Mit <kes>+ lesen

EU Cybersecurity-Act : Europäische Zertifizierungsschemata – ein Interpretationsansatz

Die Bedrohungsresistenz eines Prüfgegenstands und die diese Resistenz bestätigenden Prüfaktivitäten fundieren die Vertrauenswürdigkeit eines Zertifikats. Offene Fragen an diese beiden vom europäischen Cybersecurity Act definierten Säulen werden erörtert und zu einem Modell zusammengeführt, das die Begründung, Ausgestaltung und Bewertung von Zertifizierungsschemata unterstützen kann.

Lesezeit 14 Min.

Von Sebastian Fritsch, secuvera GmbH, und Dietmar Bremser, BSI

Gemeinhin wird Risiko definiert als Eintrittswahrscheinlichkeit eines Ereignisses beziehungsweise Sicherheitsvorfalls multipliziert mit seinem Schadensausmaß (ISO/IEC 31000 [2]) – das Schadensausmaß wird in aller Regel auf der lokalen Ebene der Schadensbeteiligten gemessen. Im EU Cybersecurity-Act (CSA [1]) wird das Risiko aber global klassifiziert, das heißt anhand eines abstrahierten Angreiferprofils und Verwendungszwecks eines Produkts, einer Dienstleistung oder eines Prozesses (EU CSA Art. 52, Abs. 1). Die Sektoren müssen dies selbst ausformulieren.

Für das Verständnis des CSA ist diese Abstraktion elementar, weil europäische Regulierung Sektoren wie die Energiebranche als sogenannte Verticals auffasst. Der CSA fordert demzufolge von den Verticals die Anwendung der „horizontalen Zertifizierungsschemata“ für die Durchführung der Sicherheitsprüfungen, anstatt dass sie jeweils ein eigenes Zertifizierungsschema entwickeln. Hinsichtlich der Vergleichbarkeit der Zertifikatsaussagen innerhalb eines solchen Schemas stehen die Sektoren auch vor der Herausforderung, die Beschreibung und Messung von Risiken untereinander zu harmonisieren. Die Nutzung der Common Criteria für die Zertifizierung von Chip-Karten entspricht dem Ziel eines horizontalen Schemas. Ungewollt wären dagegen eigene Zertifizierungsschemata für Kundenkarten jeweils für den Sektor „Bank“ und den Sektor „Elektronische Identität“.

Weil im CSA Risiken global klassifiziert, aber Eintrittswahrscheinlichkeiten und Schadensausmaße in aller Regel lokal festgestellt werden, drängt sich die Frage auf, welche konkreten Zusicherungen von den Zertifikaten eines Schemas zu erwarten sind? Während Produktprüfungen nach Common Criteria (CC) in der Stufe EAL 4 beziehungsweise AVA_VAN.3 von Anwendern unbenommen als Vertrauenswürdigkeitsstufe High respektiert werden und damit den Ausgangspunkt für die Erschaffung eines Zertifizierungsschemas darstellen können, bleibt die Ausgestaltung der Vertrauenswürdigkeitsstufen Basic und Substantial auch für weitere Zertifizierungsschemata wie Prozesse und Dienstleistungen nicht selbsterklärend.

Auch im Bereich der Produktprüfungen sind es Produkte mit abnehmender Nachhaltigkeit im Lebenszyklus, also nur mit kurzer oder gänzlich ohne Pflege, für die Zertifizierungsangebote aus den höheren Vertrauenswürdigkeitsstufen nicht in der Breite anwendbar waren.

Was heißt Basic Risk?

Die Vertrauenswürdigkeitsstufe Basic fordert eine Bedrohungsresistenz gegen „known basic risks of incidents and cyberattacks“. Die Quantifizierung des Risikos erfolgt dabei grundsätzlich in einem begrenzten Anwenderfokus oder allgemeiner für die Branche. Liegt ein allgemein akzeptiertes Wissen über die typischen Eintrittswahrscheinlichkeiten und Schadensausmaße in einer Branche beziehungsweise Vertical vor, lassen sich entsprechende Sicherheitskonzepte – das heißt Risikoanalyse und zugehörige Maßnahmen – leicht erstellen. Dazu analoge „vertikale“ Schemata sind allerdings nicht das erklärte Ziel des CSA, da so ein riesiges Geflecht an verschiedensten Schemata entstehen müsste. Ziel ist es daher, den gemeinsamen Nenner mehrerer Branchen in einem Schema zu finden.

