Sicherheit mit Brief und Siegel: VS-NfD-Zulassungen bei genua

Sicherheit mit Brief und Siegel: VS-NfD-Zulassungen bei genua

genua bietet verschiedene Produkte, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Verarbeitung von Daten bis zum Geheimhaltungsgrad "VS-NUR FÜR DEN DIENSTGEBRAUCH"(VS-NfD) zugelassen sind. Doch wie erreicht man eine solche Zulassung? Was macht diese Produkte besonders sicher?

Zu den Produkten mit VS-NfD-Zulassung gehören neben dem Security Laptop vs-top auch die Firewall und VPN-Appliance genuscreen sowie das Personal Security Device genucard. Einfach erklärt sorgen diese dafür, dass vertrauliche Informationen, die mit ihnen bearbeitet oder durch sie übertragen werden, nur von dem berechtigen Personenkreis einsehbar sind. Oder genauer: Die Notwendigkeit zur Zulassung ergibt sich aus der Erfordernis, bei der Verarbeitung sogenannter Verschlusssachen die Verwaltungsvorschrift VSA (Verschlusssachenanweisung des Bundesministeriums des Innern) einhalten zu müssen.

Fundierter Sicherheitsnachweis

Anders als bei Zulassungen für den Straßenverkehr beantragt nicht der Hersteller die Erteilung einer Zulassung, sondern der Benutzer (in der Fachsprache „Bedarfsträger“) der jeweiligen Lösung. Solche Zulassungen im IT-Sicherheitsumfeld sind eine komplizierte Sache: Da es praktisch unmöglich ist, rein aus Sichtung des Quelltexts Schlüsse über die Sicherheit eines Produkts zu ziehen, nutzt man ein mehrstufiges Verfahren, in dem die Architektur der jeweiligen Lösung immer weiter in ihre Bestandteile zerlegt wird.

Die Methodologie folgt hierbei den Common Criteria for Information Technology Security Evaluation und dient letztlich dazu, dem Prüfer (in unserem Fall das BSI – oder ein vom BSI beauftragtes Prüflabor) eine sogenannte "White-Box Analyse" des Produkts zu ermöglichen. Eine solche Analyse zeichnet sich durch eine besondere Tiefe und hohe Qualität aus, ist aber auch besonders schwierig durchzuführen. Insbesondere ermöglicht sie eine strukturierte Sicherheitsanalyse des Quelltexts, den der Hersteller auch dem BSI bereitstellen muss. Die Analyse soll schließlich belegen, dass unsere Produkte tatsächlich die von uns angegebenen Sicherheitseigenschaften erfüllen und keine relevanten Schwachstellen aufweisen.

Mehrstufige Prüfung der Sicherheit

Dazu wird in der ersten Phase zunächst die grobe Funktionsweise des Produkts beschrieben. Nur Produkte, deren Sicherheitsfunktionalität vom BSI als grundsätzlich geeignet angesehen werden, können einen Zulassungsprozess durchlaufen.

Security Laptop vs-topAuch das Security Laptop vs-top gehört zu den Produkten mit VS-NfD-Zulassung

Wurde von Seiten des BSI entschieden, dass ein Produkt für eine Zulassung in Frage kommt, gilt es, das Design im Detail zu beschreiben und mit dem BSI zu diskutieren. Hier ergeben sich oft schon prinzipielle, die Sicherheit der Produkte betreffende Fragestellungen. Diese nutzen wir frühzeitig, um mögliche Schwachstellen in unseren Produkten bereits in der Konzeptionsphase zu vermeiden.

Anschließend folgt die technische Evaluierung der Lösung. Dazu werden die Sicherheitsarchitektur, der geplante Einsatz kryptographischer Algorithmen aber auch hardwareseitige Fragen zur Plattform gründlich analysiert. Ergänzt wird dieser Vorgang durch eine detaillierte Ausarbeitung aller Subsysteme und Module des Produkts, sowie interner und externer Schnittstellen.

Prozess zur vollständigen Durchleuchtung

Ein derart strukturiertes Vorgehen erlaubt es uns, möglichen Sicherheitsprobleme der Architektur entgegenzuwirken. Ferner erlaubt es den Entwicklern, ein Bild des vollständigen Produkts zu erlangen und auch über Komponenten Bescheid zu wissen, die gerade nicht im aktuellen Fokus der Entwicklung stehen.

Komplettiert wird der Zulassungsprozess durch ausführliche Tests, welche einerseits Funktionalität und Sicherheitseigenschaften prüfen, andererseits aber auch – unter Zuhilfenahme der Architekturdokumentation – eine gezielte Schwachstellenanalyse erlauben.

Dieses Vorgehen ermöglicht es schließlich dem BSI, die oben skizzierte White-Box Analyse durchzuführen, um so ein verlässliches Votum über die Sicherheit unserer Produkte geben zu können.

Alle Kunden profitieren

Natürlich fließen die Erkenntnisse aus der Zulassung auch in unsere für den privatwirtschaftlichen Markt konzipierten Produkte, wie etwa in das Security Laptop cyber-top oder in unsere Fernwartungs-Appliance genubox. Dadurch verbessert sich maßgeblich die Sicherheit aller unserer Kunden.

 

Bildquelle: © creatarka - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.