Alliance - Fotolia

Was das BSI-Zertifikat für IT-Sicherheitsprodukte und Anwender bedeutet

Zertifizierungen für IT-Sicherheitslösungen sind aufwändig und kostspielig für den Hersteller. Was haben die Anwender von einem Sicherheitszertifikat?

Anmerkung der Redaktion: Dies ist der erste Artikel in einer Reihe von Beiträgen, die Hintergrundinformationen zu IT-Begriffen liefern oder anhand von Praxisbeispielen die Funktionsweise von Technologien erklären. Die Beiträge stammen von bekannten Herstellern, die im jeweiligen Bereich entsprechende Produkte anbieten.

Woran erkennt man hochwertige IT-Sicherheitslösungen? Sicherlich nicht an den Versprechen der Hersteller, denn demnach sind alle angebotenen Lösungen von höchster Qualität und absolut sicher. Um glaubwürdige Aussagen zu erhalten, müssen die Herstellerangaben von unabhängiger Seite überprüft werden. Dafür ist fundiertes Fachwissen erforderlich: Komplexe Systeme wie Firewalls lassen sich nicht, wie beispielsweise Staubsauger, anhand von drei, vier ausgewählten Kriterien bewerten.

Sicherheitslösungen müssen umfassend geprüft werden, um zuverlässige Aussagen über Qualität und Leistung treffen zu können. Wichtig ist vor allem eine sorgfältige Schwachstellenanalyse. Denn sollte eine Sicherheitslösung auch nur an einer Stelle angreifbar sein, so ist sie nutzlos und verdient keinerlei Qualitätsprädikat.

Die aufwändigen Prüfverfahren bietet in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) an. Um vergleichbare Ergebnisse zu erzielen, werden international anerkannte Prüfkriterien angelegt: die Common Criteria (CC). Das Ergebnis wird schließlich mit einem Sicherheitszertifikat dokumentiert.

CC ist weltweit anerkannt

Die CC wurden von den USA und Kanada sowie zahlreichen europäischen Ländern 1988 anhand bereits bestehender Standards, wie zum Beispiel ITSEC, als international harmonisiertes Zertifizierungsverfahren entwickelt. Weitere Staaten wie Japan, Australien und Korea haben sich angeschlossen – die CC sind heute eine weltweit anerkannte Norm zur Überprüfung von IT-Sicherheitssystemen.

Der Standard bietet sieben Evaluationsstufen von EAL 1 bis EAL 7 (Evaluation Assurance Level, Stufe der Vertrauenswürdigkeit). Mit jeder Stufe steigen die Anforderungen an die Prüftiefe, es wird also genauer hingeschaut, wie die behauptete Sicherheitsleistung erreicht wird: EAL 1 ist die niedrigste Stufe und dient als Einstieg in die Zertifizierung, EAL 4 verlangt vom Hersteller bereits die Vorlage einer detaillierten Design-Dokumentation, des Quellcodes und ausführliche Tests.

Auf EAL 5 bis EAL 7 sind die Anforderungen an die Dokumentation so hoch, dass diese Level auf komplexe Systeme wie Firewalls nicht mehr komplett anwendbar sind – der immense Aufwand würde den Nutzen bei weitem übersteigen.

BSI-Logo für ein Sicherheitszertifikat

Hersteller können ihre Aussagen glaubwürdig belegen

Eine Zertifizierung nach CC kann jede Herstellerfirma beim BSI beantragen, um ihre Aussagen über die Sicherheitsleistung einer Lösung glaubwürdig zu belegen. Eine Liste mit aktuell zertifizierten Produkten finden sie hier beim BSI.

Häufig werden jedoch Zertifizierung und Zulassung verwechselt: Eine Zulassung ist ausschließlich für IT-Systeme erforderlich, mit denen staatliche Verschlusssachen (VS) bearbeitet und übertragen werden dürfen. Die Zulassung einer IT-Lösung für eine bestimmte VS-Stufe, beispielsweise „Nur für den Dienstgebrauch“ (VS-NfD), kann nur von einer Behörde – aber nicht von dem Hersteller selbst – beim BSI beantragt werden. Folgend erläutern wir den Zertifizierungsprozess am Beispiel der Firewall genugate.