Noch schwieriger zu verallgemeinern sind Risiken verschiedener Organisationen in einem Vertical: Das grundlegende Risiko eines mehrstündigen Ausfalls des Internetzugangs nach einem Angriff bedroht möglicherweise nicht die Existenz einer mittelgroßen Organisation, dafür aber ihren Ruf. Dagegen kann eine kleine Organisation in der gleichen Branche deswegen ernste wirtschaftliche Schäden erleiden. Organisationen müssen hier unternehmerische und sektorale Risiken wohl unterscheiden.

In diesen Fällen bietet die Analyse der Bedrohungen und der Angriffsmöglichkeiten eine Alternative, wie sie die CC als meistgenutzte Norm zur Bewertung der Cybersicherheit von Produkten anbietet. Eine Bedrohung kann in einem Folgeschritt anhand ihrer Eintrittswahrscheinlichkeit und ihres Schadensausmaßes leicht als Risiko ausgedrückt werden.

Zur Ausformulierung eines evaluierbaren Sicherheitskonzepts werden dann analog zu den CC die abzuwehrenden Bedrohungen und Anforderungen an die Produktumgebung als Sicherheitsziele formuliert. Aus den relativ abstrakt gehaltenen Zielen werden dann sehr konkrete Sicherheitsanforderungen abgeleitet, die üblicherweise in einem Lastenheft für ein IT-Produkt zu finden sind. Für die eindeutige Anforderungsbeschreibung bieten die CC eine formale Sprache.

Risikoattribution

Das eben genannte Beispiel eines ausgefallenen Internetzugangs verdeutlicht nicht nur die Herausforderung der Quantifizierung eines Risikos, sondern auch der Risikoattribution: Die Risikoattribution hilft in einem Sicherheitskonzept, Bedrohungen zu priorisieren, indem der Beitrag einer Bedrohung auf den Gesamtschaden aller Bedrohungen festgestellt wird. Dafür müssen auch die an dem Risiko beteiligten Parteien benannt werden.

Im Jahr 2016 fielen fast eine Million InternetRouter zeitweise aus. Der Schaden traf aber nicht zuerst die Hersteller der Router, sondern wegen nichtverfügbarer Internetzugänge zunächst die Verbraucher. Auch die Netzbetreiber mussten unter Zeitdruck die Fehler bei ihren Kunden beheben. Ursächlich für den Ausfall war ein undefiniertes Kommunikationsverhalten der Router, durch welches der Angreifer die Router nicht wie beabsichtigt in ein Botnet übernehmen konnte, sondern die Router zu einem ständigen Neustart zwang.

Das Beispiel zeigt deutlich, dass eine Bedrohung gegen eine Produktgruppe und in einem Nutzungsszenario völlig verschiedene Risiken für verschiedene Verticals darstellt. Es ist bei der Bestimmung des Risikoprofils eines Produkts, einer Dienstleistung oder eines Prozesses wichtig, Attribute in den Risiken zu finden, mithilfe derer die Risiken gruppiert und den Betroffenen zugeordnet werden können.

Sollten zu viele oder widersprüchliche Risikoprofile festgestellt werden, kann ein abstraktes Risikoprofil formuliert werden, das nur Bedrohungen mit einer statistischen Eintrittswahrscheinlichkeit von 100 % betrachtet. Mit dieser Wahrscheinlichkeit kann das Risiko nicht mehr akzeptiert und muss daher vollständig verhindert werden, es erübrigen sich aber extensive Risikoanalysen. Ein Zertifizierungsschema oder ein Zertifikat muss deutlich erklären, für welchen Anwendungsbereich, welches Risikoprofil und/oder welche Anwendergruppen es Zusicherungen macht. Im Sicherheitskonzept sollte außerdem deutlich werden, welche Schutzziele adressiert werden.

Entsprechend der Anforderung des CSA müsste das Sicherheitskonzept der Router zumindest eine resistente und getestete Implementierung fordern und auf Standards verweisen, welche unter anderem Anforderungen an Robustheit und Fehlerverhalten umfassen. Alternativ könnte das Sicherheitskonzept zwingende funktionale Anforderungen der Implementierung vorschreiben.

