Zertifizierung und Zulassung in der Datenverarbeitung - Zwei Sichtweisen auf geprüfte Sicherheit
Beschäftigt man sich mit der Entwicklung und dem Einsatz von Sicherheitsprodukten, so wird man in diesem Zusammenhang zwangsläufig auf die Begriffe der „Zertifizierung“ und der „Zulassung“ einer solchen Lösung stoßen.
Oft werden die beiden Begriffe synonym verwendet, um einen Qualitätsanspruch in der Anforderung oder in der Umsetzung zu unterstreichen. Im Detail gibt es allerdings einige Unterschiede, die im Folgenden dargestellt werden sollen.
Zertifizierung nach einem Standard
Eine Zertifizierung erfolgt gegenüber den Vorgaben und Anforderungen eines definierten Standards, ist also eine Konformitätsbetrachtung. Prägnante Beispiele sind die „Common Criteria“ oder auch die FIPS-140-2 (ISO/IEC 19790).
Die Sicherheitslösung wird dabei einer formalisierten Evaluierung entsprechend der dem Standard zugrundeliegenden Methodik unterworfen. So wird bei einer Evaluierung nach „Common Criteria“ ausgehend von einer Grundannahme, einer definierten Sicherheitsleistung, deren Umsetzung durch die Sicherheitslösung geprüft. Diese Prüfung beinhaltet nicht nur die Technik selbst, sondern auch die umgebende Design-, Prozess- und Organisationslandschaft, die zur Erstellung der Lösung eingesetzt wird.
Ein derartiges Verfahren wird in der Regel von akkreditierten Prüfstellen begleitet, das Zertifikat von einer Zertifizierungsstelle ausgesprochen. In Deutschland nimmt in Bezug auf die „Common Criteria“ das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Rolle wahr.
Im Falle eines positiven Ausgangs wird mit dem Zertifikat der untersuchten Sicherheitslösung bescheinigt, dass ihre Sicherheitsleistung konform zu den Anforderungen des Standards entwickelt und implementiert worden ist. Eine Zertifizierung (bspw. nach „Common Criteria“) besitzt internationale Gültigkeit. Sie ist gebunden an die untersuchte Produktversion.
Zulassung als Betriebserlaubnis
Eine Zulassung erlaubt den Einsatz der Sicherheitslösung bei der Verarbeitung von Informationen, die ein behördliches Schutzbedürfnis hinsichtlich ihrer Vertraulichkeit haben, vergleichbar mit einer Betriebserlaubnis für Luft-, Bahn- oder Kraftfahrzeuge.
Die Zulassung ist damit eine nationale Angelegenheit, die die Nutzung von Sicherheitsprodukten zur Verarbeitung von „amtlich geheim gehaltenen Informationen (Verschlusssachen, VS)“ eines bestimmten Geheimhaltungsgrades regelt.
Das Zulassungsverfahren selbst hat sich in den letzten Jahrzehnten von einer individuellen Begutachtung ehemals stark hardwarebasierter Lösungen hin zu einem komplexeren und formalen Verfahren entwickelt, dass nun auch stärker die Randbedingungen, unter denen die Lösung entsteht, beleuchtet. Insofern ist es nicht verwunderlich, dass sich in Deutschland die Methodik der Zulassung stark an jene der „Common Criteria“ anlehnt.
Das Verfahren wird in der Regel auch hier von akkreditierten Prüfstellen begleitet, die Zulassung vom BSI als nationaler Sicherheitsbehörde ausgesprochen. Sie ist wiederum an die untersuchte Produktversion gebunden.
Schlussfolgerung für Nutzende von Zertifizierungen und Zulassungen
Sowohl eine erfolgreiche Zertifizierung als auch eine erfolgreiche Zulassung stellen einer Sicherheitslösung ein belastbares Qualitätsurteil bezüglich der integrierten Sicherheitsleistung aus.
Nutzer von Sicherheitslösungen, die in Deutschland Verschlusssachen eines bestimmen Geheimhaltungsgrades verarbeiten, sind gesetzlich verpflichtet, vom BSI zugelassene Produkte einzusetzen. Für sie besteht keine „Wahlmöglichkeit“. Allerdings ist eine erfolgreiche Zertifizierung nach „Common Criteria“ ein Indiz, dass der Hersteller auch ein Zulassungsverfahren bestehen würde.
Für alle anderen Nutzer besteht die Möglichkeit, für die Absicherung vertraulicher Datenverarbeitung sowohl zertifizierte als auch zugelassene Lösungen einzusetzen, um sich auf diese Weise auf eine geprüfte Sicherheitsleistung abzustützen.
Die Erfahrungen der SPIRIT/21 im Einsatz von zertifizierten als auch zugelassenen Lösungen können Ihnen als unserem Kunden Hilfestellung bei derartigen Entscheidungen bieten.
Mehr erfahren
Welche Methode der Zertifikatsverteilung hat welche Vor- und Nachteile? Für welche Fälle ist jede Methode geeignet?
Erfahren Sie, wie Sie die Sicherheit Ihrer VMware-Infrastruktur auf das nächste Level heben können. In unserem informativen Blogbeitrag zur Zertifikatsverwaltung in VMware zeigen wir Ihnen Schritt für Schritt, wie Sie Zertifikate effizient verwalten und Ihre Daten vor Bedrohungen schützen. Nutzen Sie unsere Expertentipps und bewahren Sie die Integrität Ihrer virtuellen Umgebung.
SPIRIT/21 hat die ISO/IEC 27001 Audits zum dritten Mal in Folge ohne Abweichungen bestanden und ist seit Ende letzten Jahres erfolgreich re-zertifiziert.
Steffen Schmack
Senior Consultant Security
Telefon: +49 172 6296321
E-Mail: sschmack@spirit21.com
Steffen ist unser Erfahrungsträger zum Thema Sicherheit, der sich sowohl in der Theorie als auch in der Umsetzung, auf Ebene der Produkte als auch bei deren Anwendung auskennt.