Die Sicherheitszertifizierung für digitale Produkte und Lösungen weist die Vertrauenswürdigkeit nach. Was beinhaltet diese Zertifizierung und wie garantiert sie ein hohes Maß an Cybersicherheit?
Definition einer Sicherheitszertifizierung
Bei der Sicherheitszertifizierung für IT-Lösungen und -Softwares wird ein Produkt nach bestimmten Standards für die Cybersicherheit bewertet. Dieser Prozess ist heute ausschlaggebend. Er gewährleistet, dass Daten und Systeme trotz der zunehmenden Cyberbedrohungen geschützt sind. Die Sicherheitszertifizierung unterstützt Unternehmen auch dabei, sichere digitale Lösungen für ihre strategischen und sensiblen Anwendungen zu finden. Außerdem ermöglicht sie, die Sicherheitsniveaus der Lösungen zu harmonisieren und trägt zur Schaffung eines vertrauenswürdigen digitalen Systems bei.
Arten von Sicherheitszertifizierungen:
Produktzertifizierungen: Sie konzentrieren sich auf die Sicherheitsaspekte eines bestimmten Produkts. Durch diese Zertifizierungen wird beurteilt, ob das Produkt die erforderlichen Sicherheitsstandards erfüllt und potenziellen Cyberangriffen standhalten kann.
Systemzertifizierungen: Durch sie wird die Sicherheit eines ganzen Systems bewertet, einschließlich der Produkte, Abläufe und beteiligten Personen. Diese Art der Zertifizierung ist breiter angelegt und berücksichtigt die systemischen Aspekte der Cybersicherheit.
Es gibt verschiedene Sicherheitszertifizierungen auf internationaler und europäischer Ebene. Hier ein Überblick:
Internationale Cybersicherheitszertifizierungen
Common Criteria (CC)
Common Criteria ist der internationale Standard für die Zertifizierung von Cybersicherheit in der Informationstechnologie. Diese internationale Norm (ISO/IEC 15408) wird auch als „Common Criteria for Information Technology Security Evaluation“ bezeichnet. Sie ermöglicht es, die Sicherheit von IT-Produkten durch zugelassene und unabhängige Prüfstellen nach anspruchsvollen technischen und organisatorischen Kriterien zu bewerten. Die Zertifikate werden international von den Unterzeichnern des Common Criteria Recognition Agreement (CCRA) anerkannt, zu denen in Frankreich auch die ANSSI gehört.
FIPS 140-3
Der Standard FIPS 140-3 wurde vom National Institute of Standards and Technology (NIST) in den USA ausgearbeitet. Er betrifft insbesondere die Prüfung der Sicherheit von Kryptomodulen. Diese Norm ist wichtig für Produkte, die in staatlichen und sensiblen Umgebungen eingesetzt werden. Durch sie werden unter anderem folgende Punkte analysiert:
- Funktionen und Leistungen des Kryptomoduls
- Interaktionen mit anderen Systemen
- Verwaltung von Zugriffen und erlaubten Vorgängen
- Sicherheit von Softwarekomponenten
- sichere Wartung und Aktualisierungen
- Maßnahmen gegen verschiedene Formen potenzieller Angriffe
Dieser Standard unterscheidet vier Stufen an Sicherheitsanforderungen (grundsätzlich bis sehr hoch), die für verschiedene IT-Anwendungen und -Umgebungen geeignet sind.
Europäische Cybersicherheitszertifizierungen
Europäisches Cybersicherheitszertifizierungs-Projekt
Das Zertifizierungsschema EUCC beruht auf dem internationalen Schema „Common Criteria“ für die Zertifizierung von IKT-Produkten sowie ihrer Hardware und Software (Firewalls, Systeme für Verschlüsselung und elektronische Signaturen, Router, Smartphones, Bankkarten usw.). Im Oktober 2023 veröffentlichte die Europäische Kommission einen ersten Entwurf eines Durchführungsrechtsakts für das EUCC und gab diesen zur Stellungnahme frei.
