Beschleunigte Sicherheitszertifizierung
Seit dem 1. Oktober 2021 bietet das BSI eine neue Produktsicherheitszertifizierung an. Was die „Beschleunigte Sicherheitszertifizierung“ (BSZ) ist, wie sie entstand und was in Zukunft, auch auf europäischer Basis, mit diesem neuartigen Zertifizierungsverfahren möglich sein wird, beleuchtet dieser Artikel.
Von Dr. Helge Kreutzmann und Dr. Kai Redeker, BSI
Die Sicherheitszertifizierung von IT-Produkten ermöglicht es Herstellern, die Sicherheitsaussage ihres Produkts durch ein unabhängiges Zertifikat bestätigen zu lassen, und bietet somit potenziellen Produktnutzerinnen und -nutzern eine unabhängige Aussage zu den Sicherheitsleistungen des Produkts.
Für eine Sicherheitszertifizierung eines IT-Produkts arbeiten drei Parteien zusammen: der Antragsteller, normalerweise ein Hersteller oder Vertreiber eines Produkts, das zertifiziert werden soll, eine Prüfstelle für IT-Sicherheit, die das Produkt untersucht, und die Zertifizierungsstelle, die das Verfahren begleitet und für die Vergleichbarkeit sorgt.
Im Allgemeinen ist der Ablauf eines Zertifizierungsverfahrens dann wie folgt: Der Hersteller liefert zusätzlich zum Produkt eine Beschreibung von dessen Sicherheitsleistungen sowie weitere Dokumentation und Nachweise zum Produkt. Er beauftragt dann eine Prüfstelle und beantragt die Zertifizierung bei der Zertifizierungsstelle. Sowohl die Prüfstelle als auch die Zertifizierungsstelle überprüfen nun, ob das Produkt sich für eine Zertifizierung eignet.
Ist das der Fall, prüft die Prüfstelle, ob das Produkt die zugesagten Sicherheitsleistungen erfüllt – dieser Vorgang wird Evaluierung genannt. Umfang und Methodik der Evaluierung hängen stark vom gewählten Zertifizierungsschema ab. Anschließend unterrichtet die Prüfstelle die Zertifizierungsstelle über die Ergebnisse der Evaluierung; und diese entscheidet schließlich, ob das Produkt ein Zertifikat erhält.
Diesem Ansatz folgend bietet das BSI schon seit über 30 Jahren die IT-Sicherheitszertifizierung von Produkten an. Hier ist insbesondere die Zertifizierung nach Common Criteria (CC) im BSI zu erwähnen. Die ausgestellten CC-Zertifikate des BSI genießen ein hohes Ansehen und sind durch internationale Anerkennungsabkommen weit über Deutschland hinaus gültig.
Abbildung 1 – Signet der BSZ: Dieser Turm steht für die „Beschleunigte Sicherheitszertifizierung“ im BSI und ist sowohl auf der Zertifikatsurkunde als auch im Zertifizierungsbutton auf zertifizierten Produkten abgebildet – er hilft, BSZ-zertifizierte Produkte schnell zu erkennen.
Ein neues Konzept
Trotz des Erfolgs der Zertifizierung nach CC gibt es noch große IT-Bereiche, in denen keine oder nur sehr wenige Produkte ein Sicherheitszertifikat erlangen. Hier ergänzt die BSZ das Zertifizierungsportfolio des BSI und schafft ein zusätzliches Angebot: Sie richtet sich an Hersteller von Produkten, die derzeit vor der CC-Zertifizierung nicht angesprochen werden – genauer an jene, die zwar den Nachweis der hohen Sicherheit benötigen, aber nicht die umfangreichen und systematischen Prüfungen der CC.
Die BSZ verfolgt konsequent das Ziel, planbare Evaluierungslaufzeiten zu ermöglichen und den Aufwand für den Produkthersteller – besonders im Bereich der Dokumentation – überschaubar zu halten.
Die Planbarkeit wird dadurch erreicht, dass vor Beginn der Evaluierung ein fester Zeitrahmen festgelegt wird: Er liegt zwischen minimal 15 und maximal 60 Personentagen und wird je nach Komplexität und Umfang des Produkts individuell festgelegt. Zusätzlich wird während der Evaluierung auf Kommunikations- und Verbesserungsschleifen am Produkt verzichtet. Die Evaluierung selbst folgt einem risikogetriebenen Ansatz und wird durch erfahrene IT-Sicherheitsexpertinnen und Penetrationstester durchgeführt. Diese Evaluatoren setzen ihre Erfahrung und ihr Expertenwissen ein, um den begrenzten Zeitrahmen bestmöglich zu nutzen. Damit wird ein hohes Niveau an Vertrauen in die Sicherheitsaussagen geschaffen.
