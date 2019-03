Schnellere BSI-Zertifizierung für qualifizierte Hersteller

Das Bundesamt für Sicherheit in der Informationstechnik möchte mit dem neuen 'Qualifizierten Zulassungsverfahren' vertrauenswürdigen Herstellern schneller als bisher Produktzulassungen für den Geheimhaltungsgrad 'VS - Nur für den Dienstgebrauch' ermöglichen. genua hat nun als erstes Unternehmen vom BSI diese Herstellerqualifizierung erhalten.

Das neue Zulassungsverfahren des Bundesamtes für Sicherheit in der Informationstechnik (BSI) [1] soll Behörden und Unternehmen im Geheimschutzbereich dabei unterstützen, moderne zugelassene IT-Sicherheitslösungen zur Bearbeitung von VS-NfD-Daten einzusetzen. Im Qualifiziertem Zulassungsverfahren hat das BSI die Abläufe daher gestrafft.



Das Verfahren besteht jetzt aus zwei Phasen: In der ersten werden einmalig die Entwicklungsumgebung und -prozesse beim Hersteller geprüft. Erfüllen sie die Sicherheitsanforderungen des BSI, kann das Unternehmen als "Qualifizierter Hersteller" eingestuft werden. Die Prüfung findet dabei auf Basis des international anerkannten Standards der "Common Criteria" statt.



Die zweite Phase ist die eigentliche VS-NfD-Zulassung einer Sicherheitslösung. Qualifizierte Hersteller müssen dafür zwar genauso viele Nachweise wie im bisherigen Verfahren erstellen, aber die zeitaufwändige Abstimmung mit dem BSI wird deutlich reduziert: Die meisten Dokumente verbleiben ohne Abstimmung beim Hersteller, der in einer Erklärung die vollständige Erstellung der Nachweise und Einhaltung der vorher begutachteten Hersteller-Entwicklungsprozesse zusichern muss.



Dem BSI sind die Nachweise auf Anfrage etwa bei Audits vorzulegen. Vertrauen gegenüber Qualifizierten Herstellern tritt somit an die Stelle von aufwändigen Abstimmungsrunden unter Aufrechterhaltung des für VS-NfD geforderten Vertrauenswürdigkeitsniveaus des Produktes - dies verkürzt den Zeitraum von der Produktveröffentlichung bis zur Zulassung von rund einem Jahr auf ein bis zwei Monate.



Nach einer erfolgreichen Erprobungsphase hat das Bundesministerium des Inneren das Qualifizierte Zulassungsverfahren genehmigt. Der deutsche IT-Sicherheitsanbieter genua [2] war bereits an der Erprobungsphase beteiligt und ist als erstes Unternehmen als Qualifizierter Hersteller eingestuft worden. Die Herstellerqualifizierung ist drei Jahre gültig und muss anschließend erneuert werden.