Beschleunigte Sicherheitszertifizierung (BSZ)

Haben Sie Fragen oder Anmerkungen? Kontaktieren Sie uns!

Schnell, planbar, geringerer Aufwand: Die leichtgewichtige Alternative zur CC-Zertifizierung

Mit der Beschleunigten Sicherheitszertifizierung (BSZ) belegen Sie die Sicherheits­aussage Ihres IT-Produktes durch ein unabhängiges Zertifikat.

Im Fokus der BSZ steht dabei die sicherheitstechnische Robustheit Ihres IT-Pro­duk­tes. Durch eine Kombination aus Evaluierungen und Penetrationsprüfungen weisen Sie objektiv nach, dass Ihr Produkt die angegebene Sicherheitsleistung sowie die geforderten Sicherheitsvorgaben des BSI erfüllt – schnell, planbar und mit geringem Dokumentationsaufwand.

Als anerkannte BSZ-Prüfstelle bietet TÜVIT Ihnen Prüf- & Evaluierungs­leis­tungen an und unterstützt Sie auf dem Weg zur erfolgreichen Zertifizierung Ihres IT-Produktes.
  

  In unter 3 Monaten zur IT-Sicherheitszertifizierung

Dank planbarer Evaluierungslaufzeiten & reduziertem Aufwand stellt die BSZ eine deutlich schnellere Alternative zur CC-Zertifizierung dar. 
 

  Risikobasierte Prüfung durch erfahrene Penetrationstester:innen

Unsere erfahrenen IT-Sicherheitsexpert:innen überprüfen die Sicherheit Ihres IT-Produktes in Form von Penetrationstests & Angriffen mit hohem Sachverstand. 
 

  Planbare Kosten & reduzierter Umfang an geforderten Dokumenten

Der geringere Umfang der zu erstellenden Dokumente senkt den Aufwand auf Herstellerseite & ermöglicht eine zeitlich planbare Zertifizierungsprüfung. 
 

Beschleunigte Sicherheitszertifizierung (BSZ) Beschleunigte Sicherheitszertifizierung (BSZ) Beschleunigte Sicherheitszertifizierung (BSZ) Beschleunigte Sicherheitszertifizierung (BSZ)
Was ist die Beschleunigte Sicherheitszertifizierung (BSZ)? Was ist die Beschleunigte Sicherheitszertifizierung (BSZ)? Was ist die Beschleunigte Sicherheitszertifizierung (BSZ)? Was ist die Beschleunigte Sicherheitszertifizierung (BSZ)?

Was ist die Beschleunigte Sicherheitszertifizierung (BSZ)?

Die Beschleunigte Sicherheitszertifizierung (BSZ) ermöglicht es Herstellern, die Sicherheitsaussage ihres IT-Produktes durch ein unabhängiges Zertifikat zu belegen. Die objektive Bestätigung gewährleistet dabei ein möglichst hohes Maß an Vertrauen in das IT-Gerät bei Endkund:innen.

Die BSZ ist ein Zertifizierungsverfahren des Bundesamts für Sicherheits in der Informationstechnik (BSI) und basiert auf einer Kombination aus Konformitätsprüfungen in Bezug auf die Sicherheitsleistung eines Produktes und Penetrationstests, mit denen die Wirksamkeit der technischen Sicherheitsmaßnahmen auf die Probe gestellt wird. 

 

Whitepaper: Beschleunigte Sicherheitszertifizierung (BSZ)

Unser englisches Whitepaper zur Beschleunigten Sicherheitszertifizierung macht Sie mit den Grundlagen der Zertifizierung vertraut, stellt Ihnen die verschiedenen BSZ-Phasen vor und geht auf die Zertifizierungsvoraussetzungen ein. 

Vorteile der Beschleunigten Sicherheitszertifizierung (BSZ)

Hohes Niveau an Vertrauen
Objektive Bestätigung der Sicherheitsaussage Ihres IT-Produktes durch ein Zertifikat. 

 

Minimale Anforderungen an zu liefernde Nachweise
Der reduzierte Umfang der geforderten Dokumente hält den Aufwand für Hersteller gering.

 

Leichtgewichtige Alternative zu CC
Die BSZ stellt eine deutlich schnellere Alternative zu einer Zertifizierung nach den Common Criteria (CC) dar.

 

CSPN-Anerkennung
Das BSZ-Zertifizierungsschema ist kompatibel zur fran­zö­si­schen CSPN & wird von der ANSSI anerkannt. 

 

Belastbare Zeit- & Kostenplanung
Die BSZ reduziert die Kommunikation auf ein Minimum. Das Ergebnis ist eine zeitlich planbare Zertifizierungsprüfung.  

 

Auf europäische Anerkennung ausgelegt
Die Kompatibilität zum Fixed Time Ansatz (FIT CEM) bildet eine Basis für die Integration auf europäischer Ebene in zukünftige CSA-Schemata.

 

Unsere Leistungen im Rahmen der BSZ


Durchführung eines Pre-Pentests

Bestmöglich auf die BSZ vorbereitet: Noch vor Be­ginn der eigentlichen Eva­lu­ie­rung bewerten unsere Expert:innen die Wirksamkeit & Voll­stän­dig­keit der implementierten Sicher­heits­maß­nahmen, zeigen kon­kre­te Risiken auf & schlagen geeignete Maß­nahmen zur Beseitigung der identifizierten Schwach­stellen vor.
 


