierungs- und Zertifizierungsprozess steigen mit der Komplexität der zu untersuchenden Produkte. Die Ursache hierfür liegt nicht zuletzt in der "vertikalen Tiefenprüfung" der Sicherheitsprodukte: Die zu untersuchenden Produkte erfahren je nach postuliertem Sicherheitsniveau eine relativ tief gehende Detailprüfung.
Alternativ wird beim BSI ein ergänzendes Zertifizierungsverfahren entwickelt, das insbesondere bereits existierende Standard-IT-Sicherheitslösungen für den Massenmarkt, wie VPN- oder E-Business-Lösungen, adressiert. Zudem werden die IT-Sicherheitslösungen oft durch spezifische Serviceleistungen ergänzt (Lösungsmanagement, Professional Services). Die Prüfung einer solchen, aus einem Komponentenverbund bestehende und gegebenenfalls auch sehr komplexen IT-Lösung, erfordert eine gesamtheitliche Sicht, um eine auf der Kostenseite angemessene und dennoch aussagekräftige Prüfung mit einem verlässlichen Ergebnis durchführen zu können. Wünschenswert ist hier natürlich die internationale Anerkennung solcher Evaluationsergebnisse auf Basis der CC.
----------Ende Textkasten----------
Sowohl bei den Prüfstellen als auch beim BSI ist bereits heute ein wachsendes Zertifizierungsgeschäft zu beobachten, es ist in Zukunft noch verstärkt mit Zertifizierungsanträgen zu rechnen. Das deutsche Zertifizierungsschema ist hier gefordert, flexibel und pragmatisch auf die verstärkte Nachfrage zu reagieren, und Zeitverzögerungen aufgrund von Engpässen muss vorgebeugt werden.
Des Weiteren sollten die Entwicklungen insbesondere in den USA seitens des BSI und der deutschen Hersteller genau beobachtet werden. Eine zu große Gelassenheit kann sich nur negativ auf die wirtschaftliche Entwicklung deutscher Unternehmen auswirken. Ein sinnvolles Werkzeug ist hier das Konzept der Schutzprofile, was wie in den USA auch hierzulande bei öffentlichen Ausschreibungen Verwendung finden könnte. Dieses Instrument wird beispielsweise auch in Frankreich sehr progressiv verwendet, in Deutschland hingegen leider viel zu wenig beachtet.
Die beschriebenen Entwicklungen beziehen sich im Wesentlichen auf reine Produktzertifizierungen. In der Praxis ist es oft erforderlich, nicht nur die Sicherheitsleistung eines Produktes zu erfassen, sondern es ist nötig, die Gesamtsicherheitssituation einer Organisation zu betrachten. Der Beitrag der Produktzertifizierung ist jedoch entscheidend: Je mehr Produkte zertifiziert sind, desto mehr verlässliche Grundlagen existieren zur Beurteilung der Gesamtsituation.
Neben den funktionalen technischen Sicherheitsaspekten hat man es oft mit Sicherheitsproblemen zu tun, die nur unter Berücksichtigung von Aspekten der Einsatzumgebung (z. B. IT-Infrastruktur) abgedeckt werden können. Hier spielen beispielsweise auch personelle und organisatorische Regelungen eine Rolle.
In Zukunft gewinnen daher Kriterien zum IT-Sicherheitsmanagement (Information Security Management Systems, ISMS) immer mehr an Bedeutung. Die Konzeptionierung der Gesamtsicherheit muss durch eine sinnvolle Kombination der Anwendung von CC und von ISMS-Kriterien möglich werden. Das BSI ist in verschiedenen nationalen Gremien, bei der ISO, sowie auch in den entsprechenden CC-Arbeitsgruppen aufgefordert, sich aktiv daran zu beteiligen, entsprechende Kriterien mitzugestalten. Mit ersten Grundlagenarbeiten wurde bereits begonnen. Gelingt es, die CC mit ISMS-Kriterien auf sinnvolle Weise zu ergänzen, so wird damit der Zertifizierung eine vollständige und variable Grundlage für die Evaluierung aller Produkte und Systeme zur Verfügung gestellt sein.
Weitere Informationen zum Thema
finden Sie auf der Website des BSI unter www.bsi.bund.de/zertifiz/
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2003#3, Seite 39
| 