MENU

Beschleunigte Sicherheitszertifizierung (BSZ)

Schnell, planbar, geringerer Aufwand: Die leichtgewichtige Alternative zur CC-Zertifizierung

Mit der Beschleunigten Sicherheitszertifizierung (BSZ) belegen Sie die Sicherheitsaussage Ihres IT-Produktes durch ein unabhängiges Zertifikat.

Im Fokus der BSZ steht dabei die sicherheitstechnische Robustheit Ihres IT-Produktes. Durch eine Kombination aus Evaluierungen und Penetrationsprüfungen weisen Sie objektiv nach, dass Ihr Produkt die angegebene Sicherheitsleistung sowie die geforderten Sicherheitsvorgaben des BSI erfüllt – schnell, planbar und mit geringem Dokumentationsaufwand.

Als anerkannte BSZ-Prüfstelle bietet TÜViT Ihnen Prüf- und Evaluierungs-leistungen an und unterstützt Sie auf dem Weg zur erfolgreichen Zertifizierung Ihres IT-Produktes.
  

In unter 3 Monaten zur IT-Sicherheitszertifizierung

Risikobasierte Prüfung durch erfahrene Penetrationstester:innen

Planbare Kosten & reduzierter Umfang an geforderten Dokumenten

Vorteile der Beschleunigten Sicherheitszertifizierung

  • Hohes Niveau an Vertrauen: Objektive Bestätigung der Sicherheitsaussage Ihres IT-Produktes durch ein Zertifikat. 
  • Leichtgewichtige Alternative zu CC: Die BSZ stellt eine deutlich schnellere Alternative zu einer Zertifizierung nach den Common Criteria (CC) dar. 
  • Belastbare Zeit- & Kostenplanung: Die BSZ verzichtet auf Schleifen im Verfahren & reduziert die Kommunikation auf ein Minimum. Das Ergebnis ist eine zeitlich planbare Zertifizierungsprüfung.  
  • Minimale Anforderungen an zu liefernde Nachweise: Der reduzierte Umfang der geforderten Dokumente hält den Aufwand für Hersteller gering.
  • CSPN-Anerkennung: Das BSZ-Zertifizierungsschema ist kompatibel zur französischen CSPN & eine gegenseitige Anerkennung ist in Vorbereitung. 
  • Auf europäische Anerkennung ausgelegt: Die Kompatibilität zum Fixed Time Ansatz (FIT CEM) bildet eine Basis für die Integration auf europäischer Ebene in zukünftige CSA-Schemata.

Beschleunigte Sicherheitszertifizierung – Ablauf der Evaluierung

Phase 1: Vorbereitung

Hauptziel der Vorbereitung ist das Review des TOE (Target of Evaluation) sowie die Erstellung und Evaluierung des ST (Security Target) durch den Hersteller bzw. die Prüfstelle. Anschließend wird der Aufwand für die Evaluierung kalkuliert.

Phase 2: Gemeinsames Kick-Off im BSI

In einem einführenden Kick-Off besprechen wir gemeinsam mit Ihnen und der Zertifizierungsstelle des BSI die Evaluierung Ihres Produktes und bestimmen den dafür benötigten Zeitrahmen sowie den dahinterstehenden Testplan. Innerhalb des Kick-Offs haben Sie die Möglichkeit noch offene Fragen zu klären und erhalten Informationen zum weiteren Testverlauf, wie beispielsweise zu bestimmten Testansätzen.

Phase 3: Evaluation & Prüfbericht

Als vom BSI anerkannte Prüfstelle evaluieren wir Ihr IT-Produkt. Das heißt, wir betrachten die Produktbeschreibung und bewerten auf Basis von Dokumentenanalysen, Konformitätsprüfungen, Penetrationstests und Kryptoanalysen, ob Ihr Produkt die versprochene Sicherheitsleistung auch in der Praxis erfüllt.

Fokus der Prüfung

Im Rahmen der Prüfung stehen vier wesentliche Fragen im Vordergrund: Ist die Installationsanleitung (Secure User Guideline) richtig? Erfüllt der Evaluierungsgegenstand die Sicherheitsvorgaben (Security Target) des BSI? Ist das zu prüfende Produkt sicher? Und: Ist die implementierte Kryptographie korrekt?

Unsere Expertinnen und Experten gehen diesen Fragen auf den Grund und überprüfen die Sicherheit Ihres IT-Produktes in Form von Penetrationstests und Angriffen mit hohem Sachverstand. Auf diese Weise kontrollieren wir, ob die zugesicherten Sicherheitsvorgaben möglicherweise unterlaufen werden können.

Gleichzeitig betrachten wir, ob die Anforderungen an das beigefügte Handbuch erfüllt sind. Dieses muss für den Anwender nachvollziehbar beschreiben, wie der Evaluationsgegenstand in den sicheren Zustand gebracht wird. Ebenso sind die Konformität mit den Sicherheitsvorgaben sowie die einwandfreie Implementierung von (kryptografischen) Algorithmen und Protokollen für die BSZ wesentlich.