Zertifizierungsbeispiel Firewall genugate

Die genugate ist eine Komplettlösung aus Hardware, Betriebssystem und Firewall-Software. Die Lösung umfasst zwei in Reihe geschaltete Firewall-Systeme – ein Application Level Gateway und einen Paketfilter –, die auf physisch getrennten Rechnern in einer kompakten Appliance laufen. Durch diese Konstruktion werden alle Daten von zwei Firewall-Systemen geprüft, bevor sie weitergeleitet werden.

Das BSI hat die Firewall genugate 8.0 nach Common Criteria (CC) in der Stufe EAL 4+ zertifiziert.

Das Kernstück der Firewall ist das Application Level Gateway: Es unterbricht den eingehenden Datenstrom auf Anwendungsebene, analysiert und filtert den gesamten Inhalt der Pakete. Anschließend gelangen die Datenpakete zum Paketfilter. Er kontrolliert auf der Netzwerk- und Transportebene die Pakete anhand der Informationen im Header: Sind die Absender- und Empfängeradresse, der verwendete Protokolltyp und die angesteuerte Portnummer gemäß den Filterregeln erlaubt? Die Schutzmechanismen beider Komponenten ergänzen sich somit auf verschiedenen Netzwerkebenen.

Auf dem Papier scheint dieses zweistufige Konzept gut durchdacht zu sein und somit eine hohe IT-Sicherheit zu bieten. Aber leistet das Firewall-System tatsächlich, was die Papierform verspricht? Das kann der Hersteller mit Zertifizierungen belegen: Das BSI hat für die Firewall genugate Release 8.0 ein Sicherheitszertifikat nach CC in der Stufe EAL 4+ erteilt. Das komplexe System hat also alle Prüfungen auf dem Niveau EAL 4 bestanden.

Das Attribut „+“ zeigt darüber hinaus an, dass bei einzelnen Kriterien über den Level EAL4 hinausgegangen wurde. Bei der genugate ist dies zum einen beim Patch-Handling der Fall. Hier ist es für Hersteller jedoch ohne großen Aufwand möglich, Level EAL 4 zu übertreffen und so die Gesamtnote mit einem + aufzuwerten. Die genugate 8.0 erfüllt auch beim zentralen Merkmal des Selbstschutzes deutlich höhere Anforderungen: Alle potenziellen Angriffspunkte wie Schnittstellen sind bei der Firewall mit zwei unterschiedlichen Sicherheitsmechanismen geschützt. Durch diese doppelte Absicherung bietet die Sicherheitslösung gegen direkte und intelligent ausgeführte Attacken höchsten Widerstand – die Sicherheitsleistung entspricht dem Prüfbaustein AVA_VAN.5, der die Anforderungen von Level EAL 7 erfüllt. Dies ist ein entscheidender Punkt: Eine Firewall muss selbst gegen alle Angriffe und Manipulationsversuche gewappnet sein, damit sie das anvertraute Netzwerk zuverlässig sichern kann. Aufgrund dieser Leistung bei der Schwachstellenanalyse ist die Firewall als „Highly Resistant“ eingestuft. Die genugate ist derzeit die einzige Firewall weltweit, die beim Selbstschutz diesen hohen Level erreicht.

Zertifizierung erfordert umfassende Dokumentation

Für die Zertifizierung einer IT-Lösung nach CC EAL4 muss der Hersteller den Zweck und die Wirksamkeit der IT-Lösung in Form einer durchgängigen Logik-Pyramide dokumentieren. Die Grundlage bilden die Sicherheitsziele: Was soll mit der Lösung erreicht werden? Bei einer Firewall sind die Datenflusskontrolle, der Selbstschutz und die Protokollierung die entscheidenden Funktionen – diese sind bei der genugate als Sicherheitsziele definiert.

