Zum Inhalt springen

BSZ – entdeckt, erklärt

Beschleunigte Sicherheitszertifizierung (BSZ)

Schnell, planbar, geringerer Aufwand: Die leichtgewichtige Alternative zur CC-Zertifizierung

Mit der Beschleunigten Sicherheitszertifizierung (BSZ) belegen Sie die Sicherheits­aussage Ihres IT-Produktes durch ein unabhängiges Zertifikat. Im Fokus der BSZ steht die sicherheitstechnische Robustheit Ihres IT-Pro­duk­tes. Durch eine Kombination aus Evaluierungen und Penetrationsprüfungen weisen Sie objektiv nach, dass Ihr Produkt die angegebene Sicherheitsleistung erfüllt.

Was ist die Beschleunigte Sicherheitszertifizierung (BSZ)?

Die Beschleunigte Sicherheitszertifizierung (BSZ) ermöglicht es Herstellern, die Sicherheitsaussage ihres IT-Produktes durch ein unabhängiges Zertifikat zu belegen. Die objektive Bestätigung gewährleistet dabei ein möglichst hohes Maß an Vertrauen in das IT-Gerät bei Endkund:innen.

Die BSZ ist ein Zertifizierungsverfahren des Bundesamts für Sicherheit in der Informationstechnik (BSI) und basiert auf einer Kombination aus Konformitätsprüfungen in Bezug auf die Sicherheitsleistung eines Produktes und Penetrationstests, mit denen die Wirksamkeit der technischen Sicherheitsmaßnahmen auf die Probe gestellt wird. 

Besonderheiten der BSZ

  • Ermöglicht die objektive Bestätigung der Sicherheitsaussage eines IT-Produktes durch ein Zertifikat
  • Stellt eine deutlich schnellere Alternative zu einer Zertifizierung nach den Common Criteria (CC) dar
  • Reduziert die Kommunikation auf ein Minimum, sodass eine zeitlich planbare Zertifizierungsprüfung möglich ist
  • Das BSZ-Zertifizierungsschema ist kompatibel zur französischen CSPN & wird von der ANSSI anerkannt

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin
Zu den Beratungsleistungen Kontakt aufnehmen
Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen
Zu den Prüfangeboten Kontakt aufnehmen

Häufig gestellte Fragen (FAQ)

Was Sie über die BSZ wissen müssen:

Allgemeine Netzwerkkomponenten und eingebettete IP-vernetzte Geräte:

  • IP basierte Netzwerk-Router
  • Eingebettete, vernetzte industrielle Steuergeräte
  • Mobile Handhelds für Spezialaufgaben (Programmiergeräte, Scanner etc.)

Zukünftig sind Produktkategorien mit einheitlichen Vorgaben an technisch vergleichbare Produkte angedacht, die auch eine Entscheidung der Zertifizierbarkeit konkreter Produkte vereinfachen.

Das Security Target (ST) beschreibt die Sicherheitsfunktionalität des zu evaluierenden Produktes, die Schnittstellen, das Bedrohungsmodell, die kryptographischen Mechanismen sowie die (erwartete) Umgebung des Evaluationsgegenstandes. Das Dokument muss vom Antragsteller erstellt werden. Dies ist die Hauptgrundlage für die nachfolgende Evaluation.

Der Aufbau sowie Vorgaben zum Inhalt des ST sind im AIS B1 Dokument des BSI zu finden.

Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

  • Einleitung: Kurzbeschreibung des Prüfgegenstandes.
  • Management/Executive Summary: Zusammenfassung der Ergebnisse.
  • Risikobewertung: Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
  • Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle.
  • Detaillierte Beschreibung der Schwachstellen, Abweichungen & Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
  • Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜVIT-Expert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
  • Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
  • Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
  • Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.

Die Zertifizierung hat eine Gültigkeit von 2 Jahren. In dieser Zeit verpflichtet sich der Hersteller, das Produkt auf potenziell neue Sicherheitslücken hin zu überwachen und entsprechende Updates zur Verfügung zu stellen. 

  • Security Target (ST) Dokument
  • Architekturübersicht (Betriebssystem, Hauptkomponenten, eingesetzte Bibliotheken)
  • Beschreibung des Updatemechanismus
  • Beschreibung der kryptographischen Funktionalität (Protokolle, Parameter, Bibliotheken)
  • Installationsanleitung für das Produkt (Secure User Guide)

Noch nicht fündig geworden?

Common Criteria
IT-Grundschutz
Informationssicherheit für KRITIS