BSI Forum : Beschleunigte Sicherheitszertifizierung von NoSpamProxy Server : Erfahrungsbericht über ein Pilotprojekt von BSI, secuvera und dem NoSpamProxy- Hersteller Net at Work
Die „Beschleunigte Sicherheitszertifizierung“ (BSZ) des BSI wurde zunächst für Produkte, die aus Hard- und Firmware bestehen, konzipiert. Im Rahmen der Erweiterung der BSZ um Software- und virtualisierte Produkte ist mit NoSpamProxy Server von Net at Work ein erstes Pilotprojekt durchgeführt worden. Bei NoSpamProxy handelt es sich um eine Softwarelösung – die verwendete Serverhardware und das verwendete Betriebssystem waren nicht Teil der Zertifizierung, sind aber notwendig für deren Verwendung. Nach erfolgreichem Abschluss des Projekts wurde das Zertifikat durch das BSI erteilt. Die Möglichkeit, nun Softwareprodukte regulär innerhalb der BSZ zertifizieren zu lassen, trägt zum Ziel des BSI bei, durch den Einsatz zertifizierter Produkte bei Unternehmen und Anwendern mehr Transparenz und Sicherheit zu erreichen.
Von Sebastian Fritsch, Leiter Prüfstelle für IT-Sicherheit, secuvera GmbH, Dr. Horst Joepen, Berater, Net at Work GmbH und Dr. Kai Redeker, BSI, Referat Beschleunigte Sicherheitszertifizierung, NESAS Zertifizierung.
Die BSZ des BSI war zunächst auf physische Systeme aus Hard- und Firmware, wie etwa Router und eingebettete Systeme, ausgelegt. Mit diesem Pilotprojekt wurde die BSZ nun auch auf Softwareprodukte oder virtualisierte Produkte ausgedehnt. Damit erhöhen sich die Marktrelevanz der BSZ und der Umfang an Produkten, die sich mit der BSZ abdecken lassen, erheblich.
Für Produkthersteller bietet sich damit eine attraktive Möglichkeit, sich am Markt zu positionieren. Im Vergleich zu anderen Zertifizierungsverfahren muss keine lange Vorbereitung auf die Zertifizierung durchgeführt werden. Als Hersteller des Mail-Security-Gateways NoSpamProxy erhält Net at Work mit der Zertifizierung einen unabhängigen und anerkannten Nachweis über die Sicherheit des eigenen Produkts und aktuell ein Alleinstellungsmerkmal, das speziell für öffentliche Auftraggeber von besonderer Bedeutung ist.
Mit diesem innovativen Projekt haben alle Beteiligten die Voraussetzungen für zeit- und kosteneffizient realisierbare Produktzertifizierungen geschaffen, die auch als Auswahlkriterium in Ausschreibungen relevant sind.
Besonderheiten bei der Zertifizierung von Softwareprodukten
Während bei physischen Produkten, wie beispielsweise Appliances, typischerweise das komplette Produkt als Gegenstand der Prüfung definiert wird, muss bei Softwareprodukten als Gegenstand der Prüfung das eigentliche Produkt mit seinen Sicherheitsfunktionen und -features beschrieben werden. Außerdem muss definiert sein, welche weiteren Sicherheitsleistungen von der Systemumgebung wie dem darunterliegenden Betriebssystem bereitgestellt beziehungsweise genutzt werden.
Beim physischen Produkt bezieht sich die Anleitung zur sicheren Konfiguration, englisch „Secure User Guidance“, meist nur auf das Produkt selbst. Beim Softwareprodukt ist zusätzlich die Härtung beziehungsweise Konfiguration der Umgebung (in der NoSpamProxy-Zertifizierung ist es Windows Server 2022) zu beschreiben. Diese Härtung der Umgebung muss von Anwendern durchgeführt werden, die das Produkt im zertifizierten Betrieb einsetzen wollen. Dies hat in diesem Pilotprojekt auch dazu geführt, dass durch den Hersteller ein Skript zur automatischen Härtung und sicheren Konfiguration des Betriebssystems bereitgestellt wurde. Dieses Skript kann auch Anwendern des Produkts zur Verfügung gestellt werden, sodass die entsprechende Härtung der Umgebung automatisiert durchgeführt werden kann.