Im zweiten Schritt müssen alle Bedrohungen dargelegt werden, die das Erreichen eben dieser Ziele gefährden können. Dies sind beispielsweise Angriffe mit gefälschten IP-Adressen, um sich Zugang zum Netzwerk zu verschaffen, oder Denial-of-Service-Attacken, die durch Ressourcenverbrauch die Protokollierung lahmlegen und so unberechtigte Zugriffe verschleiern. Die logische Antwort auf die Bedrohungen sind drittens die Sicherheitsfunktionen, mit denen das Erreichen der Ziele dennoch sichergestellt werden soll. Die Ziele, Bedrohungen und Sicherheitsfunktionen muss der Hersteller gemäß detaillierter Vorgaben schlüssig beschreiben. Diese Dokumentation ist sehr aufwändig. Deshalb kommen Hersteller hier in Versuchung, nur wenige, ausgewählte Sicherheitsziele zu definieren, um mit geringerem Aufwand eine Zertifizierung zu erhalten. Das CC-Verfahren lässt dies leider zu. Deshalb lohnt ein Blick in den Zertifizierungsreport der jeweiligen Lösung, in dem die Sicherheitsziele beschrieben werden.

Überprüfung bis hin zum Quellcode

Die Dokumentation muss der Hersteller bei einem vom BSI-akkreditierten Prüflabor einreichen. Dort prüfen Experten, ob die Dokumentation plausibel, vollständig und korrekt ist. Wenn das Prüflabor die Darstellung als stimmig akzeptiert, geht die Prüfung in die Tiefe: Den Experten des Prüflabors muss der Hersteller jetzt die Architektur des Target of Evaluation (TOE) darlegen, indem er das Sicherheitssystem in die einzelnen Module aufspaltet und deren interne und externe Schnittstellen beschreibt.

„Unternehmen und Behörden schätzen die sorgfältige und transparente Qualitätssicherung, die ein BSI-Zertifikat dokumentiert.“

Michaela Harlander, genua gmbh

Dabei werden alle Sicherheitsfunktionen, wie zum Beispiel das Filtern von IP-Adressen, als Mechanismen den Modulen zugeordnet. Schließlich muss aber auch nachgewiesen werden, dass alle Mechanismen zusammen eine stimmige Gesamtlösung ergeben. Für den Level EAL 4 ist noch ein weiterer Schritt erforderlich – der Hersteller muss den Quellcode der Lösung offenlegen. So können die unabhängigen Experten mit gezielten Stichproben anhand der Programmierzeilen nachprüfen, ob die vom Hersteller angeführten Mechanismen in der Lösung korrekt umgesetzt sind. Damit ist der Gipfel der Logik-Pyramide erreicht.

Ausführliche Testreihen beim Hersteller und Prüflabor

Zusätzlich muss sich die IT-Lösung aber auch in der Praxis bewähren. Dazu werden alle Sicherheitsmechanismen ausführlich getestet. Die Firewall genugate absolvierte beispielsweise insgesamt über 1.000 Tests, die sowohl beim Hersteller unter den Augen unabhängiger Experten als auch beim Prüflabor durchgeführt wurden. Neben der eigentlichen Software begutachten die Experten aber noch weitere Punkte: Ist die Entwicklungsumgebung beim Hersteller hochwertig abgesichert, unterliegt die Softwarelösung einer zuverlässigen Konfigurationskontrolle und gibt es ein Handbuch, das alle Funktionen umfassend erläutert? Nur wenn auch diese Rahmenbedingungen erfüllt werden, kann der Hersteller für seine Lösung ein Zertifikat erlangen.

Über den Autor:
Dr. Michaela Harlander ist Geschäftsführerin der genua gmbh, einem deutschen Spezialisten für IT-Sicherheit. Das Leistungsspektrum umfasst die Absicherung sensibler Schnittstellen im Behörden- und Industriebereich bis hin zur Vernetzung hochkritischer Infrastrukturen. Alle Produkte werden von genua in Deutschland entwickelt und produziert. Das Unternehmen genua nutzt Zertifizierungen als transparente Qualitätssicherung für seine Firewall-Systeme genugate und genuscreen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Dezember 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Tools, Produkte, Software

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close