Bei der Evaluierung der Zertifizierungsschemata durch die EU-Kommission wird die Marktresonanz auf die Vertrauenswürdigkeitsstufe Basic ein interessantes Stimmungsbarometer zu Konformitätserklärungen der Hersteller (Conformity-Statements) gegenüber Drittparteien-Zertifizierungen darstellen. Da der CSA in der Stufe Basic neben Zertifizierung auch Konformitätserklärungen zulässt, ermöglichen Konformitätserklärungen eine Binnendifferenzierung des Verfahrensmodells in der Stufe Basic.

Zusammenfassend lässt sich für den vermeintlich einfachen Fall des „Known Basic Risk“ feststellen, dass sich diese in verschiedenen Branchen stark unterscheiden. Selbst wenn diese Risiken nur auf die Vermeidung öffentlich bekannt gewordener Schwachstellen abzielen, so variieren die Angriffswahrscheinlichkeit und das Schadensausmaß der Bedrohung im Kontext des jeweiligen Einsatzzwecks erheblich. Damit ist zu erwarten, dass die Adaptionen der Zertifizierungsschemata des CSA in den Branchen sehr unterschiedlich ausfallen.

Was heißt Substantial Risk?

Die Vertrauenswürdigkeitsstufe Substantial unterscheidet sich deutlich von Basic mit der Forderung zur Minimierung bekannter Risiken von Vorfällen und Angriffen, verursacht von Akteuren mit begrenzten Fähigkeiten und Ressourcen. In dieser Stufe kommt daher insbesondere die Betrachtung von bekannten Bedrohungen hinzu, also eben auch von Ereignissen, deren Eintrittswahrscheinlichkeit und Schadensausmaß nicht eindeutig gefasst oder geringer gewichtet werden.

Um Produkte, Dienste und Prozesse hinsichtlich dieser Regulierung gründlich prüfen zu können, sind sowohl die technischen Anforderungen an den Prüfgegenstand und gegebenenfalls auch an weitere unterstützende externe Teilsysteme zu spezifizieren. Eine technische Funktion kann in einer Branche beziehungsweise einem Vertical sehr unterschiedlich beschrieben sein. Deutliche Unterschiede werden sich in den Verticals beispielsweise beim Funktionsbereich der Authentisierung finden: Medizinische Geräte, die in zeitkritischen und hektischen Momenten sehr schnell zugänglich sein müssen, benötigen einen anderen Schutz als Smartphones mit ihren persönlichen Daten, die sehr oft im öffentlichen Raum
genutzt werden.

Solche Funktionen können von den Antragstellern, den Zertifikatskonsumenten und den Betreibern des Schemas festgelegt sein oder – wie vom CSA gefordert – idealerweise von den europäischen Standardisierungsorganisationen. Für die Stufe Basic wird dann gegebenenfalls eine Authentisierungs-Funktion gefordert, ohne ihre Resistenz und Eigenschaften feiner zu spezifizieren. Die Feinspezifikation der technischen Anforderungen in der Vertrauenswürdigkeitsstufe Substantial eröffnet ein ganz neues Zertifizierungsangebot – die europäischen Standardisierungsorganisationen haben sich vorgenommen, weitere Standards zu entwickeln und für Schemata anzubieten.

Erweiterte Risikobetrachtung

Darüber hinaus lassen sich Systeme und ihre Anforderungsspezifikationen kombinieren, sodass in der Stufe Substantial das Produkt, der Dienst oder Prozess zusammen mit Teilaspekten seines Lebenszyklus betrachtet werden kann, um eine erweiterte Risikobetrachtung zu ermöglichen und die effektive Reichweite des Sicherheitskonzepts zu erhöhen. Diese teilsystemische Betrachtung kann sich auf technische Systeme erstrecken, auch wenn diese nicht zum Produkt, Dienst oder Prozess gehören, aber für selbiges erforderlich sind. Beispielsweise kann neben dem „Internet-of-Things“-(IoT)-Produkt allein auch dessen Service- oder Backend-Architektur und Umsetzung in die Betrachtung einbezogen werden, was bei gemanagten IoT-Produkten einen relevanten Teil der Sicherheitskette darstellt. Ebenso kann die Risikobetrachtung Aspekte der Erstellung oder des Betriebes erfassen.

Produkte, Dienste und Prozesse, die für die Vertrauenswürdigkeitsstufe Basic lediglich resistent gegen bekannte Angriffe wie Passwortattacken oder schwache Kommunikationsverschlüsselungen sein müssen, können in die Vertrauenswürdigkeitsstufe Substantial migrieren, wenn das Sicherheitskonzept an die Verschlüsselung feiner spezifiziert oder/und weitere Teilsysteme einbezogen werden. So kann ein IoT-Produkt in Kombination mit einem Clouddienst unterschiedliche Schutzziele verfolgen, wie unter anderem den Schutz der Kommunikation, den Schutz der Kommunikationsschnittstellen oder den technischen oder organisatorischen Schutz der Daten im Backend des Cloudsystems.