Der Aufwand für den Produkthersteller ist bewusst gering gehalten. Die BSZ benötigt nur wenige und auch im Umfang überschaubare Dokumente vom Hersteller. Als erstes wird das Dokument „Sicherheitsvorgaben“ (Security Target, ST) gefordert, ein relativ kurzes Dokument von circa 10 Seiten, in dem Einsatzumgebung und Sicherheitsfunktionen des Produkts beschrieben werden. Die Sicherheitsvorgaben bilden nicht nur die Basis der Zertifizierung, sondern richten sich auch explizit an Produktnutzerinnen und -nutzer. Dafür muss das Dokument in natürlicher Sprache und für die typischen Nutzer verständlich formuliert sein. Für die Evaluierung werden zusätzlich ein abstrakter Überblick über die Architektur des Produkts sowie eine kurze Beschreibung, wie der Updatemechanismus funktioniert, benötigt. Des Weiteren wird eine Anleitung gefordert, wie das Produkt von einem typischen Nutzer sicher in Betrieb genommen wird. Und schließlich wird, sofern gegeben, eine Liste der im Produkt enthaltenen kryptografischen Mechanismen (ggf. inklusive Quellcode) gefordert. Auf weitere Dokumente oder Herstellernachweise, zum Beispiel über vom Hersteller selbst durchgeführte Tests oder eine detaillierte Beschreibung der Architektur, wird hier verzichtet. Entwicklungs- und Lebenszyklusprozesse der Produkte werden in der BSZ nicht betrachtet.
Ablauf der BSZ
Ein BSZ-Verfahren ist in fünf Phasen unterteilt und läuft in der Regel wie folgt ab:
- Zunächst bereitet der Antragsteller die wenigen benötigten Dokumente vor – außerdem muss der Antragsteller eine vom BSI anerkannte Prüfstelle beauftragen, das Produkt im Verfahren zu prüfen.
Nun können der Antrag und alle zugehörigen Dokumente bei der Zertifizierungsstelle des BSI eingereicht werden. Dann prüfen sowohl die Zertifizierungsstelle als auch die Prüfstelle die Dokumente, um festzustellen, ob diese, und damit das Produkt, die Voraussetzungen für ein BSZ-Verfahren erfüllen und eine Evaluation möglich ist.
Ist dies der Fall, wird als nächster Schritt eine Auftaktbesprechung angesetzt: Hier werden die Prüfung des Produkts diskutiert, der Prüfaufwand inklusive fixer Zeitplanung festgelegt und alle offenen Punkte geklärt. - Anschließend beginnt die Evaluierung des Produkts – ab diesem Zeitpunkt sind keine Änderungen an Produkt oder Dokumentation mehr möglich. Zunächst wird geprüft, ob das Produkt – gegebenenfalls unter Zuhilfenahme der mitgelieferten Installationsanleitung – sicher in Betrieb genommen werden kann. Danach wird durch Konformitätstests überprüft, ob das Produkt die angegebene Sicherheitsleistung und die technischen Mindestanforderungen der BSZ tatsächlich erfüllt. Des Weiteren wird explizit geprüft, ob es einen sicheren Mechanismus gibt, mit dem Updates aufgespielt werden können. Es folgen Penetrationstests, um die tatsächliche Wirksamkeit der technischen Sicherheitsmaßnahmen beziehungsweise Sicherheitsleistung zu bewerten. Schließlich werden die im Produkt verwendeten kryptografischen Funktionen und Verfahren auf typische Implementierungsfehler überprüft. Die Prüfstelle dokumentiert die durchgeführten Tests, Ergebnisse sowie Bewertungen. Daraus erstellt sie einen zusammenfassenden Evaluierungsreport, der auch eine Empfehlung enthält, ob ein Zertifikat für das Produkt erteilt werden soll und übersendet diesen an die Zertifizierungsstelle.
- Nach der Evaluierung findet das Abschlussinterview statt: Hier berichtet die Prüfstelle der Zertifizierungsstelle ausführlich über die Evaluierung und die Ergebnisse. Die Zertifizierungsstelle hinterfragt, auch basierend auf dem Evaluierungsreport, kritisch das Vorgehen der Prüfstelle und die Bewertung der Untersuchungsergebnisse. Abschließend fällt die Zertifizierungsstelle unter Berücksichtigung der Empfehlung der Prüfstelle die Entscheidung, ob das Zertifikat erteilt wird.