Aussagekräftiger Ergebnisbericht

Zur Vorlage beim BSI fassen wir die Ergebnisse der Prüfungen für Sie in einem aussagekräftigen Ergebnisbericht zusammen. Dieser enthält unter anderem die sicherheitstechnische Beschreibung des zertifizierten Produktes, die Einzelheiten der Bewertung und Hinweise für den Anwender. Anschließend übermitteln wir das Ergebnis der Evaluation an das BSI. 

Phase 4: Abschlussinterview & Ausstellung des Zertifikats

Nachdem wir den Bericht ans BSI übersendet haben, schließt sich ein Interview an, innerhalb dessen wir den Prüfbericht entsprechend verteidigen und Rückfragen, beispielsweise zur Teststrategie oder Expertenwahl, beantworten.

Akzeptiert das BSI den Evaluation Technical Report, erhalten Sie das angestrebte Zertifikat. Damit verpflichten Sie sich gleichzeitig, das Produkt auf potenziell neue Sicherheitslücken hin zu überwachen und entsprechende Updates zur Verfügung zu stellen. Die Zertifizierung hat eine Gültigkeit von 2 Jahren.

  

Checkliste: Diese Dokumente benötigen Sie

   Sicherheitsvorgaben (ca. 10 Seiten)
   Architekturübersicht (Betriebssystem, Hauptkomponenten, eingesetzte Bibliotheken)
   Beschreibung des Updatemechanismus
   Beschreibung der kryptographischen Funktionalität (Protokolle, Parameter, Bibliotheken)
   Anleitung für sichere Konfiguration

Welche Produkte sind initial nach BSZ zertifizierbar (Beispiele)?

Allgemeine Netzwerkkomponenten und eingebettete IP-vernetzte Geräte:

  • IP basierte Netzwerk-Router
  • Eingebettete, vernetzte industrielle Steuergeräte
  • Mobile Handhelds für Spezialaufgaben (Programmiergeräte, Scanner etc.)

Zukünftig sind Produktkategorien mit einheitlichen Vorgaben an technisch vergleichbare Produkte angedacht, die auch eine Entscheidung der Zertifizierbarkeit konkreter Produkte vereinfachen.

Warum wir ein starker Partner für Sie sind

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision, IS-Beratung und Penetrationstests zertifiziert ist.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Alles aus einer Hand

Ob GAP-Analyse, Unterstützungsleistungen, CSC-Prüfung oder CSC-Zertifizierung – bei uns bekommen Sie alle Leistungen, die Sie benötigen, aus einer Hand.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.
Sie haben Fragen? Wir helfen gerne!

Gerald Krebs

Global Account Manager

+49 201 8999-411
Fax : +49 201 8999-666

g.krebs@tuvit.de

Alexander Padberg

Sales Manager

+49 201 8999-614
Fax : +49 201 8999-666

a.padberg@tuvit.de

Weitere Leistungen, die Sie interessieren könnten

Penetrationstests

Als zertifizierter IT-Sicherheitsdienstleister für Penetrationstests identifizieren wir organisatorische und technische Sicherheitslücken.
Weiterlesen
Hardware Evaluierung

Hardware

TÜViT prüft IT-Produkte gemäß anerkannter internationaler Sicherheitsstandards und führt im eigenen Hardware-Testlabor die erforderlichen Penetrationstests durch.
Weiterlesen

Software

TÜViT evaluiert im Erstellungsprozess und über den gesamten Lebenszyklus hinweg IT-Sicherheitseigenschaften von Softwareprodukten nach den Common Criteria.
Weiterlesen

Prüfungen nach BSI C5-Katalog

Weisen Sie als Cloud-Anbieter nach, dass Sie angemessene Sicherheitsmaßnahmen nach C5-Katalog getroffen haben.
Weiterlesen

Mobile Security

Schutz von mobilen Geräten und Inhalten mit dem modularen Ansatz von TÜViT: von der Analyse Ihrer Mobile-Strategie bis hin zur Prüfung Ihrer Apps.
Weiterlesen

Router-Sicherheit: BSI TR-03148

Mit der BSI TR-03148 für "Secure Broadband Router" können Sie als Hersteller belegen, dass Ihre Breitband-Router die durch das BSI definierten Sicherheitsanforderungen erfüllen.
Weiterlesen

Industrial Security

TÜViT bietet Security-Checks und Penetrationstests an, um Sicherheitsschwachstellen in Ihrer Produktionsinfrastruktur zu reduzieren.
Weiterlesen

CyberSecurity Certified (CSC)

Sie sind Hersteller eines CIoT-Produktes und möchten die Sicherheit Ihres (Smart-Home-)Gerätes durch einen unabhängigen Dritten bestätigen lassen? Dann begleiten wir Sie auf Ihrem Weg zum erfolgreichen CSC-Zertifikat.
Weiterlesen