Beachtenswert bei in weiten Bereichen parametrisier- und konfigurierbaren Softwareprodukten ist die potenzielle Diskrepanz zwischen der sicheren – für die BSZ festgelegten – Konfiguration und einem oft auf Kompatibilität optimierten Betrieb in der Praxis. Werden durch den Anwender beispielsweise bei kryptografischen Protokollen wie TLS noch schwache Cipher-Suites oder Keys mit kurzen Schlüssellängen genutzt, die das BSI nicht mehr als ausreichend sicher einstuft, wird der BSZ-konforme Betriebsmodus nicht erreicht.
In der Praxis führt die Forderung nach dem Betrieb im sicheren Modus gemäß BSZ vermutlich zu Diskussionen mit den IT-Administratoren. Im hier betrachteten Bereich E-Mail-Sicherheit bestätigen aktuelle Maßnahmen und verschärfte Regeln von Google und Microsoft (SPF/DKIM/DMARC) jedoch die Position des BSI. Eine wachsende Zahl zertifizierter Produkte, die entsprechend betrieben werden, kann zu einer schnelleren Durchsetzung sicherer Verfahren beitragen.
Evaluierungsprozess und „Lessons Learned“
Durch die höhere Komplexität von Softwareprodukten ergeben sich auch bei der Durchführung der Evaluierung durch das Prüflabor besondere Anforderungen, die im Prozess berücksichtigt werden müssen. So kann eine Vorprüfung durch das Prüflabor beispielsweise abprüfen, ob das Produkt den notwendigen Reifegrad für die BSZ hat und alle benötigten Dokumente zur Evaluierung vorliegen.
Auch eine Schulung beziehungsweise ein Produkt-Workshop durch den Hersteller kann zu einem verbesserten Ablauf der Evaluation führen beispielsweise um sicherzustellen, dass das zur Installation und zum Betrieb des Produkts erforderliche Know-how im Team des Prüflabors bereits vor dem Start der eigentlichen BSZ-Evaluierung aufgebaut wird.
Wichtig bei der Vorbereitung des Verfahrens ist zudem die Abstimmung zu den im Produkt implementierten kryptografischen Funktionen und Protokollen. Die Prüfstelle kann den Hersteller bei der Zusammenstellung der benötigten Dokumentation bezüglich der kryptografischen Funktionen unterstützen. So kann eine effektive und effiziente Vorbereitung des Verfahrens erfolgen.
Im Pilotprojekt entwickelte das Prüflabor für die eigentliche Evaluierung unabhängig vom Hersteller Angriffsszenarien und prüfte diese in Konformitäts- und Penetrationstests ab. Die Testfälle – sowohl Positiv- als auch Negativtests – wurden durch die Evaluatoren auf das Produkt und dessen Einsatz angepasst und soweit notwendig neu entwickelt. Die Evaluierung der Implementierung kryptografischer Funktionen erfolgte so weit wie möglich auf Sourcecode-Ebene und wurde zudem um eine gründliche praktische Prüfung ergänzt.
Um eine möglichst zügige Durchführung der Evaluierung zu gewährleisten, ist es in der BSZ vorgesehen, dass der Hersteller von Nachfragen zum Stand der laufenden Evaluierung absieht und die Prüfstelle keine Zwischenergebnisse an den Hersteller kommuniziert – nur bei wichtigen technischen Rückfragen kann sich die Prüfstelle während des Prüfprozesses an den Hersteller wenden. Im Laufe des Verfahrens hat sich herausgestellt, dass solche Rückfragen notwendig sind, um unnötigem Evaluierungsaufwand, einer Fehlbedienung und Missverständnissen vorzubeugen. Aufgrund dieser Erkenntnis wurde auch die Verfahrensbeschreibung der BSZ mit entsprechenden Hinweisen durch das BSI angepasst.
Besonders interessant waren für den Hersteller die vom Prüflabor erkannten Auffälligkeiten oder Anmerkungen, die nach entsprechender Bewertung und Priorisierung in die Produktentwicklung einfließen können und zu Produktverbesserungen führten. Insgesamt wurden vom Prüflabor während der Evaluierung 14 Auffälligkeiten benannt.
Das Prüflabor arbeitete im Pilotprojekt mit einem Team von drei Evaluatoren, der Hersteller sowie das BSI mit jeweils zwei Mitarbeitenden an dem Projekt. Die Verfügbarkeit der jeweils erforderlichen Mitarbeitenden sollte sorgfältig geplant und abgestimmt werden, da sonst erhebliche Zeitverluste zum Beispiel durch Urlaubszeiten drohen. Der für einen BSZ-Evaluierungsdurchlauf vorgesehene Kostenrahmen konnte im Pilotprojekt eingehalten werden.
