BSI listet Genua als ersten "qualifizierten Hersteller" im neuen Zulassungsverfahren
Genua: Schnellere VS-NfD-Zulassungen sind BSI-konform
Genua hat nach eigenen Angaben als erstes Unternehmen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Herstellerqualifizierung für das "qualifizierte Zulassungsverfahren" erhalten. Das BSI hat dieses neue Verfahren eingeführt, um vertrauenswürdigen Herstellern schneller als bisher Produktzulassungen für den Geheimhaltungsgrad "VS - Nur für den Dienstgebrauch" (VS-NfD) erteilen zu können. Dies soll Behörden und Unternehmen im Geheimschutzbereich helfen, moderne zugelassene IT-Sicherheitslösungen zur Bearbeitung von VS-NfD-Daten einzusetzen.
Genua wirkte nach eigenem Bekunden bereits an der Testphase des neuen Verfahrens mit und profitiert jetzt von dem schnelleren Ablauf: Dauerte eine Produktzulassung bisher rund ein Jahr, kann ein qualifizierter Hersteller diese innerhalb von ein bis zwei Monaten erreichen. Das qualifizierte Zulassungsverfahren habe sich in der Praxis hervorragend bewährt, so Matthias Ochs, Geschäftsführer von Genua. "Wir werden das neue Verfahren intensiv nutzen, um auf Kundenanforderungen im VS-NfD-Bereich schnell mit hochsicheren Lösungen zu reagieren", so Ochs weiter.
Behörden und Unternehmen im Geheimschutzbereich bietet Genua verschiedene IT-Sicherheitslösungen zur Datenbearbeitung bis zum Geheimhaltungsgrad VS-NfD an: das "Security Laptop vs-top" für mobile Mitarbeiter, das "Personal Security Device genucard" zur Anbindung von Home-Offices und die Firewall- und VPN-Appliance "genuscreen" für den verschlüsselten Datenaustausch via Internet.
Mit dem Zulassungsverfahren weist ein Hersteller gegenüber dem BSI nach, dass die Lösungen die hohen Sicherheitsanforderungen für VS-NfD erfüllen. Dazu muss der Hersteller zum Beispiel das Design der Lösung detailliert beschreiben, umfangreiche Tests und Schwachstellen-Analysen durchführen und dokumentieren sowie sichere Entwicklungsprozesse vorweisen.
Im sogenannten qualifizierten Zulassungsverfahren hat das BSI die Abläufe gestrafft. Das Verfahren besteht jetzt aus zwei Phasen: In der ersten werden einmalig die Entwicklungsumgebung und -prozesse beim Hersteller geprüft. Erfüllen sie die hohen Sicherheitsanforderungen des BSI, kann das Unternehmen als "Qualifizierter Hersteller" eingestuft werden. Die Prüfung findet dabei auf Basis des international anerkannten Standards der Common Criteria statt.
Die zweite Phase ist die eigentliche VS-NfD-Zulassung einer Sicherheitslösung. Qualifizierte Hersteller müssen dafür zwar genauso viele Nachweise wie im bisherigen Verfahren erstellen, aber die zeitaufwändige Abstimmung mit dem BSI ist deutlich reduziert: Die meisten Dokumente verbleiben ohne Abstimmung beim Hersteller, der in einer Erklärung die vollständige Erstellung der Nachweise und Einhaltung der vorher begutachteten Herstellerentwicklungsprozesse zusichern muss. Dem BSI sind die Nachweise auf Anfrage etwa bei Audits vorzulegen.
Vertrauen gegenüber qualifizierten Herstellern trete somit an die Stelle von aufwändigen Abstimmungsrunden unter Aufrechterhaltung des für VS-NfD geforderten Vertrauenswürdigkeitsniveaus des Produkts, so Genau weiter. Dies verkürze den Zeitraum vom Produkt-Release bis zur Zulassung von rund einem Jahr auf ein bis zwei Monate.
Nach einer erfolgreichen Erprobungsphase hat das Bundesministerium des Inneren dieses Zulassungsverfahren genehmigt. Die Herstellerqualifizierung ist drei Jahre gültig und muss anschließend erneuert werden.
Weitere Informationen stehen unter www.genua.de zur Verfügung.
Lesen Sie mehr zum Thema