EUCS (System der Europäischen Union für die Cybersicherheitszertifizierung für Cloud-Dienste) in der Diskussion
Ähnlich wie das EUCC zielt die EUCS-Zertifizierung insbesondere darauf ab, die Sicherheit von Produkten und Dienstleistungen zu bewerten, die in der Cloud gehostet werden. Der Textvorschlag wird nun von der Europäischen Gruppe für die Cybersicherheitszertifizierung (ECCG) geprüft und soll die Sicherheit des Cloud-Computing in Europa erhöhen.
Im Rahmen der NIS2-Richtlinie und des Cyber Resilience Acts zielen diese europäischen Zertifizierungsprojekte darauf ab, das Sicherheitsniveau von IT-Lösungen zu harmonisieren.
In Frankreich: Sicherheitssiegel der ANSSI
Die von der ANSSI (französische Agentur für die Sicherheit von Informationssystemen) ausgestellte Sicherheitszertifizierung gilt in Frankreich und auch in Europa als Referenz. Sie bewertet die Widerstandsfähigkeit einer bestimmten Produktversion zu einem gegebenen Zeitpunkt. Dabei wird der Stand der Technik bei Cyberangriffen zugrunde gelegt. Um sie auszustellen, prüfen die zugelassenen Prüfstellen und Experten mehrere Sicherheitskriterien, wie:
- Einhaltung der geltenden nationalen und internationalen Standards und Vorschriften für die Sicherheit von Informationssystemen (wie z. B. der Common Criteria)
- Technische und organisatorische Sicherheitsmaßnahmen
- Widerstandskraft gegen Angriffe, einschließlich Eindringversuchen, Hacking und Ausnutzung von Schwachstellen
- Zugriffsverwaltung und Authentifizierung, um den Zugriff auf Daten und Ressourcen zu kontrollieren
- Verschlüsselung und Datenschutz
- Resilienz und Vorfallsmanagement
- Wartungen und Sicherheitsupdates, um auf neue Bedrohungen und Schwachstellen zu reagieren
Darüber hinaus bietet die ANSSI auch eine Sicherheitsqualifikation für digitale Produkte und Dienstleistungen an, die für kritische und strategische Branchen (Betreiber wesentlicher Dienste) bestimmt sind. Diese erfüllt so spezifische regulatorische Anforderungen, wie beispielsweise das Militärprogrammierungsgesetz. Die Sicherheitsqualifikation der ANSSI bestätigt damit, dass die Lösungen den ermittelten sensiblen Bedürfnissen der Unternehmen entsprechen. Der Herausgeber muss also beweisen, dass er seine Verpflichtungen langfristig einhalten kann.
An welche Produkte richten sich die Sicherheitszertifizierungen?
In der Regel sind viele IT-Produkte und -Lösungen für eine Sicherheitszertifizierung geeignet, sobald diese Daten offenlegen und/oder sie von sensiblen Organisationen genutzt werden. Im Folgenden sind einige Produktarten aufgeführt, die von Sicherheitszertifizierungen betroffen sind:
- Computerhardware: Server, Router, Firewalls, andere Netzwerkgeräte usw.
- Software: Betriebssysteme, Anwendungen, Datenbanken usw.
- Cloud-Lösungen: Cloud-Computing-Dienste, Speicher, cloudbasierte Anwendungen usw.
- Verschlüsselungsprodukte: Verschlüsselungsmodule, Tools zur Schlüsselverwaltung usw.
- Mobile Security-Lösungen: Sicherheitsanwendungen und -infrastrukturen für mobile Geräte usw.
- Industrielle Steuerungssysteme (ICS) und Internet der Dinge (IoT): vernetzte Geräte in verschiedenen Industriezweigen usw.
Tixeo ist seit über 5 Jahren von der ANSSI zertifiziert und qualifiziert
Die sichere Videokonferenz-Software von Tixeo verfügt seit mehr als 5 Jahren über eine Zertifizierung und Qualifikation durch die ANSSI. Mit ihrer Ende-zu-Ende-Verschlüsselung und der On-Premise-Version bietet sie Unternehmen in kritischen Branchen absolute Vertraulichkeit für ihren Datenaustausch. Vor allem aber gewährleistet sie eine hohe betriebliche Resilienz. Durch ihre Zertifizierung und Qualifikation empfiehlt der französische Staat ihre Verwendung für sensible Anwendungsbereiche. Auch andere europäische Gütesiegel bestätigen die Sicherheit dieser Lösung.