Qualifiziertes Zulassungsverfahren : IT-Sicherheitsprodukte für den Geheimschutz

Von Frank Sonnenberg und Thomas Borsch, BSI

Das BSI ist gemäß § 4 Sicherheitsüberprüfungsgesetz (SÜG), §§ 51 und 52 Verschlusssachenanweisung (VSA) und § 3 BSI-Gesetz beauftragt, die Stärkung und Aufrechterhaltung der IT-Sicherheit im VS-Umfeld zu gewährleisten. Für IT-Sicherheitsprodukte, die Verschlusssachen (VS) handhaben, erteilt das BSI Zulassungen, die auf der Grundlage zuvor systematisch durchgeführter Evaluierungen jener Produkte ausgesprochen werden.

In Erfüllung dieses Auftrags steht das BSI jedoch einer tendenziell größer werdenden Herausforderung gegenüber: Die Entwicklung der IT-Sicherheit geschieht in Zeiten voranschreitender Digitalisierung in immer kürzer werdenden technologischen Innovationszyklen. Zeitgleich muss sich der bestehende kleine Markt zugelassener Produkte einer sich stets verändernden Bedrohungslage erwehren, was ihm zumindest partiell nicht mehr in angemessenem Umfang gelingt.

Die Zielrichtung zukünftigen Handelns muss daher darin bestehen, eine priorisierte, zeitnahe und bedarfsgerechte Bereitstellung zugelassener IT-Sicherheitslösungen zu gewährleisten, um so zugelassenen Produkten zu einer höheren Marktrelevanz zu verhelfen.

Um dieser Anforderung gerecht zu werden, gilt es den Bereitstellungsprozess von VS-Produkten zu analysieren und darin enthaltenes Optimierungspotenzial zu identifizieren. Im Zuge dieser Bestrebungen, die bereits während der in 2018 finalisierten VSA-Novellierung begannen, legt das BSI besonderen Wert darauf, mögliche Prozessverbesserungen nicht nur im Prüf- und Zulassungsverfahren selbst zu suchen – vielmehr lag der Lösungsansatz in einer ganzheitlichen Betrachtung aller Phasen der Zulassung.

Zulassungsverfahren sind aufgrund ihrer Komplexität grundsätzlich sehr aufwendig und zeitintensiv. Dies begründet sich besonders dadurch, dass sich die dabei angewandte Evaluierungsmethodik eng an den Common Criteria und ihrem formalen Ansatz orientiert. IT-Sicherheitsprodukte mit kurzen Innovationszyklen scheinen daher auf den ersten Blick für derartige Prüfverfahren nicht geeignet.

Insbesondere sind Softwareprodukte und mobile Kommunikationsgeräte im hohen Maße sich ständig verändernden Angriffsvektoren ausgesetzt, welche es erforderlich machen, möglichst kurzfristig wirksame Gegenmaßnahmen neu zu entwickeln und diese als zugelassene Produkte in die Verwendung zu überführen.

Die dadurch erschwerten zeitlichen Rahmenbedingungen stellen die Zulassung von VS-Produkten vor eine große Herausforderung, da die fachlich geforderten kurzen Reaktionszeiträume zum etablierten Prüfprozess konträr sind. Deshalb gilt es, die Zulassungsverfahren zukünftig effizienter, bei möglichst gleichbleibender Wirksamkeit, zu gestalten. Es muss gelingen, einerseits die Produktevaluierung zügiger durch ein optimiertes und ressourcensparendes Vorgehen zu realisieren, sowie andererseits die Wahrung der prinzipiellen Anforderungen an die Vertrauenswürdigkeit von IT-Sicherheitsprodukten und deren Überprüfbarkeit zu gewährleisten.

Um dieser Aufgabe gerecht zu werden, hat das BSI für VS-NfD-Lösungen, die einen großen Teil der Zulassungsverfahren ausmachen, einen neuen Prozess – das sogenannte „Qualifizierte Zulassungsverfahren“ – definiert, welcher den oben genannten Erwartungen vollständig Rechnung trägt.

Qualifizierte Hersteller

Der grundsätzliche Ansatz des „Qualifizierten Zulassungsverfahrens“ besteht darin, neben technischen Prüfkriterien erstmals auch die Sicherheit der Entwicklungsumgebung und Prozesse der Produkthersteller systematisch mit zu betrachten. Die Eignungsfeststellung in diesem Bereich wird mit dem Prädikat „Qualifizierter Hersteller“ zum Ausdruck gebracht. Dies ist ein im Gegensatz zu reinen Produktprüfungen zeitgemäßer Ansatz, der die IT-Sicherheit ganzheitlich und über den gesamten Lebenszyklus der Produkte betrachtet.

