1. Sicherheitsmängel können bereits im Produkt enthalten sein
   Immer mehr vernetzte Produkte sind auf dem Markt erhältlich und kommen mit immer umfangreicherer Software und komplexeren Funktionen zum Einsatz. Cyber-Angreifern stehen damit zahlreiche und immer neue potentielle Angriffsflächen zur Verfügung. IT-Sicherheit darf nicht mehr eindimensional gedacht werden, sondern muss alle Bereiche beinhalten, die mit IT in Berührung kommen und im Umgang mit Daten aktiv sind. Dies fängt bei den Produkten, also den eingesetzten Geräten und Software-Lösungen an. Das eigentlich grundlegend unsichere Produkt ist das Internet selbst, da es bei der anfänglichen Entwicklung der Computer und der zur deren Kommunikation notwendigen Netzwerktechnik weder den Begriff noch das Problem „Cybercrime“ gab. Inzwischen gibt es aber eine Vielzahl von Problemlösungen, die verschiedenste Ziele der Informationssicherheit (Integrität, Vertraulichkeit, u.s.w.) auch auf der unsicheren Ebene des Internets gewährleisten. Gerade aber in den Produkten steckt oft genug die Unsicherheit, ob solche Sicherheitslösungen korrekt implementiert und umgesetzt sind. Es lassen sich zu viele Fehler speziell in der Software finden, die man ausnutzen kann und über die man erfolgreich hacken kann. Ebenso lassen sich natürlich ungenügende Sicherheitsvorkehrungen in der Hardware oder den Betriebssystemen beliebig missbrauchen.

 

2. Produktzertifizierung ist ein Qualitätsmerkmal
   Klarheit über die Sicherheit eines Produkts kann folglich nur die Überprüfung und Bewertung eines Produkts liefern. Hier setzt die Produktzertifizierung an, die je nach Zertifizierung die vorgegeben Prüfpunkte bezogen auf das Produkt und dessen Herstellung kritisch hinterfragt, untersucht, prüft und evaluiert. Dies kann vom Design des Produkts, über Implementierung und Funktion der Sicherheitseigenschaften des Produkts bis zur Entwicklungsumgebung reichen. Eine Zertifizierung der Produktsicherheit erlaubt also eine Aussage über das Niveau der im Produkt implementierten Sicherheitscharakteristiken und deren Qualität. In Einsatzumgebungen, die dem öffentlichen Dienst oder dem Behördenumfeld angehören, sind zertifizierte Produkte wesentlich häufiger anzutreffen. Im privatwirtschaftlichen Bereich und gerade im produzierenden Gewerbe ist dagegen die Kenntnisnahme derartiger Zertifizierungen kaum ausgeprägt und entsprechende Produkte werden eher selten eingesetzt.

 

3. Die Common-Criteria-Sicherheits-Zertifizierung
   Eine weltweit anerkannte Zertifizierung für Produkte der Informationstechnik ist Common Criteria (CC). Die Kurzbezeichnung Common Criteria steht für „Common Criteria for Information Technology Security Evaluation“. Dabei handelt es sich um ein Verfahren für die technische Prüfung (Evaluierung) eines Produktes gemäß bekannter und anerkannter Sicherheitskriterien. Die Evaluierung stellt eine einheitliche Vorgehensweise und Methodik zur Bewertung des Produkts sicher. Ein positives Ergebnis eines Zertifizierungsverfahrens wird durch ein Sicherheitszertifikat bestätigt, das in Deutschland vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgestellt wird. Zu jedem zertifizierten Produkt gibt einen Zertifizierungsbericht, der zusammen mit dem Zertifikat (in der Regel) vom BSI veröffentlicht wird und der die sicherheitstechnische Beschreibung des Produkts, die Einzelheiten der Bewertung und Hinweise für den Anwender des Produkts enthält. Die Bewertung der Vertrauenswürdigkeit eines CC-zertifizierten Produkts erfolgt in verschiedenen Einstufungen, den so genannten Evaluation Assurance Levels. Diese werden üblicherweise kurz „EAL“ zusammen mit der Nummer der Stufe bezeichnet. Höhere Stufen schließen die Anforderungen der darunterliegenden Stufen ein. Die Einstufung beginnt mit dem Test der Funktionalität, beinhaltet den Test von Strukturen, methodische Tests, methodische Entwicklung und Prüfung bis hin zu einer semiformalen bzw. formalen Entwicklung und Prüfung. Der Aufwand für höhere EAL-Stufen kann bei komplexen Produkten durchaus beachtlich sein.

 

4. Beratung zur Anschaffung zertifizierter Produkte
   Produktzertifizierungen verursachen – wie bereits erwähnt – interne und externe Kosten, um das Zertifikat zu erhalten. Zertifizierte Produkte sind folglich zumeist teurer als nicht-zertifizierte Produkte. Im Gegenzug erhält man dafür ein Produkt, das nach einem standardisierten Schema überprüft und evaluiert wurde. Zur Beurteilung der Eigenschaften eines zertifizierten Produkts ist es notwendig, den Zertifizierungsbericht, das sogenannte Security Target zu verstehen und interpretieren zu können. Erst anhand dieses Dokuments kann man feststellen, ob die Zertifizierung eines Produkt den gewünschten Zweck abdeckt, welche Sicherheitseigenschaften das Produkt bietet und wie der Betrieb des Produkts zu gestalten ist. Wenn Sie zu diesem Thema Fragen haben, Beratung zu zertifizierten Produkten und deren Anschaffung wünschen, so nutzen Sie bitte die Möglichkeit hier (E-Mail-Link) mit uns Kontakt aufzunehmen.

 

5. Beratung zur Durchführung einer Produktzertifizierung
   Um eine Common-Criteria-Zertifizierung eines Produkts durchzuführen, sind etliche Dokumente zu erstellen. Des weiteren sind Kenntnisse über die formalen Anforderungen des Zertifizierungsschemas erforderlich. Wenn Sie Fragen zur Durchführung einer Zertifizierung oder Unterstützung bei der Erstellung von Dokumenten für eine Zertifizierung oder Fragen zu alternativen Produktzertifizierungen haben, so nutzen Sie bitte die Möglichkeit hier mit uns Kontakt aufzunehmen.

Ähnliche Beiträge

Unterstützung zur Implementierung sicheren Programmcodes
1. Februar 2017