Sicherheitszertifikate schaffen Vertrauen

Sicherheitszertifikate schaffen Vertrauen

Woran erkennt man hochwertige IT-Sicherheitslösungen? Sicherlich nicht an den Versprechen der Hersteller, denn demnach sind alle angebotenen Lösungen von höchster Qualität und absolut sicher. Um glaubwürdige Aussagen zu erhalten, müssen die Hersteller-Angaben von unabhängiger Seite überprüft werden. Für die Bewertung der Sicherheit von IT-Systemen ist das Verfahren Common Criteria (CC) eingeführt worden und international anerkannt. In Deutschland bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) dieses aufwändige Prüfverfahren an. Das Ergebnis wird schließlich mit einem Sicherheitszertifikat dokumentiert.

Eine Zertifizierung nach CC kann jede Herstellerfirma beim BSI beantragen, um ihre Aussagen über die Sicherheitsleistung einer Lösung glaubwürdig zu belegen. genua nutzt Zertifizierungen als transparente Qualitätssicherung für seine Lösungen. Im Folgenden wird der Zertifizierungsprozess am Beispiel der Firewall genugate erläutert.

Die genugate ist eine Komplettlösung aus Hardware, Betriebssystem und Firewall-Software. Das Besondere: Die Lösung umfasst zwei in Reihe geschaltete Firewall-Systeme – ein Application Level Gateway und einen Paketfilter – die auf physisch getrennten Rechnern in einer kompakten Appliance laufen. Durch diese Konstruktion werden alle Daten von zwei Firewall-Systemen geprüft, bevor sie weitergeleitet werden. Hier auf dem Papier scheint dieses zweistufige Konzept gut durchdacht zu sein und somit hochwertige IT-Sicherheit zu bieten. Aber leistet das Firewall-System tatsächlich, was die Papierform verspricht? Genau dies kann genua mit  Zertifizierungen belegen: Am 17. Januar 2012 erteilte das BSI für die Firewall genugate Release 7.0 ein Sicherheitszertifikat nach CC in der Stufe EAL 4+. Das komplexe System hat also alle Prüfungen auf dem anspruchsvollem Niveau EAL 4 bestanden.

Zertifizierungs-Button vom BSIErfolgreiche BSI-Zertifizierung - Qualitätssiegel für die zweistufige Firewall genugate 7.0

EAL 4 ist die höchste Zertifizierungsstufe, die komplett auf ein komplexes System wie eine Firewall anwendbar ist. Das Attribut "+" zeigt aber an, dass bei einzelnen Kriterien über den Level EAL4 hinausgegangen wurde. Bei der genugate ist dies zum einen beim Patch-Handling der Fall – hier ist es für Hersteller jedoch ohne großen Aufwand möglich, Level EAL 4 zu übertreffen und so ihre Gesamtnote mit einem + aufzuwerten. Aber die genugate 7.0 erfüllt auch beim zentralen Merkmal des Selbstschutzes deutlich höhere Anforderungen: Alle potenziellen Angriffspunkte wie z. B. Schnittstellen sind bei der Firewall konsequent mit zwei unterschiedlichen Sicherheitsmechanismen geschützt. Durch diese konsequente doppelte Absicherung bietet die Sicherheitslösung gegen direkte und intelligent ausgeführte Attacken höchsten Widerstand – die Sicherheitsleistung entspricht dem Prüfbaustein AVA_VAN.5, der die Anforderungen von Level EAL 7 erfüllt. Aufgrund dieser Leistung bei der Schwachstellen-Analyse ist die genugate als "Highly Resistant" eingestuft – als einzige Firewall weltweit.

Für die Zertifizierung einer IT-Lösung nach CC EAL4 muss der Hersteller den Zweck und die Wirksamkeit der IT-Lösung in Form einer durchgängigen Logik-Pyramide  dokumentieren. Dazu sind die Ziele, Bedrohungen und Sicherheitsfunktionen gemäß detaillierter Vorgaben schlüssig zu beschreiben. Diese Dokumentation ist sehr aufwändig. Deshalb kommen Hersteller hier in Versuchung, nur wenige, ausgewählte Sicherheitsziele zu definieren, um mit geringerem Aufwand eine Zertifizierung zu erhalten. Das CC-Verfahren lässt dies leider zu. Deshalb lohnt ein  Blick in den Zertifizierungsreport der jeweiligen Lösung, in dem die Sicherheitsziele beschrieben werden. 

Für den Level EAL 4 ist noch ein weiterer Schritt erforderlich – der Hersteller muss den Quellcode der Lösung offenlegen. So können die unabhängigen Experten mit gezielten Stichproben anhand der Programmierzeilen nachprüfen, ob die vom Hersteller angeführten Mechanismen in der Lösung korrekt umgesetzt sind. Zusätzlich muss sich die IT-Lösung aber auch in der Praxis bewähren. Dazu werden alle Sicherheitsmechanismen ausführlich getestet. Die Firewall genugate absolvierte insgesamt über 1.000 Tests unter den Augen unabhängiger Experten. Neben der eigentlichen Software begutachten die Experten aber noch weitere Punkte: Ist die Entwicklungsumgebung beim Hersteller hochwertig abgesichert, unterliegt die Software-Lösung einer zuverlässigen Konfigurationskontrolle und gibt es ein Handbuch, das alle Funktionen umfassend erläutert? Nur wenn auch diese Rahmenbedingungen erfüllt werden, kann der Hersteller für seine Lösung ein Zertifikat erlangen. Kunden haben damit von unabhängiger Seite die Gewähr, eine hochwertige IT-Sicherheitslösung einzusetzen.

Weitere Informationen zur zweistufigen Firewall genugate finden Sie hier.

 

 

Bildquelle: © DOC RABE Media / Fotolia.com


Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.