Mit dem im Jahr 2018 neu etablierten „Qualifizierten Zulassungsverfahren“ sollen VS-NfD-Produkte qualifizierter Hersteller effizient und dennoch effektiv einen wohldefinierten Prüfprozess durchlaufen. In diesem Zusammenhang wird unter „effizient“ und „effektiv“ die Realisierung zeitnaher Prüfergebnisse, bei optimiertem und ressourcensparendem Vorgehen beziehungsweise die Wahrung der prinzipiellen Anforderungen an die Vertrauenswürdigkeit von IT-Sicherheitsprodukten verstanden.

Um dieses Ziel zu erreichen, musste ein alternatives Vorgehen bei der Zulassung von IT-Sicherheitsprodukten definiert werden. Bis dahin beruhte die Vertrauenswürdigkeit einer Zulassungsaussage ausschließlich auf einer rein technikbasierten Evaluierung des untersuchten IT-Produktes. Um nun die zeit- und aufwandsintensiven individuellen Produktprüfungen zu reduzieren, bedurfte es einer Kompensation mittels andersgearteter, aber fachlich gleichwertiger Vertrauenswürdigkeitskriterien.

Dieser Ausgleich wird durch die Integration und Bewertung unternehmensweiter prozessorientierter Sicherheitsanforderungen realisiert. Sie umfassen in Anlehnung an die Common Criteria sämtliche Vorgaben an den gesamten Lebenszyklus eines IT-Sicherheitsproduktes von der frühen Planungsphase (Requirement), über die Entwicklung, Markteinführung, Pflege und Support (Maintenance) bis hin zur geregelten Abkündigung und der Aussonderung.

Somit stützt sich das „Qualifizierte Zulassungsverfahren“ auf folgende Vertrauenswürdigkeitsaspekte:

Vertrauenswürdige Entwicklungsprozesse und -umgebung

Ein für dieses Verfahren „Qualifizierter Hersteller“ erfüllt spezielle Anforderungen des BSI an die Entwicklung und Bewertung seiner IT-Sicherheitsprodukte. Die Anerkennung als „Qualifizierter Hersteller“ erfolgt durch das BSI auf Basis spezifischer wohldefinierter Kriterien. Dabei muss der Hersteller einerseits die Vertrautheit mit dem BSI-Zulassungsschema nachweisen, die er durch erfolgreiches Absolvieren von „Standard-Zulassungsverfahren“ erlangen konnte. Andererseits wird die Anwendung vertrauenswürdiger Prozesse und Werkzeuge in einer sicheren Entwicklungsumgebung auf Grundlage etablierter CC-Kriterien und -Methodik vom BSI bewertet und freigegeben.

Konzeptionelle Produktprüfung

Die bisher im Rahmen der Zulassung eines Produkts verwendete klassische, rein technische Evaluierung reduziert sich nun im qualifizierten Verfahren auf eine konzeptionelle Produktprüfung. Dabei handelt es sich um eine informelle aber systematische Art und Weise, die grundsätzliche Struktur und Sicherheitseigenschaften des zu bewertenden IT-Sicherheitsprodukts festzustellen.

Grundlage hierfür bilden ein Security-Target, welches das Sicherheitsproblem und alle sicherheitsrelevanten Funktionen des IT-Sicherheitsprodukts spezifiziert, eine informelle Beschreibung der Sicherheitsarchitektur, welche die grundsätzlichen Sicherheitseigenschaften des Produktes beschreibt, sowie ein informelles Kryptokonzept, das eine kompakte Darstellung der kryptografischen Abläufe und Mechanismen im Produkt bereitstellt.

Durch die verbleibende konzeptionelle Prüfung (im Gegensatz zur vollständigen technischen Prüfung bei einem Standard-Zulassungsverfahren) wird gewährleistet, dass das zuzulassende Produkt tatsächlich der grundsätzlichen IT-Sicherheitsstrategie und den IT-Sicherheitsanforderungen des BSI entspricht.

Verbindliche Herstellererklärung

Der Hersteller versichert dem BSI in einer Herstellererklärung im Rahmen einer qualifizierten Zulassung schriftlich, dass er ein Produkt gemäß der vom BSI überprüften Herstellerprozesse entwickelt und alle im Rahmen einer herkömmlichen Evaluierung erforderlichen Produktnachweise erzeugt hat sowie diese im Bedarfsfall dem BSI zur Prüfung übergeben könnte.