- Erst jetzt wird der Antragsteller über die Prüfungsergebnisse und die Entscheidung informiert.
Im Falle einer positiven Entscheidung erhält der Antragsteller das Zertifikat zur Verwendung. Ein BSZ-Zertifikat ist in der Regel zwei Jahre lang gültig. Für die Erteilung eines Zertifikats muss der Hersteller zusichern, für die Laufzeit des Zertifikats Sicherheitsaktualisierungen für das zertifizierte Produkt bereitzustellen und auf Schwachstellenmeldungen Dritter innerhalb einer festen Zeitspanne angemessen zu reagieren. Bei negativem Ausgang der Evaluierung erhält der Antragsteller durch den Ergebnisbericht eine gute Übersicht über die gefundenen Probleme. Je nach Umfang der Probleme ist nach deren Behebung ein neues Verfahren mit einer stark verkürzten Evaluierung möglich. Die Option eines verkürzten Verfahrens besteht, je nach Umfang der Änderungen, auch bei einer Rezertifizierung nach einer Aktualisierung des Produkts.
Von der Idee zur BSZ
Doch wie entstand die BSZ und kam zu ihrer heutigen Form? Vor etwas mehr als 10 Jahren stand die französische Partnerbehörde des BSI, die Agence nationale de la sécurité des systèmes d‘information (ANSSI) vor dem Problem, dass nur ein kleiner Bruchteil der Hersteller das bestehende Angebot der Common-Criteria-Zertifizierung nutzte, gleichzeitig aber ein größerer Bedarf nach zertifizierten Produkten bestand. Daraufhin entwickelte die dortige Zertifizierungsstelle in einem mehrjährigen Prozess die Certification de sécurité de premier niveau (CSPN). Das Ziel bestand darin, vom Hersteller nur minimalen Aufwand zu verlangen und die Prüfung auf die Teile zu reduzieren, die am meisten zur Sicherheitsaussage beitragen.
Durch den engen deutschfranzösischen Austausch konnte das BSI das Potenzial dieses Konzepts auch für den deutschen Markt erkennen. In einer Machbarkeitsstudie des BSI wurde dann durch drei Sicherheitsfirmen ein CSPN-ähnlicher Prozess parallel für das gleiche Produkt durchlaufen: Eine CSPN-Prüfstelle, eine deutsche CC-Prüfstelle und eine deutsche Firma mit großer Erfahrung im Penetrationstesten untersuchten den gleichen Router. Die Firmen bekamen große Freiheiten und gelangten dennoch alle zu einem vergleichbaren Prüfergebnis. Daraufhin beschloss das BSI, die BSZ für den deutschen Markt aufzubauen.
In einer ersten Phase wurden dazu die Ergebnisse der Machbarkeitsstudie ausgewertet und auch zukunftsweisende Konzepte wie die Update-Verpflichtung formuliert. Auch im Austausch mit den französischen Partnern entstand daraus die Schemadokumentation, die zudem technische Mindestanforderungen an die Produkte formuliert, sowie die Anforderungen an die Prüfung der kryptografischen Mechanismen, die nicht Teil der Machbarkeitsstudie war. Schließlich standen in den letzten zwei Jahren dann die erfolgreiche Erprobung in mehreren Pilotverfahren, der Personalaufbau und die Einarbeitung der zukünftigen Zertifiziererinnen und Zertifizierer im Vordergrund.
Europäische Perspektive
Im Rahmen dieser Entwicklung zeichnete sich schnell ab, dass ein rein nationaler Fokus den Marktbedürfnissen nicht gerecht werden würde. Zum einen gaben international aktive Marktteilnehmer die Rückmeldung, dass sie sich eine Anerkennung der Zertifizierung auch außerhalb Deutschlands sehr wünschen würden. Zum anderen tauchten auch in anderen europäischen Ländern ähnliche Zertifizierungen wie die BSZ auf, beispielsweise LINCE (Certificación Nacional Esencial de Seguridad) in Spanien oder die BSPA (Baseline Security Product Assessment) in den Niederlanden (vgl. Abb. 2). Und sogar ein europäisches Entwicklungsprojekt am Joint-Research-Centre in Ispra für ein zukünftiges Schema im Bereich industrieller Automatisierungs- und Steuerungssysteme bediente sich für eine Machbarkeitsstudie der CSPN als Konzept (durchgeführt auch außerhalb Frankreichs). Damit war offensichtlich, dass zumindest ein europäischer Bedarf vorhanden ist.