Die höhere Vertrauenswürdigkeitsstufe Substantial kann zudem über die Angriffstypen oder Angreifermodelle detaillierter spezifiziert werden – technisch kann dies direkt in den Sicherheitskonzepten beziehungsweise den diesen zugrunde liegenden Standards erfolgen. Um die Angreifermodelle adäquat bei der Prüfung betrachten zu können, sind dann detaillierte Evaluierungsmethoden nötig, welche die notwendigen Prüfschritte und deren Tiefe spezifizieren. Letztlich werden erst anhand eines ausreichenden Detailgrads der Evaluierungsmethoden die Prüfergebnisse in Cybersecurity-Zertifikaten vergleichbar. Evaluierungsmethoden können verschiedene Prüfaspekte beinhalten, wie die Durchführung von Labortests oder auch die Prüfung eines Entwicklungsprozesses auf geforderte Eigenschaften.

Über diese Spezifikationen hinaus wäre die Definition generischer Angreiferprofile sinnvoll. Allerdings sind diese für den in der Stufe Substantial geforderten Nachweis der Abwesenheit allgemein bekannter Schwachstellen noch nicht der allgemein akzeptierte Stand der Technik, sondern erst für die Vertrauenswürdigkeitsstufe High.

Evaluationsaktivitäten im CSA

Neben der Bedrohungsresistenz als Zielmodell des CSA stellen Evaluationsaktivitäten einen wichtigen Baustein in einem Zertifizierungsschema des CSA dar. Zahlreiche Sicherheitsstandards formulieren derartige Zielmodelle für IKT-Produkte, -Prozesse oder -Dienste – nur wenige Standards komplementieren diese auch mit Evaluationsaktivitäten. Die folgenden Überlegungen können die Entwicklung und Einordnung von Prüfmethoden unterstützen.

Ein Zertifizierungsschema charakterisiert vier essenzielle Elemente:

  • ein Artefakt (Artifact)
  • eine Behauptung (Claim)
  • einen Beweis (Evidence)
  • eine Zusicherung (Assurance)

Das Artefakt ist der Prüfgegenstand selbst. Die Behauptung repräsentiert das Zielmodell, also die Bedrohungsresistenz des Produkts, Prozesses oder Dienstes und umfasst damit die zu erfüllenden Anforderungen und Leistungen. Sie kann auf einen bestimmten Bereich und Voraussetzungen eingeschränkt werden. Der Beweis ist ein Satz von Argumenten, welcher die Übereinstimmung der Struktur und/oder des Verhaltens des Artefakts beziehungsweise Prüfgegenstands mit dem behaupteten Zielmodell nachvollziehbar demonstriert. Die Argumente müssen die behaupteten Artefakteigenschaften abdecken. Die Zusicherung ist die Schlussfolgerung eines unparteiischen Prüfers, dass die Beweise die Behauptung zuverlässig und wiederholbar stützen. Für die Bewertung und Einordnung einer Prüfmethodik ist entscheidend, wie diese vom Prüfgegenstand auf den Beweis und später auf die Zusicherung schließt, also entweder direkt oder unter Hinzunahme weiterer relevanter Beweise. Eine direkte Ableitung des Beweises aus dem Prüfgegenstand erfordert die Parametrisierung und Validierung von Zielzuständen des Prüfgegenstands, zum Beispiel die Ausfallwahrscheinlichkeit eines Bauteils oder das Vorliegen von Zugangskontrollen. Die Übereinstimmung der Zustände des Prüfgegenstands mit denen des Zielmodells bestätigt die Behauptung; sie begründet zugleich die Zusicherung, dass dem Prüfgegenstand keine Gefahren oder Risiken inhärent sind. Allerdings ist diese Zusicherung unsystematisch, denn über das Zielmodell hinaus kann nicht allgemein auf eine Bedrohungsresistenz des Prüfgegenstands oder dessen sichere Erzeugung geschlossen werden.