Reduzierter Prüfungsaufwand

Abbildung 1 veranschaulicht den Gewinn, der sich mit der Anwendung des „Qualifizierten Zulassungsverfahrens“ ergibt und sich tatsächlich durch die zahlreichen bereits durchlaufenen Verfahren bestätigt. Als erstes vorrangiges Ziel werden die Aufwände des BSI und des Produktherstellers deutlich reduziert, die sich im Rahmen von Zulassungsverfahren ergeben. Um dies zu verdeutlichen werden in Abbildung 1 die jeweiligen, am Standardverfahren normierten Aufwände im Standardverfahren, welches der klassischen VSNfD-Zulassung entspricht, Rahmen der Hersteller-Qualifizierung, welche die notwendigen Schritte in der Bewertung der Herstellerprozesse zusätzlich zum Standardverfahren umfasst und damit die Voraussetzung für die Teilnahme am „Qualifizierten Zulassungsverfahren“ schafft, und „Qualifizierten Zulassungsverfahren“ dargestellt.

Die signifikante Reduzierung der Aufwände im „Qualifizierten Zulassungsverfahren“ auf unter 50 % nach einer vom Hersteller erfolgreich durchlaufenden Hersteller-Qualifizierung steht nur ein einmaliger Mehraufwand von circa 9 % entgegen. Dieser zusätzliche Aufwand ist durch die zusätzlich zu erbringende initiale Prozessevaluierung des Unternehmens während seiner Qualifizierung bedingt. Wurde diese erfolgreich durchlaufen, können alle folgenden VS-NfD-Zulassungsverfahren, die sich dieser Entwicklungsprozesse bedienen, im „Qualifizierten Zulassungsverfahren“ durchgeführt werden.

Zusätzlich ist festzuhalten, dass sich das „Qualifizierte Zulassungsverfahren“ bereits mit dem zweiten Zulassungsverfahren amortisiert. Dies bedeutet, dass neben dem BSI auch die Hersteller mit hohen Update-Zyklen beziehungsweise großem Portfolio an VS-NfD-Produkten in besonderen Maße von der optimierten Vorgehensweise profitieren.

Neben der Aufwandsreduzierung ist auch die Verfahrensdauer eines „Qualifizierten Zulassungsverfahrens“ signifikant reduziert. Dies ist dadurch bedingt, dass bei vorliegender Hersteller-Qualifizierung lediglich eine konzeptionelle Produktprüfung oben genannter Prüfaspekte erforderlich ist. Die im Standardverfahren angewandte detaillierte, tiefergehende und iterative Prüfung, die wesentlich zu einer Verlängerung des Verfahrens führt, ist im „Qualifizierten Zulassungsverfahren“ nicht mehr erforderlich.

Für die Unternehmen ist neben der beschriebenen Aufwandsersparnis jedoch noch ein weiteres Faktum von entscheidendem Wert: Prinzipiell kann nach Fertigstellung, prozesskonformer Dokumentation des Produkts und Abgabe einer Herstellererklärung innerhalb weniger Wochen vom BSI eine Zulassung ausgesprochen werden. Im Vergleich zum Standardverfahren ist dies eine zeitliche Verkürzung von mehreren Monaten.

Das herkömmliche Zulassungsverfahren behält weiterhin seine Gültigkeit und kommt für Zulassungen auf dem Niveau oberhalb VS-NfD sowie für Hersteller, die sich noch nicht qualifiziert haben, zur Anwendung. Auch im Falle von besonders hoher Komplexität oder spezieller Ausprägung des zuzulassenden Produktes behält sich das BSI im Rahmen des „Qualifizierten Zulassungsverfahrens“ vor, Produkte trotz Erfüllung der entsprechenden Herstellervorgaben im herkömmlichen Verfahren zu behandeln. Dies geschieht in enger Abstimmung mit dem „Qualifizierten Hersteller“.

Zusammenfassend betrachtet führt das „Qualifizierte Zulassungsverfahren“ damit zu einer effizienteren Bedarfsdeckung zugelassener Produkte. Für die beteiligten Unternehmen stehen unter dem Aspekt „Time to Market“ neben einem finanziellen Gewinn durch das Verfahren die bessere Steuerbarkeit und zeitnahe Marktzuführung verbesserter und sicherer IT-Sicherheitsprodukte im Vordergrund.