Ergebnisse des Pilotprojekts
Im Rahmen des Projekts konnte festgestellt werden, dass das Produkt die Anforderungen der BSZ erfüllt:
- Es enthält die zugesicherten Sicherheitsfunktionen.
- Es erfüllt zusammen mit der spezifizierten Systemumgebung die Sicherheitsanforderungen der BSZ.
- Es verfügt über eine sichere Updatefunktion.
- Es wurden keine ausnutzbaren Schwachstellen identifiziert.
Der Hersteller Net at Work konnte nach der Veröffentlichung des Zertifikats eine sehr positive Resonanz von bestehenden Kunden und Partnern verzeichnen, aber auch von potenziellen Kunden, die sich im Auswahlprozess für ein Produkt befinden. Die BSZ-Zertifizierung wird dabei von Kunden und Partnern als ein wichtiges Entscheidungskriterium bei der Produktauswahl gesehen – ein klarer bereits jetzt messbarer Marktvorteil.
BSI, Hersteller und Prüflabor betonen, dass das Zertifikat und die Sicherheitsaussagen nur für genau die bei der Evaluierung verwendeten Versionen von Software und Systemumgebung gelten. Dies ist notwendig, da durch andere Softwareversionen oder eine veränderte Softwareumgebung ungewollt Schwachstellen für das Produkt entstehen, die während der Evaluierung nicht identifiziert werden konnten.
Dennoch überwiegt der Sicherheitsgewinn für Kunden durch regelmäßige, auch von BSI und Hersteller empfohlene Updates des Produkts und der Systemumgebung, solange sich die Softwarearchitektur des Produkts nicht grundlegend ändert. Zusätzlich geht der Hersteller mit den Auflagen des Zertifikats die Verpflichtung ein, eine Adresse für die Meldung von Sicherheitsvorfällen bereitzustellen und bekanntgewordene Sicherheitslücken im Produkt umgehend zu schließen, da das erteilte Zertifikat sonst seine Gültigkeit verliert.
Wie geht es mit der BSZ weiter?
Im Rahmen des Pilotprojekts wurden von allen Beteiligten wertvolle Erfahrungen gesammelt, die zu einem verbesserten und praxiserprobten Prozess für künftige BSZ-Verfahren führten. Net at Work ist als Hersteller von den Vorteilen der BSZ überzeugt und wird vor Ablauf des aktuellen Zertifikats, das für zwei Jahre gültig ist, eine erneute Zertifizierung anstreben.
Seitens des BSI werden eine weitere Optimierung des Prozesses angestrebt und die Anforderungen weiterentwickelt. So wird zum Beispiel bei künftigen Verfahren eine Software-Bill of Materials (SBOM) gefordert. Wie in diesem Pilotprojekt erfolgreich gezeigt, wird sich die Weiterentwicklung der BSZ auch zukünftig an Marktanforderungen orientieren.
Der Geltungsbereich „Allgemeine Netzwerkkomponenten und eingebettete IP-vernetzte Geräte“ wurde durch das BSI um Softwareanwendungen und virtualisierte Produkte erweitert. Diese Produkte können nun auch in BSZ-Evaluierungen untersucht werden. Weitere neue Anwendungsfelder für die BSZ sind unter anderem die regulierten Bereiche der Energiewirtschaft, im Gesundheitssektor sowie für netzseitige 5G-Mobilfunktechnik.
Impressum
Redaktion:
Katrin Alberts (verantwortlich), Brigitte Hoffmann
E-Mail: katrin.alberts@bsi.bund.de
Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat Öffentlichkeitsarbeit
Postfach 20 03 63
53133 Bonn
Hausanschrift:
Godesberger Allee 185–189
53175 Bonn
Telefon: +49 228 999582-0
Telefax: +49 228 999582-5455
Web:www.bsi.bund.de
Das BSI-Forum, Organ des Bundesamtes für Sicherheit in der Informationstechnik in Bonn, ist Bestandteil der <kes> – Die Zeitschrift für Informations-Sicherheit Die Beiträge der einzelnen Autoren spiegeln deren persönliche Meinung wider, die nicht unbedingt der Position des BSI entsprechen muss. 32. Jahrgang 2024