Produktzertifikate - Sicherheit und Vertrauenswürdigkeit für IT-Produkte
Produktzertifikate dienen der Bewertung und Bestätigung der Sicherheitseigenschaften von IT-Produkten. Sie gewährleisten, dass Hardware, Software oder kryptografische Module definierte Sicherheitsstandards einhalten und somit zuverlässig vor Cyberbedrohungen geschützt sind. Dabei können verschiedene Sicherheitsaspekte, wie der Schutz vor Manipulation, die Korrektheit kryptografischer Implementierungen oder die Einhaltung spezifischer Branchenstandards, geprüft werden.
Die Zertifizierung erfolgt durch unabhängige Prüfstellen, die das Produkt anhand international anerkannter Kriterien wie den Common Criteria, FIPS oder durch Vorgaben nationaler Institutionen wie dem BSI bewerten. In industriellen und kritischen Infrastrukturen spielen Normen wie ISO/IEC 62443 eine zentrale Rolle, um Cybersicherheitsrisiken zu minimieren.
Durch zertifizierte Produkte können Unternehmen regulatorische Anforderungen erfüllen und das Vertrauen von Kunden sowie Partnern stärken. In einigen Branchen, wie etwa der Finanz- oder Telekommunikationsbranche, sind zertifizierte Sicherheitslösungen sogar verpflichtend. Hersteller profitieren zudem von einem Marktvorteil, da eine Zertifizierung die Sicherheit und Qualität ihrer Produkte offiziell belegt.
Zu den aktuellen Zertifikaten:
Die Bestätigung des BSI nach SigG bestätigt, dass ein Produkt die Anforderungen des Signaturgesetztes erfüllt und somit für elektronische Signaturen geeignet ist.
Eine BSI Zertifizierung nach Technischer Richtlinie zertifiziert Produkte anhand spezischer technischer Richtlinien, um ihre Sicherheit und Konformität mit definierten Standards zu gewährleisten.
Common Criteria ist ein international anerkannter Standard für die Sicherheitsbewertung von IT-Produkten, der eine einheitliche Methodik zur Prüfung und Zertifizierung bietet.
Das FIPS – Zertifikat (Federal Information Processing Standard) bescheinigt die Einhaltung US-amerikanischer Sicherheitsanforderungen für kryptographische Module.
Die NESAS – Zertifizierung (Network Equipment Security Assurance Scheme) bewertet die Sicherheit von Telekommunikationsprodukten und -systemen nach BSI-Standards.
Die ISO/IEC 62443 Norm stellt Anforderungen an die Cybersicherheit von industriellen Automatisierungssystemen und schützt kritische Infrastrukturen vor Cyberangriffen.
Eine BSI Zertifizierung nach Technischer Richtlinie zertifiziert Produkte anhand spezischer technischer Richtlinien, um ihre Sicherheit und Konformität mit definierten Standards zu gewährleisten.
Common Criteria ist ein international anerkannter Standard für die Sicherheitsbewertung von IT-Produkten, der eine einheitliche Methodik zur Prüfung und Zertifizierung bietet.
Das FIPS – Zertifikat (Federal Information Processing Standard) bescheinigt die Einhaltung US-amerikanischer Sicherheitsanforderungen für kryptographische Module.
Die NESAS – Zertifizierung (Network Equipment Security Assurance Scheme) bewertet die Sicherheit von Telekommunikationsprodukten und -systemen nach BSI-Standards.
Die ISO/IEC 62443 Norm stellt Anforderungen an die Cybersicherheit von industriellen Automatisierungssystemen und schützt kritische Infrastrukturen vor Cyberangriffen.
