BSI TR-03185: Sichere Updates ohne Re-Zertifizierungsstress

Software muss sich kontinuierlich weiterentwickeln. Sicherheitslücken, regulatorische Anforderungen oder funktionale Verbesserungen machen regelmäßige Updates unverzichtbar. Gleichzeitig standen zertifizierte Produkte bislang vor einem Dilemma: Jedes Update konnte eine erneute Konformitätsprüfung erforderlich machen – mit entsprechendem Zeit- und Kostenaufwand.

Mit der Technischen Richtlinie BSI TR-03185 „Sicherer Software-Lebenszyklus“ schafft das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun einen neuen Ansatz. Die TÜVIT bietet ab sofort Audits nach dieser Richtlinie an und unterstützt Hersteller dabei, Sicherheitsupdates schneller und regelkonform bereitzustellen – ohne die Sorge vor unnötigen Re-Zertifizierungen.

Vom Produkt zur Prozesssicherheit: Ein Paradigmenwechsel

Bisher war eine Zertifizierung grundsätzlich an eine konkrete Produktversion gebunden. Jede Änderung – auch ein sicherheitskritischer Patch – konnte dazu führen, dass die geprüfte Version nicht mehr als konform galt. Gerade dort, wo Sicherheitslücken kurzfristig geschlossen werden müssen, entstand ein klarer Zielkonflikt.

Das neue Verfahren des BSI setzt genau hier an:
Statt jede einzelne Version erneut zu prüfen, rückt die Qualität der Entwicklungs- und Änderungsprozesse in den Mittelpunkt.

Eine Zertifizierung nach TR-03185 belegt, dass:

• Sicherheitsanforderungen systematisch über den gesamten Software-Lebenszyklus umgesetzt werden
• Änderungen kontrolliert, nachvollziehbar und qualitätsgesichert erfolgen
• Updates auch nach der Auslieferung den definierten Sicherheitsstandards entsprechen

Damit können Software-Updates weiterhin als konform gelten, ohne jedes Mal ein vollständiges Re-Zertifizierungsverfahren durchlaufen zu müssen.

Besonders relevant für DiGA-Hersteller (TR-03161)

Für Hersteller von Digitalen Gesundheitsanwendungen (DiGA) ist dieser Ansatz von besonderer Bedeutung. Mit Blick auf bestehende oder geplante Zertifizierungen nach BSI TR-03161 eröffnet die TR-03185 klare Vorteile:

• Deutlich reduzierte Re-Zertifizierungs-, Maintenance- und Änderungsaufwände
• Schnellere Bereitstellung sicherheitsrelevanter Updates, auch im laufenden Betrieb
• Mehr Planungssicherheit für Weiterentwicklungen und Releases

Für betroffene Hersteller lohnt es sich, sich frühzeitig mit den Anforderungen der TR-03185 auseinanderzusetzen.

Mehrwert auch über den Gesundheitsbereich hinaus

Die TR-03185 ist nicht auf DiGA beschränkt. Alle Software-Hersteller, deren Produkte hohen Sicherheitsanforderungen unterliegen, profitieren von einer Zertifizierung:

• Nachweis eines strukturierten, sicheren Software-Entwicklungsprozesses
• Stärkung des Vertrauens bei Kunden, Partnern und Aufsichtsbehörden
• Skalierbare Grundlage für zukünftige Updates und Produktversionen

Damit wird die TR-03185 zu einem strategischen Instrument, um Sicherheit, Agilität und Compliance miteinander zu verbinden.

Mit der TR-03185 nimmt das BSI Herstellern die Sorge, dass notwendige Software-Updates zur Zertifizierungsfalle werden. Stattdessen entsteht ein moderner, prozessorientierter Sicherheitsnachweis – und genau hier setzt das neue Audit-Angebot der TÜVIT an.