Review der Sicherheitsvorgaben

Vor der Evaluationsphase empfehlen wir als ersten grundlegenden Schritt die Erstellung & Überprüfung des Security Targets (ST). Das ST ist ein Dokument, das u.a. die Sicherheitsfunktionalität, die Schnitt­stel­len, das Bedrohungsmodell & die krypto­gra­phi­schen Mechanismen beschreibt. Das Dokument wird vom Antragssteller erstellt.

Unsere Expert:innen nehmen auf Wunsch eine Vorqualifizierung des ST-Dokumentes vor, geben Feedback dazu, ob das IT-Produkt evaluiert werden kann, & übernehmen die Abstimmung mit dem BSI.
 


Evaluierung des IT-Produktes nach BSZ

Die Prüfung Ihres IT-Produktes erfolgt in 4 Phasen: 

  • Konformität zu den Sicherheitsvorgaben (ST)
  • Penetrationstests zur Robustheitsprüfung
  • Korrektheit der Installationsanleitung
  • Analyse der implementierten Kryptographie

Neben den automatisierten Analyse- & Angriffs­techniken führen unsere IT-Sicherheitsexpert:innen immer auch manuelle Untersuchungen durch. 

Beschleunigte Sicherheitszertifizierung – Ablauf der Evaluierung

Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Vorbereitung Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Vorbereitung Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Vorbereitung Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Vorbereitung

1. 

Vorbereitung

Review des TOE (Target of Evaluation) sowie Erstellung & Evaluierung des ST (Security Target). Anschließende Kalkulation des Evaluationsaufwandes.

Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Gemeinsames Kick-Off im BSI Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Gemeinsames Kick-Off im BSI Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Gemeinsames Kick-Off im BSI Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Gemeinsames Kick-Off im BSI

2. 

Gemeinsames Kick-Off im BSI

Besprechung der Evaluierung Ihres Pro­duktes, Bestimmung des be­nö­tig­ten Zeit­rahmens sowie des dahinter­steh­enden Testplans & Klärung von Fragen.

Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Evaluation & Prüfbericht Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Evaluation & Prüfbericht Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Evaluation & Prüfbericht Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Evaluation & Prüfbericht

3. 

Evaluation & Prüfbericht

Betrachtung der Produktbeschreibung & Bewertung der Sicherheitsleistung Ihres Produktes auf Basis von Do­ku­men­ten­ana­lysen, Kon­for­mi­täts­prü­fun­gen, Pe­n­tests & Kryp­to­ana­lysen.

Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Abschlussinterview & Ausstellung des Zertifikats Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Abschlussinterview & Ausstellung des Zertifikats Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Abschlussinterview & Ausstellung des Zertifikats Ablauf Beschleunigte Sicherheitszertifizierung (BSZ): Abschlussinterview & Ausstellung des Zertifikats

4. 

Abschlussinterview &
Ausstellung des Zertifikats

Abschließendes Interview, in dem wir den Prüfbericht gegenüber dem BSI ver­tei­digen. Akzeptiert das BSI diesen, wird das Zertifikat ausgestellt. 

  

Checkliste: Diese Dokumente benötigen Sie

   Security Target (ST) Dokument

   Architekturübersicht (Betriebssystem, Hauptkomponenten, eingesetzte Bibliotheken)

   Beschreibung des Updatemechanismus

   Beschreibung der kryptographischen Funktionalität (Protokolle, Parameter, Bibliotheken)

   Installationsanleitung für das Produkt (Secure User Guide)

Häufig gestellte Fragen (FAQ):

Welche Produkte sind initial nach BSZ zertifizierbar (Beispiele)?

Allgemeine Netzwerkkomponenten und eingebettete IP-vernetzte Geräte:

  • IP basierte Netzwerk-Router
  • Eingebettete, vernetzte industrielle Steuergeräte
  • Mobile Handhelds für Spezialaufgaben (Programmiergeräte, Scanner etc.)

Zukünftig sind Produktkategorien mit einheitlichen Vorgaben an technisch vergleichbare Produkte angedacht, die auch eine Entscheidung der Zertifizierbarkeit konkreter Produkte vereinfachen.

Wie ist der Abschlussbericht aufgebaut?

Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

  • Einleitung: Kurzbeschreibung des Prüfgegenstandes.
  • Management/Executive Summary: Zusammenfassung der Ergebnisse. 
  • Risikobewertung: Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
  • Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle. 
  • Detaillierte Beschreibung der Schwachstellen, Abweichungen & Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
  • Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜVIT-Expert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
  • Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
  • Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
  • Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.
Welche Informationen enthalten die Sicherheitsvorgaben (Security Target)?

Das Security Target (ST) beschreibt die Sicherheitsfunktionalität des zu evaluierenden Produktes, die Schnittstellen, das Bedrohungsmodell, die kryptographischen Mechanismen sowie die (erwartete) Umgebung des Evaluationsgegenstandes. Das Dokument muss vom Antragsteller erstellt werden. Dies ist die Hauptgrundlage für die nachfolgende Evaluation.

Der Aufbau sowie Vorgaben zum Inhalt des ST sind im AIS B1 Dokument des BSI zu finden.

Wie lange ist das Zertifikat gültig?

Die Zertifizierung hat eine Gültigkeit von 2 Jahren. In dieser Zeit verpflichtet sich der Hersteller, das Produkt auf potenziell neue Sicherheitslücken hin zu überwachen und entsprechende Updates zur Verfügung zu stellen. 

Warum wir ein starker Partner für Sie sind

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision, IS-Beratung und Penetrationstests zertifiziert ist.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

 

Sie haben Fragen? Wir helfen gerne!

  

Alexander Padberg

Sales Manager

+49 201 8999-614
a.padberg@tuvit.de

Gerald Krebs

Global Account Manager

+49 201 8999-411
g.krebs@tuvit.de