Eine solche als grundlegend einzuordnende Evaluationsmethode, wie sie zum Beispiel bei der Prüfung von Prozessen üblich ist, bedarf für eine mindestens substanzielle Prüfung der Cybersicherheit in der mittleren Vertrauenswürdigkeitsstufe weiterer gewichteter Argumente zur Effektivität des Zielmodells und zur Abbildung des Zielmodells auf den Prüfgegenstand. Das bedeutet, dass die Prüfung auf weitere systemische Aspekte des Prüfgegenstands ausgeweitet wird. Diese können sein: organisatorische Maßnahmen des Herstellers, die Spezifikation des Prüfgegenstands, die Herstellungswerkzeuge, die Umsetzung von Betriebsanforderungen des Prüfgegenstands oder eine fokussierte Schwachstellenuntersuchung.

So kann das Zielmodell eines Produkts in der Vertrauenswürdigkeitsstufe Basic das Vorliegen einer Zugangskontrolle oder einer Kommunikationsverschlüsselung nach allgemeinen Regeln der Technik fordern. Die entsprechende Evaluationsmethode würde die Zugangskontrolle auf bekannte Eingaben (Brute Force), auf die Komplexität der Eingaben sowie das Verhalten bei ungültigen Eingaben prüfen. Die Kommunikationsverschlüsselung würde hinsichtlich des Ausschlusses bekannter schwacher Verschlüsselungsalgorithmen gesichtet werden.

In der Vertrauenswürdigkeitsstufe Substantial würde dann die Prüfung auf weitere systemische Teile des Prüfgegenstands und seiner Umgebung sowie auf gesicherte Praxiserfahrungen ausgedehnt: Zugangskontrollen können auf Umgehbarkeit geprüft werden, etwa durch offene Schnittstellen im Netzwerk, unzureichendes Speichermanagement oder die Erzwingung eines zugangskontrollfreien Systemzustands. Die Kommunikationsverschlüsselung wird analog auf Implementierungsschwächen geprüft, zum Beispiel bei der Initialisierung.

Die Vertrauenswürdigkeitsstufe High bezieht dann zusätzlich aktuelle wissenschaftliche Erkenntnisse in die Prüfung der Lebenszyklusphasen des Artefakts ein, zum Beispiel von der Spezifikation bis zur ersten Inbetriebnahme. Während Zusicherungen der Stufe Basic auf die Abwesenheit von Risiken in der Ausführung des Prüfgegenstands abstellen, zielen Zusicherungen ab Substantial auf die Abwesenheit von Risiken auf Systemebene ab. Auf diese Weise bildet die Evaluationsmethodik eine zweite skalierbare Säule eines Zertifizierungsschemas.

Vertrauenswürdigkeit der Evaluation

Mit steigenden Vertrauenswürdigkeitsanforderungen an die Evaluationsmethodik steht der Prüfer vor der Herausforderung, die Eignung und Systematik der Beweisführung zu begründen, also die Auswahl, Gewichtung und Bewertung der Argumente hinsichtlich des Sicherheitskonzepts des Prüfgegenstands. Darüber hinaus können Schlüssigkeit und Effektivität des Sicherheitskonzepts hinsichtlich der intendierten Bedrohungsresistenz geprüft werden.

Für die Zertifizierungsstelle ist bei der Bewertung der Zuverlässigkeit und Vertrauenswürdigkeit der Beweise auch die fachliche Kompetenz des Prüfers relevant, um die Vergleichbarkeit, Wiederholbarkeit und Widerspruchsfreiheit der Ergebnisse sicherzustellen. Die Untersuchung eines Zugangsmechanismus auf Grundlage biometrischer Merkmale unterscheidet sich erheblich von der einer Smartcard, die weitere Kenntnisse in Kryptografie oder formalen Methoden erfordert. Zudem fördern Zertifizierungsstellen die qualitative Vergleichbarkeit von Prüfverfahren und deren Durchführung durch die gegenseitige Auditierung.

In der Vertrauenswürdigkeitsstufe Basic stehen damit die grundlegenden Anforderungen an die Erfassung, Dokumentation und Organisation der Prüfergebnisse sowie an Prüfmittel im Vordergrund, wie sie aus den Standards zur Konformitätsbewertung der ISO/IEC-17000er-Serie bekannt sind. Ab der Vertrauenswürdigkeitsstufe Substantial würden weitere Kenntnisse von Prüfmethoden oder fachliche Kenntnisse über Aspekte des Prüfgegenstands erforderlich sein. Diese Kenntnisse entwickeln sich über die Zeit kontinuierlich, zum Beispiel durch eine Weiterentwicklung von Werkzeugen, oder sprungartig, zum Beispiel das Bekanntwerden von neuen Schwachstellentypen wie Meltdown oder Spectre.