| Allgemeine Informationen | Zielgruppe | Prüfspezifika | Umsetzung | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Name | Relevante Normen und Gesetze | Prüfinstanzen | Geltungsbereich / Anwendungsbereich |
Zielanwender/-branchen | Anerkennungsraum | Umsetzungsempfehlung / Verbindlichkeit |
Beschreibung | Art der Prüfung | Ergebnis | Gültigkeit & Rezertifizierung | Prüfschema | Vorbereitung | Dokumentations- und Implementierungsaufwand |
Aufrechterhaltung | Auditkosten |
| Common Criteria Zertifizierung nach ISO/IEC 15408 | ISO/IEC 15408 ISO/IEC 18045 (BSI-Zertifizierungsrichtlinien) (EU Cybersecurity Act) Common Criteria Recognition Arrangement (CCRA) | BSI (Deutschland) ANSSI (Frankreich) NIST/NCCoE (USA) | Betriebssysteme, Kryptographische Module und HSM, Smartcards, Netzwerkgeräte und Firewalls, Software-Anwendungen mit Sicherheitsmodulen | Kritische Infrastrukturen (KRITIS), Regierung und Verteidigung, Finanzdienstleister, Telekommunikation | DE, Teilweise EU, Teilweise international, (CCRA-Länder) | Freiwillig, aber oft als Markteintrittsbarriere Pflicht für bestimmte Produkte in sicherheitskritischen Umgebungen Höhere Evaluierungsstufen (EAL 4+ und höher) oft in Beschaffungsanforderungen enthalten. | Common Criteria (CC) ist ein international anerkanntes Zertifizierungsschema für die Sicherheitsevaluierung von IT-Produkten. Es basiert auf der Norm ISO/IEC 15408 und bietet ein strukturiertes Rahmenwerk zur Bewertung der Sicherheitseigenschaften von Hard- und Software. CC bewertet die Sicherheitsmerkmale eines Produkts anhand einer vordefinierten Spezifikation (Security Target, ST) oder anhand allgemein akzeptierter Sicherheitsanforderungen (Protection Profile, PP). | Zertifizierung eines Produkts | Evaluierungsstufe (EAL1 bis EAL7), abhängig vom Prüfaufwand und der Sicherheitstiefe Zertifizierungsbericht mit detaillierter Beschreibung der Testergebnisse | Gültigkeit meist 3 bis 5 Jahre. Teilrezertifizierung möglich bei geringfügigen Produktänderungen. Komplette Re-Evaluierung erforderlich, falls sicherheitskritische Komponenten geändert wurden. | EAL1: Funktional getestet EAL2: Strukturell getestet EAL3: Methodisch getestet und geprüft EAL4: Methodisch entwickelt, getestet und geprüft EAL5: Semiformal entwickelt und getestet EAL6: Semiformal-verifiziert entwickelt und getestet EAL7: Formal-verifiziert entwickelt und getestet Evaliuerung durch die Prüfstelle 1. Funktionale Tests 2. Dokumentationanalyse 3. Design und Implementierungsanalyse (ab EAL3) 4. Quellcode- und Schwachstellenanalyse (ab EAL4) 5. Formale Verifikation und mathematische Modelierung (ab EAL5) | Auswahl eines Protection Profiles (PP) oder Erstellung eines Security Targets (ST) Identifikation relevanter Evaluierungsstufen (EAL1-7) Erstellung der notw. Sicherheitsdokumentation | EAL1-3: mittlerer Aufwand, vor allem auf Dokumentationsebene EAL4+-5: hoher Aufwand, erfordert umfassende Sicherheitsprüfungen EAL6-7: sehr hoher Aufwand, benötigt tiefgehende mathematische Sicherheitsanalysen und formale Verifikationen | Sicherheitsupdates und Patchmanagement Unterstützung durch erfahrene Zertifizierungsberater Laufende Evaluierung bei signifikanten Änderungen | EAL1-2: ca. 50.- 100.000€ EAL3-4: ca. 100.- 300.000€ EAL5-7: ca. >500.000€ |
