Die Prüfung und Zertifizierung von Hard- und Softwareprodukten nach dem Common Criteria (CC) Standard gilt in Fachkreisen gemeinhin als Königsdisziplin der IT-Sicherheitsprüfung. Für Hersteller, die sich bewusst für ein solches Verfahren entscheiden, bedeutet dies zugleich, Entwicklungs-, Test- und Produktionstätigkeiten ausschließlich in einer hochgesicherten und auditierten Umgebung auszuführen.
Veränderte Zeiten erfordern neue Konzepte
Zunehmend zwingt die aktuell vorherrschende weltweite Corona-Pandemie Hard- und Software entwickelnden Unternehmen dazu, ihre Mitarbeitenden aus Gründen des Gesundheitsschutzes ins Homeoffice zu versetzen. Weil diese sich damit außerhalb der sicheren Entwicklungsumgebung befinden, kommen laufende CC-Verfahren zunehmend ins Stocken oder werden gar nicht erst begonnen.
Unter welchen Rahmenbedingungen CC-Verfahren in der Einzelfallbetrachtung durch Aktivität im Homeoffice fortgeführt werden können, beschreibt jetzt ein neues Konzept von TÜVIT zur zeitlich befristeten Ermöglichung von Homeoffice-Tätigkeiten innerhalb eines CC-Projektes.
„Mit unserem Konzept ergänzen wir die bestehende ALC Dokumentation und formulieren konkrete Anweisungen, in welchem Fall das Homeoffice gewährt werden kann, welche IT-Geräte verwendet werden dürfen, wie die Übertragung und Datenspeicherung erfolgen soll und welche Vorschriften für die Arbeit zu Hause gelten“, erläutert Markus Wagner, Produktmanager bei TÜVIT für Software Evaluationen.
Neben allgemein tätigkeitsbezogenen, technischen und organisatorischen Maßnahmen sieht das Konzept als wesentlichen Bestandteil die Schulung der Sicherheitsrichtlinie und die Sensibilisierung für Tätigkeiten im Homeoffice vor.
Fest steht, dass das Konzept keine Aufweichung der notwendigen Sicherheitsvorkehrungen im Rahmen einer CC-Evaluierung darstellt, sondern lediglich einen konsequenten Transfer der bestehenden Anforderungen in den häuslichen Bereich. „Bis auf Widerruf haben wir hierfür auch die Duldung der nationalen Sicherheitsbehörde in Deutschland erhalten“, berichtet Marcus Krechel, Abteilungsleiter für Evaluierung & Validierung bei TÜVIT. Und für einen Übergang zum Normalbetrieb bei Entspannung der Krisensituation ist ebenfalls gesorgt.
Seit Beginn der Corona-Krise hat TÜVIT das Konzept schon in mehreren Prüfverfahren erfolgreich zur Anwendung gebracht. Voraussetzung dafür war, dass Grundkonzept auf die jeweils individuellen Verfahren einzelner Hard- und Software Hersteller zu adaptieren. Hersteller, die sich vergleichbaren Problemstellungen gegensehen, möchte TÜVIT unterstützen, laufende CC-Verfahren unter hohen Sicherheitsbestimmungen für das Homeoffice dennoch weiterzuführen und neue Projekte in Angriff zu nehmen, um den Marktgang der Produkte nicht nennenswert zu verschieben.