Das BSI begegnet dieser Entwicklung auf zweierlei Weise. Zum einen wurde im ersten Schritt eine gegenseitige Anerkennung der Zertifikate zwischen Frankreich und Deutschland entwickelt. Das „Mutual Recognition Agreement“ ist derzeit sowohl in Frankreich als auch in Deutschland in der formalen Freigabe und kann hoffentlich innerhalb der nächsten Monate in Kraft treten.
Die „Fixed Time Cybersecurity Evaluation“
Um dieser Art von Zertifizierung eine europäische Dimension zu geben, wurde zum anderen parallel zum Aufbau der BSZ auch die Entwicklung einer europäischen Norm für eine gemeinsame Evaluationsmethodologie angestoßen. Alle derzeit existierenden Zertifizierungen dieser Art basieren auf ähnlichen, aber leicht verschiedenen Dokumenten der beteiligten Organisationen statt auf einer einheitlichen, von Experten konsensual verabschiedeten Norm.
Um dies zu ändern, wurde in der zweiten Jahreshälfte 2019 im Gremium CEN/CENELC JTC 13 WG 3 der Normungsantrag fachlich vorbereitet und in die europäische Abstimmung gegeben. Die eigentliche Arbeit unter Leitung eines BSI-Editors begann dann Anfang 2020: In einer Reihe von rein virtuellen Sitzungen und Kommentierungsrunden entstand bis Weihnachten 2020 der Entwurfstext. Nach geringen Verzögerungen fand die Abstimmung für den Normentwurf der EN 17640 im Sommer 2021 statt. Am 1. Oktober stand dann das europaweite Abstimmungsergebnis fest: Zustimmung. Nach der Behandlung aller Kommentare Anfang November sollte nun einer Veröffentlichung in der ersten Jahreshälfte 2022 nichts mehr entgegenstehen.
Der Name „Fixed Time Cybersecurity Evaluation Methodology“ (FIT CEM) deutet den Markenkern, die Evaluierung mit festem Zeitaufwand, bereits an. Allerdings kopiert diese Norm nicht nur einfach die bestehenden Konzepte, sondern erweitert sie auf eine flexible Weise, um die Grundlage für zukünftige europäische Zertifizierungsschemata gemäß Cyber Security Act (CSA) [1] werden zu können. Dazu spezifiziert sie Evaluierungsarbeitsaufgaben für alle Vertrauenswürdigkeitsstufen („niedrig“, „mittel“ und „hoch“) und gibt auch Hinweise, wie die EN 17640 für eine Selbstbewertung verwendet werden kann.
Durch die Parametrisierbarkeit ist es damit sowohl möglich, ein „horizontales“ (für viele Produktgruppen geeignetes), dediziertes FIT-CEM-Schema zu entwickeln, als auch die FIT CEM in anderen zukünftigen (vertikalen) Schemata, wie beispielsweise für die industriellen Steuersysteme, einzusetzen. Um dies zu unterstützen, erfolgen parallel zum Freigabeprozess der Norm auch Arbeiten an neueren Konzepten – zum Beispiel zur Integration von Audits oder für das Zusammenspiel bei der Integration bereits zertifizierter Komponenten (sog. Composition).
Auf dieser Grundlage wird in 2022 die BSZ auf nationaler Ebene Fahrt aufnehmen und es kann auch der Aufbau der europäischen FIT CEM als CSA-Schema beginnen.
Zum Start richtet sich die BSZ an Hersteller von Netzwerkkomponenten und eingebetteten IP-vernetzten Geräten (z. B. Router). Derzeit bewertet und erschließt das BSI weitere mögliche Geltungsbereiche für die BSZ, wie Komponenten in 5G-Telekomunikationsnetzen. Perspektivisch ist geplant, die BSZ als nationale Realisierung zu positionieren, sobald ein europäisches FIT-CEM-CSA-Schema etabliert wird.
Literatur
[1] Bernd Kowalski, Matthias Intemann, Tobias Mühlenbruch, Bedeutung des Cybersecurity Acts für die IT-Sicherheitszertifizierung in Deutschland und Europa, DuD 4/2021
[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), Beschleunigte Sicherheitszertifizierung, Portalseite,
www.bsi.bund.de/bsz
Abbildung 2: Die BSZ und ähnliche Zertifizierungsschemata in Europa: BSPA (NL), CSPN (FR) und LINCE (ES)