| BSI-Bestätigung nach SigG (Signaturgesetz) | Signanaturgesetz (SigG) eIDAS-Verordnung BSI Technische Richtlinien (ISO/IEC 15408) | BSI (Deutschland) Akkreditierte Prüfstellen | Kryptographische Module und HSM, Software-Anwendungen mit Sicherheitsmodulen, PKI-Infrastrukturen, Smartcards, eID- und Vertrauensdienste | Kritische Infrastrukturen (KRITIS), Regierung und Verteidigung, Finanzdienstleister, Trust Service Provider (TSPs) | DE, Teilweise EU | Pflicht für qualifizierte Vertrauensdienste nach eIDAS Freiwillig für andere Produkte, aber vorteilhaft für Marktakzeptanz BSI-Bestätigung oft Voraussetzung für Behörden und Finanzdienstleisungen. | Die BSI-Bestätigung nach SigG stellt sicher, dass kryptographische Produkte den Anforderungen des Signaturgesetzes (SigG) und der eIDAS-Verordnung entsprechen. Diese Bestätigung ist essenziell für Produkte, die elektronische Signaturen, Zeitstempel und Vertrauensdienste bereitstellen. Die BSI-Bestätigung nach SigG evaluiert kryptographische Produkte auf ihre technische Sicherheit, Konformität mit eIDAS und Widerstandsfähigkeit gegen Angriffe. | Zertifizierung eines Produkts | BSI-Bestätigung für das geprüfte Produkt Bewertung der Sicherheitsstufe und Einsatzempfehlung Eintrag in die BSI-Liste der bestätigten Produkte |
Gültigkeit meist 2 bis 5 Jahre, abhängig von Technologie und Produktkategorie. Erneute vollständige Prüfung notwendig bei größeren technischen Änderungen. |
Evaluierungsstufen nach Prüfart
1. Funktionale Tests (Überprüfung der signaturtechnischen Funktionen) 2. Kryptographische Sicherheitsanalyse (Prüfung der Schlüsselsicherheit) 3. Schwachstellentests und Angriffstests 4. Konformitätsbewertung (Prüfung gegen SigG, eIDAS und BSI-TR) |
Definition der Sicherheitsanforderungen Erstellung der technischen Produktdokumentation Auswahl einer akkreditierten Prüfstelle | Mittlerer Aufwand für einfache Anwendungen (z.B. Signaturkarten, Basis-HSMs) Hoher Aufwand für komplexe PKI- und Trust-Center-Lösungen Sehr hoher Aufwand für Hochsicherheitsprodukte mit Angriffswiederstandsnachweis | Sicherheitsupdates und Nachweise Jährliche Audits pder Überprüfungen für kritische Dienste Laufende Anpassungen an neue Bedrohungsmodelle | Einfache Zertifizierungen (z.B. Signaturkarten, Basis-HSMs): 50.-100.000€ Komplexe Lösungen (z.B. Trust Center, PKI-Systeme): 100.- 300.000€ Hochsicherheitsprodukte mit detaillierten Angriffstests: >500.000€ |
| NESAS (BSI) Produktzertifizierung | ISO/IEC 15408 ISO/IEC 18045 (BSI-Zertifizierungsrichtlinien) (EU Cybersecurity Act) NESAS-Scheme (3GPP & GSMA) |
BSI (Deutschland) 3GPP (Third Generation Partnership Project) GSMA (GSM Association) |
Mobilfunknetz-Komponenten, Schutzmechanismen in Telekommunikationsnetzen | Mobilfunknetzbetreiber, Telekommunikation, Kritische Infrastrukturen (KRITIS) | DE, EU, International | Freiwillig, aber zunehmend als Anforderung für Netzwerkanbieter und AusrüsterTeilweise regulatorisch gefordert, abhängig von nationalen SicherheitsvorgabenRelevanz für 5G-Sicherheitsstandards. | NESAS (Network Equipment Security Assurance Scheme) ist ein von GSMA und 3GPP entwickeltes Sicherheitsbewertungsschema für Mobilfunknetzkomponenten. Es dient als Basis für Sicherheitsprüfungen und Zertifizierungen von Netzwerkausrüstung. Die Zertifizierung erfolgt auf Basis definierter Sicherheitsanforderungen und eines standardisierten Bewertungsprozesses. |
Zertifizierung eines Produkts | Bewertungsbericht mit Sicherheitsanalyse und PrüfergebnissenZertifizierungsbescheinigung für konforme Produkte | Gültigkeit in der Regel 3 bis 5 Jahre Regelmäßige Sicherheitsaktualisierungen erforderlich Re-Evaluierung notwendig bei sicherheitsrelevanten Änderungen |
1. Sicherheitsanforderungen definieren (3GPP / GSMA NESAS Security Framework) 2. Sicherheitsbewertung durch eine anerkannte Prüfstelle 3. Prüfung von Entwicklungs- und Sicherheitsprozessen 4. Durchführung technischer Sicherheitsanalysen 5. Erstellung eines Bewertungsberichts und Ausstellung des Zertifikats |
Auswahl der relevanten Sicherheitsanforderungen aus dem NESAS-Schema Bereitstellung von Entwicklungs- und Sicherheitsdokumentation Durchführung interner Vorbereitungsprüfungen |
Mittlerer bis hoher Aufwand, abhängig von der Komplexität des Produkts Erfordert detaillierte Entwicklungs- und Sicherheitsdokumentation Regelmäßige Sicherheitsupdates notwendig |
Kontinuierliche Sicherheitsüberprüfungen und Updates Nachweis über Einhaltung neuer Sicherheitsanforderungen Zusammenarbeit mit Prüfinstanzen für laufende Zertifikatsaktualisierungen |
Erstzertifizierung: ca. 100.000 - 300.000€ Rezertifizierung: meist 50.000 - 150.000€ |
| BSI Zertifizierung nach Technischer Richtlinie (TR) | BSI Technische Richtlinien (TR) BSI-Gesetz (BSIG) EU Cybersecurity Act (Weitere relevante europäische und nationale Normen, abhängig von der TR) |
BSI (Deutschland) Akkreditierte Prüfstellen gemäß BSI TR |
Kryptographische Module und HSM, IT-Infrastruktur, PKI-Infrastrukturen |
Kritische Infrastrukturen (KRITIS), Regierung und Verwaltung, Finanzdienstleister, Hochsicherheits-IT |
DE, Teilweise EU | Freiwillig für marktorientierte Sicherheitsnachweise Verpflichtend für bestimmte Branchen und Anwendungen (z. B. eID, Smart Metering) Oft gefordert in öffentlichen Ausschreibungen und regulierten Märkten. |
Die BSI-Zertifizierung nach Technischer Richtlinie (TR) ist ein sicherheitsbezogenes Prüfverfahren für IT-Produkte, das auf spezifischen Anforderungen des BSI basiert. Diese Anforderungen sind in den jeweiligen TRs definiert und können Sicherheitsmechanismen, Implementierungsrichtlinien und Testverfahren umfassen. |
Zertifizierung eines Produkts | Prüfbericht mit Sicherheitsbewertung und KonformitätsnachweisZertifikat für konforme Produkte | Gültigkeit in der Regel 2 bis 5 Jahre, abhängig von der TR Regelmäßige Sicherheitsaktualisierungen erforderlich Re-Evaluierung notwendig bei sicherheitsrelevanten Änderungen oder neuen Versionen |
1. Definition der Sicherheitsanforderungen nach TR 2. Sicherheitsprüfung durch akkreditierte Prüfstelle 3. Dokumentations- und Implementierungsbewertung 4. Durchführung technischer Sicherheitsanalysen 5. Erstellung des Prüfberichts und Ausstellung des Zertifikats |
Identifikation der zutreffenden Technischen Richtlinie Bereitstellung der notwendigen technischen und sicherheitsrelevanten Dokumentation Durchführung interner Sicherheitsbewertungen vor der Zertifizierung |
Mittlerer bis hoher Aufwand, abhängig von der spezifischen TR Erfordert detaillierte technische Dokumentation und Sicherheitsanalysen Regelmäßige Sicherheitsupdates notwendig |
Laufende Sicherheitsüberprüfungen und Nachweise der Einhaltung Anpassung an geänderte Anforderungen der TR Zusammenarbeit mit Prüfinstanzen für Zertifikatsverlängerung |
Erstzertifizierung: ca. 50.000 - 200.000€ Rezertifizierung: abhängig von den Änderungen, meist 30.000 - 100.000€ |
| Zertifizierung nach ISO/IEC 62443 | ISO/IEC 62443 BSI IT-Grundschutz-Kompendium EU Cybersecurity Act (Weitere relevante nationale und internationale Normen) |
BSI (Deutschland)Akkreditierte Zertifizierungsstellen für industrielle Cybersicherheit | IACS, OT-Sicherheitslösungen, Industrielle Netzwerke | Kritische Infrastrukturen (KRITIS), Energie und Versorgung, Industriebetriebe, Chemie und Pharma | DE, EU, International | Freiwillig, aber zunehmend von Betreibern kritischer Infrastrukturen gefordertTeilweise regulatorische Anforderungen in spezifischen IndustrienErhöhte Marktfähigkeit durch Sicherheitszertifizierung. | Die ISO 62443 ist ein internationaler Standard für die Cybersicherheit industrieller Automatisierungs- und Steuerungssysteme (IACS). Die Norm definiert Anforderungen für verschiedene Stakeholder, darunter Systemintegratoren, Produktentwickler und Betreiber. Die Zertifizierung erfolgt auf Basis von Sicherheitsanforderungen für Komponenten, Systeme und Prozesse. |
Zertifizierung eines Produkts, Zertifizierung eines Prozesses | Konformitätsbewertung mit ISO 62443 Zertifikat für die geprüften Sicherheitsanforderungen |
Gültigkeit in der Regel 3 bis 5 Jahre Regelmäßige Sicherheitsaktualisierungen erforderlich Re-Evaluierung notwendig bei sicherheitsrelevanten Änderungen oder neuen Produktversionen |
1. Definition der relevanten Sicherheitsanforderungen (ISO 62443-2-4, -3-3, -4-2) 2. Sicherheitsprüfung durch eine akkreditierte Prüfstelle 3. Bewertung von Entwicklungs- und Sicherheitsprozessen 4. Durchführung technischer Sicherheitsanalysen 5. Erstellung des Prüfberichts und Ausstellung des Zertifikats |
Identifikation der zutreffenden Normabschnitte von ISO 62443 Bereitstellung der notwendigen technischen und sicherheitsrelevanten Dokumentation Durchführung interner Sicherheitsbewertungen vor der Zertifizierung |
Mittlerer bis hoher Aufwand, abhängig von der spezifischen ISO 62443-Anforderung Erfordert detaillierte technische Dokumentation und Sicherheitsanalysen Regelmäßige Sicherheitsupdates notwendig |
Laufende Sicherheitsüberprüfungen und Nachweise der Einhaltung Anpassung an geänderte Sicherheitsanforderungen Zusammenarbeit mit Prüfinstanzen für Zertifikatsverlängerung |
Erstzertifizierung: ca. 100.000 - 300.000€ Rezertifizierung: abhängig von den Änderungen, meist 50.000 - 150.000€ |
| FIPS-Zertifizierung | FIPS 140-3 (Federal Information Processing Standard) NIST SP 800-140 Series NIST (National Institute of Standards and Technology) Anforderungen USA Federal Acquisition Regulations (FAR) |
NIST (USA) CMVP (Cryptographic Module Validation Program) CCCS (Kanada, für gemeinsame Validierungen) |
Kryptographische Module und HSM, Krypto-Bibliotheken, Sicherheitslösungen |
Regierung und Verteidigung, Kritische Infrastrukturen (KRITIS), Finanzdienstleister, Kryptographie-Anbieter |
US / Kanada, Teilweise international | Verpflichtend für alle US-Bundesbehörden und AuftragnehmerEmpfohlen für sicherheitskritische Anwendungen in der IndustrieErhöhte Marktfähigkeit durch FIPS-Zertifizierung | FIPS 140-3 ist ein Sicherheitsstandard für kryptographische Module, der von NIST definiert wird. Die Zertifizierung umfasst Sicherheitsanforderungen für Hardware- und Software-Kryptographie, einschließlich physischer Sicherheit, Modulintegrität, und Algorithmusvalidierung. Die Evaluierung erfolgt durch unabhängige Labore im Rahmen des Cryptographic Module Validation Program (CMVP). | Zertifizierung eines Produkts | Validierungszertifikat durch NIST/CMVP Prüfbericht mit detaillierter Sicherheitsbewertung | Gültigkeit in der Regel 5 Jahre Neuzertifizierung erforderlich bei sicherheitsrelevanten Änderungen oder nach Ablauf der Gültigkeit Regelmäßige Sicherheitsupdates und Nachweise erforderlich |
1. Definition der Sicherheitsanforderungen (FIPS 140-3 Level 1-4) 2. Sicherheitsprüfung durch ein akkreditiertes Testlabor (CMTL) 3. Bewertung durch das Cryptographic Module Validation Program (CMVP) 4. Erstellung des Prüfberichts und Ausstellung des Zertifikats |
Identifikation der relevanten Sicherheitsstufe (Level 1-4) Bereitstellung der technischen Dokumentation Durchführung interner Sicherheitsbewertungen vor der Zertifizierung |
Hoher Aufwand, abhängig von der gewählten Sicherheitsstufe Erfordert detaillierte technische Dokumentation und Implementierungsnachweise Regelmäßige Sicherheitsupdates notwendig |
Laufende Sicherheitsüberprüfungen und Nachweise der Einhaltung
Anpassung an geänderte Anforderungen von NIST Zusammenarbeit mit Prüfinstanzen für Zertifikatsverlängerung |
Erstzertifizierung: ca. 200.000 - 500.000€ Rezertifizierung: abhängig von den Änderungen, meist 100.000 - 300.000€ |
Gib uns Feedback:
[email protected]
[email protected]
