Schnell, planbar, geringerer Aufwand: Die leichtgewichtige Alternative zur CC-Zertifizierung
Mit der Beschleunigten Sicherheitszertifizierung (BSZ) belegen Sie die Sicherheitsaussage Ihres IT-Produktes durch ein unabhängiges Zertifikat.
Im Fokus der BSZ steht dabei die sicherheitstechnische Robustheit Ihres IT-Produktes. Durch eine Kombination aus Evaluierungen und Penetrationsprüfungen weisen Sie objektiv nach, dass Ihr Produkt die angegebene Sicherheitsleistung sowie die geforderten Sicherheitsvorgaben des BSI erfüllt – schnell, planbar und mit geringem Dokumentationsaufwand.
Als anerkannte BSZ-Prüfstelle bietet TÜViT Ihnen Prüf- und Evaluierungs-leistungen an und unterstützt Sie auf dem Weg zur erfolgreichen Zertifizierung Ihres IT-Produktes.
In unter 3 Monaten zur IT-Sicherheitszertifizierung
Risikobasierte Prüfung durch erfahrene Penetrationstester:innen
Planbare Kosten & reduzierter Umfang an geforderten Dokumenten




Vorteile der Beschleunigten Sicherheitszertifizierung
- Hohes Niveau an Vertrauen: Objektive Bestätigung der Sicherheitsaussage Ihres IT-Produktes durch ein Zertifikat.
- Leichtgewichtige Alternative zu CC: Die BSZ stellt eine deutlich schnellere Alternative zu einer Zertifizierung nach den Common Criteria (CC) dar.
- Belastbare Zeit- & Kostenplanung: Die BSZ verzichtet auf Schleifen im Verfahren & reduziert die Kommunikation auf ein Minimum. Das Ergebnis ist eine zeitlich planbare Zertifizierungsprüfung.
- Minimale Anforderungen an zu liefernde Nachweise: Der reduzierte Umfang der geforderten Dokumente hält den Aufwand für Hersteller gering.
- CSPN-Anerkennung: Das BSZ-Zertifizierungsschema ist kompatibel zur französischen CSPN & eine gegenseitige Anerkennung ist in Vorbereitung.
- Auf europäische Anerkennung ausgelegt: Die Kompatibilität zum Fixed Time Ansatz (FIT CEM) bildet eine Basis für die Integration auf europäischer Ebene in zukünftige CSA-Schemata.
Beschleunigte Sicherheitszertifizierung – Ablauf der Evaluierung




Hauptziel der Vorbereitung ist das Review des TOE (Target of Evaluation) sowie die Erstellung und Evaluierung des ST (Security Target) durch den Hersteller bzw. die Prüfstelle. Anschließend wird der Aufwand für die Evaluierung kalkuliert.




In einem einführenden Kick-Off besprechen wir gemeinsam mit Ihnen und der Zertifizierungsstelle des BSI die Evaluierung Ihres Produktes und bestimmen den dafür benötigten Zeitrahmen sowie den dahinterstehenden Testplan. Innerhalb des Kick-Offs haben Sie die Möglichkeit noch offene Fragen zu klären und erhalten Informationen zum weiteren Testverlauf, wie beispielsweise zu bestimmten Testansätzen.




Als vom BSI anerkannte Prüfstelle evaluieren wir Ihr IT-Produkt. Das heißt, wir betrachten die Produktbeschreibung und bewerten auf Basis von Dokumentenanalysen, Konformitätsprüfungen, Penetrationstests und Kryptoanalysen, ob Ihr Produkt die versprochene Sicherheitsleistung auch in der Praxis erfüllt.
Fokus der Prüfung
Im Rahmen der Prüfung stehen vier wesentliche Fragen im Vordergrund: Ist die Installationsanleitung (Secure User Guideline) richtig? Erfüllt der Evaluierungsgegenstand die Sicherheitsvorgaben (Security Target) des BSI? Ist das zu prüfende Produkt sicher? Und: Ist die implementierte Kryptographie korrekt?
Unsere Expertinnen und Experten gehen diesen Fragen auf den Grund und überprüfen die Sicherheit Ihres IT-Produktes in Form von Penetrationstests und Angriffen mit hohem Sachverstand. Auf diese Weise kontrollieren wir, ob die zugesicherten Sicherheitsvorgaben möglicherweise unterlaufen werden können.
Gleichzeitig betrachten wir, ob die Anforderungen an das beigefügte Handbuch erfüllt sind. Dieses muss für den Anwender nachvollziehbar beschreiben, wie der Evaluationsgegenstand in den sicheren Zustand gebracht wird. Ebenso sind die Konformität mit den Sicherheitsvorgaben sowie die einwandfreie Implementierung von (kryptografischen) Algorithmen und Protokollen für die BSZ wesentlich.
Aussagekräftiger Ergebnisbericht
Zur Vorlage beim BSI fassen wir die Ergebnisse der Prüfungen für Sie in einem aussagekräftigen Ergebnisbericht zusammen. Dieser enthält unter anderem die sicherheitstechnische Beschreibung des zertifizierten Produktes, die Einzelheiten der Bewertung und Hinweise für den Anwender. Anschließend übermitteln wir das Ergebnis der Evaluation an das BSI.




Nachdem wir den Bericht ans BSI übersendet haben, schließt sich ein Interview an, innerhalb dessen wir den Prüfbericht entsprechend verteidigen und Rückfragen, beispielsweise zur Teststrategie oder Expertenwahl, beantworten.
Akzeptiert das BSI den Evaluation Technical Report, erhalten Sie das angestrebte Zertifikat. Damit verpflichten Sie sich gleichzeitig, das Produkt auf potenziell neue Sicherheitslücken hin zu überwachen und entsprechende Updates zur Verfügung zu stellen. Die Zertifizierung hat eine Gültigkeit von 2 Jahren.
Checkliste: Diese Dokumente benötigen Sie
Sicherheitsvorgaben (ca. 10 Seiten)
Architekturübersicht (Betriebssystem, Hauptkomponenten, eingesetzte Bibliotheken)
Beschreibung des Updatemechanismus
Beschreibung der kryptographischen Funktionalität (Protokolle, Parameter, Bibliotheken)
Anleitung für sichere Konfiguration
Welche Produkte sind initial nach BSZ zertifizierbar (Beispiele)?




Allgemeine Netzwerkkomponenten und eingebettete IP-vernetzte Geräte:
- IP basierte Netzwerk-Router
- Eingebettete, vernetzte industrielle Steuergeräte
- Mobile Handhelds für Spezialaufgaben (Programmiergeräte, Scanner etc.)
Zukünftig sind Produktkategorien mit einheitlichen Vorgaben an technisch vergleichbare Produkte angedacht, die auch eine Entscheidung der Zertifizierbarkeit konkreter Produkte vereinfachen.