Kriterien für die Vergabe von Gütesiegeln


Ein Gütesiegel können alle informationstechnische Produkte, also Hard- und Software, sowie Datenverarbeitungsverfahren erhalten. Voraussetzung ist zusätzlich, dass sie zur Nutzung durch öffentliche Stellen geeignet sind. Das hört sich zwar sehr einschränkend an, bei näherem Hinsehen wird man jedoch feststellen, dass dies auf eine sehr große Anzahl von Produkten zutrifft. Ansonsten kommt es ganz allgemein auf die Vereinbarkeit des Produkts mit den Vorschriften über Datenschutz und Datensicherheit an. Besonderer Wert wird auf die Punkte Datenvermeidung und Datensparsamkeit, Datensicherheit und Revisionsfähigkeit sowie auf die Gewährleistung der Rechte der Betroffenen gelegt. Das ULD stellt einen Anforderungskatalog für IT-Produkte zur Verfügung, der sowohl rechtliche als auch technische Aspekte beinhaltet. Dieser wird regelmäßig fortgeschrieben. Die Evaluationskriterien des ULD bauen auf den Common Criteria (CC) auf und können quasi in Common Criteria ‚übersetzt’ werden, hierzu gibt das ULD einen Leitfaden heraus der sich in erster Linie an die Sachverständigen richtet. Im nächsten Abschnitt wird nun Common Criteria in aller Kürze vorgestellt:

Common Criteria

Common Criteria ist die weit verbreitete Kurzform von Common Criteria for Information Technologie Security Evaluation (deutsch etwa: Gemeinsame Kriterien für die Bewertung der Sicherheit von Informationstechnologie). Im weiteren Verlauf der Darlegung wird die Abkürzung ‚CC’ verwendet. CC ist ein internationaler Standard für die Kriterien der Bewertung und Zertifizierung der Sicherheit von Computersystemen in hinsichtlich der Datensicherheit und des Datenschutzes. Der CC-Standard soll eine gemeinsame Grundlage für solche Bewertungen bieten und insbesondere den europäischen ITSEC- und den amerikanischen TCSEC-Standard ablösen bzw. vergleichbar machen. Er soll vermeiden, dass Komponenten oder Systeme in verschiedenen Ländern mehrfach zertifiziert werden müssen.

Derzeit ist die internationale gegenseitige Anerkennung bis zum EAL4 (siehe unten) abgestimmt, höhere EAL’s müssen international nicht anerkannt werden.

Die Bewertung ist, wie bereits bei ITSEC und dem älteren BSI-Standard ITS, in die Bewertung der Funktionalität (Funktionsumfang) des betrachteten Systems und der Vertrauenswürdigkeit (Qualität) gegliedert. Letztere muss nach dem Gesichtspunkten der Wirksamkeit der verwendeten Methoden und der Korrektheit der Implementation betrachtet werden. CC sieht die Bewertung über 7 Stufen der Vertrauenswürdigkeit in verschiedenen Funktionaliätsklassen vor:

Funktionalitätsklassen

Im Gegensatz zu den bisherigen Normen (ITSec etc.) sind die Funktionalitätsklassen nicht hierarchisch gegliedert. Statt dessen beschreibt jede Klasse eine bestimmte Grundfunktion der Sicherheitsarchitektur, die getrennt bewertet werden muss. Wichtige Funktionalitätsklassen sind:

  • FAU (Sicherheitsprotokollierung)
  • FCO (Kommunikation)
  • FCS (Kryptographische Unterstützung)
  • FDP (Schutz der Benutzerdaten)
  • FIA (Identifikation und Authentisierung)
  • FMT (Sicherheitsmanagement)
  • FPR (Privatsphäre)
  • FPT (Schutz der Sicherheitsfunktionen)
  • FRU (Betriebsmittelnutzung)
  • FRU (Schnittstelle)
  • FTP (vertrauenswürdiger Pfad/Kanal)

Naturgemäß werden IT-Produkte nur in denjenigen Funktionaltitätsklassen bewertet deren Inhalte im Funktionsumfang des entsprechendes Produktes enthalten sind, das sind meist nicht alle, wie man schon bei einem flüchtigen Blick auf die oben aufgeführten Klassenbeschreibungen erkennen kann. Innerhalb einer Funktionalitätsklasse wird diese mit einer der 7 Stufen der Vertrauenswürdigkeit bewertet (Evaluation Assurance Level, EAL). So wird die Korrektheit der Implementation des betrachteten Systems, bzw. die Prüftiefe der Evaluation beschrieben:

CC EAL Bedeutung
EAL 1 funktionell getestet
EAL 2 strukturell getestet
EAL 3 methodisch getestet und überprüft
EAL 4 methodisch entwickelt, getestet und durchgesehen
EAL 5 semiformal entworfen und getestet
EAL 6 semiformal verifizierter Entwurf und getestet
EAL 7 Formal verifizierter Entwurf und getestet

Tabelle 1:  7 Stufen der Vertrauenswürdigkeit

Die ULD-Zertifizierung geht über die rein technische Implementierung (Evaluation mittels CC) hinaus. Insbesondere wird großen Wert auf die Dokumentation gelegt. Das ULD ist der Auffassung dass der datenschutzgerechte Einsatz eines Produkts einer sachgerechten Kombination aus

  • Technischen Maßnahmen
  • Organisatorischer Unterstützung
  • Dokumentation

bedarf.

Advertisements

Über Wirtschaftsinformatik

Wissensmanagement Berlin-Brandenburg, Blogger zu den Themen Wirtschaftsinformatik, Wissensmanagement , Informationsmanagement, und Prozessmanagement, sowie zum Leben in Berlin und Brandenburg. Ach ja, und Games. Computerspiele aller Art, Speiele für PC, XBOX, WII, Stretegiespiele, Action, Ego Shooter, einfach alles ;-) Wirtschaft, Betriebswirtschaftslehre (BWL) und Wirtschaftswissenschaften in Schule und Studium sind weitere Themen, die mich beschäftigen Außerdem mag ich Pflanzen und Tiere und allgemein die Natur - Haustiere nicht zu vergessen. Training und Kraftsport sind mir wichtig um fit und in Form zu bleiben.
Dieser Beitrag wurde unter Wissensmanagement abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Kriterien für die Vergabe von Gütesiegeln

  1. Bachelor schreibt:

    Sind diese Kriterien für die Vergabe von Datenschutz Gütesiegeln heute noch aktuell?

    Gefällt mir

Schreiben Sie einen Kommentar zu diesem Artikel unseres Magazins für Wissensmanagement, Informationsmanagement, und Prozessmanagement:

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s