Die Systematik der Beweisführung und damit die Evaluatorenkompetenz charakterisiert damit eine weitere Säule eines Zertifizierungsschemas. Damit kann ein Zertifizierungsschema anhand dreier Fragen charakterisiert und wie in Abbildung 1 schematisch dargestellt werden:

  • Wie wird die Effektivität des behaupteten Sicherheitskonzepts geprüft?
  • Mit welcher Evaluationsmethode wird vom Prüfgegenstand auf den Beweis geschlossen?
  • Ist die angewandte Evaluationsmethode für den Beweis zielführend, umfassend, widerspruchsfrei und wiederholbar, spiegelt also die Evaluationskompetenz das geforderte Evaluationsergebnis wider?

Für jede der Charakterisierungen lassen sich wie oben beschrieben Abstufungen zwischen Basic und High entwickeln. Die Komplexität oder Art eines Prüfgegenstands ist dagegen kein eigenes Klassifizierungskriterium, weil diese mittelbar über die Evaluationsmethodik erfasst wird. Für den Zertifikatskonsumenten fallen die hier wohl unterschiedenen Charakteristika „Evaluationsmethodik“ und „Evaluastionskompetenz“ im Kriterium Evaluation zusammen, weil das Zertifikat beide Eigenschaften verbrieft.

Abbildung 1

Abbildung 1: Vertrauenswürdigkeitsstufen als Drei-Achsen-Modell

Fazit

Das Konzept des CSA, eine Abstufung der mit Zertifikaten verbrieften Vertrauenswürdigkeit – und zwar relativ zum Risiko des Einsatzzweckes – vorzusehen, ist ein plausibles, aber für Zertifikatskonsumenten gleichzeitig auch komplexes Konzept. Dieser muss daher erwarten, dass die in einem Schema zertifizierten Sicherheitskonzepte durchdacht sind und dass diese die vom Schema adressierten Risiken transparent behandeln.

Orthogonal dazu steht die Prüfung des zugesagten Sicherheitskonzepts: Die beiden weiteren Dimensionen „Evaluierungsmethode“ und „Kompetenz der Evaluatoren“ steuern zum einen die Methode der Prüfung und definieren die Voraussetzungen an den Prüfer und seine notwendige Erfahrung sowie verfügbare Methoden und Techniken innerhalb der Prüfung. Insbesondere anhand der letzten beiden Dimensionen kann die Abstufung der Vertrauenswürdigkeit (Assurance) im Sinne des CSA erreicht werden. Die Zertifizierung summiert eine Aussage über alle drei Dimensionen, illustriert im vorgestellten Drei-Achsen-Modell (vgl. Abb. 1).

Jede Zertifizierung birgt die Gefahr, dass die inhaltliche Aussage hinter dem einzelnen Zertifikat und damit seine Zusicherung wenig bedeutet, wenn der Prüfrahmen unrealistisch eingeschränkt oder irrelevante Funktionalität betrachtet wird. Bei der Entwicklung und Implementierung europaweiter Zertifizierungsschemata müssen die EU-Kommission, die ENISA und die Stakeholder der Schemata höchste Sorgfalt bei der Identifikation und Bewertung der Risiken, der Auswahl der Sicherheitskonzepte mit zugehöriger Prüfmethode und geforderter Evaluatorenkompetenz anwenden, um Zertifikate ohne ausreichende inhaltliche Aussage zu vermeiden.

Dabei sind neben den Grundlagen für die Erteilung eines Zertifikats auch die effektive Beobachtung der Konformität der Zertifizierungsstellen und der Evaluatoren zu den Regeln des Schemas sowie die Sanktion von Nicht-Konformitäten erforderlich. Eine inhaltliche Herausforderung bleibt die Vergleichbarkeit von Zertifikaten zwischen Schemata in der identischen Vertrauenswürdigkeitsstufe, da diese Zertifikate ähnliche Aussagen hervorbringen.

Literatur

[1] Europäische Union, Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act), April 2019, https://eur-lex.europa.eu/eli/reg/2019/881/oj
[2] International Organization for Standardization (ISO), Risk management – Principles and guidelines, ISO 31000:2018, Februar 2018, verfügbar über https://www.iso.org/standard/65694.html

Diesen Beitrag teilen: