--- 17.8.1995 --- -------------------------------- Gesellschaft fuer Informatik e.V. -------------------------------- Pressemitteilung (Langfassung) ============================================================== GI gegen Ersetzung unabhaengiger Pruefungen fuer IT-Sicherheit ============================================================== Ein neues Verfahren der Selbstbewertung hinsichtlich der Vertrauenswuerdigkeit von IT-Produkten - insbesondere von Software - hat das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) in einer fuer Hersteller und Vertreiber von IT-Produkten offenen Veranstaltung vorgestellt. Damit soll zukuenftig das bisherige Verfahren der Evaluierung durch unabhaengige Dritte (akkreditierte Pruefstellen) ersetzt oder zumindest ergaenzt werden. Getreu der Initiative des US-amerikanischen National Institute for Standards and Technology (NIST) sollen Produkte in Zukunft nicht mehr nur von hersteller-neutralen Pruefstellen evaluiert werden (Third-Party-Evaluierung). Vielmehr soll jeder, der Software herstellt, sie auch gleich selbst evaluieren koennen. Das Zertifikat soll bei Hersteller- wie bei Third-Party-Evaluierung vom BSI nach Ueberpruefung des Evaluierungsergebnisses erteilt werden. Der Vorschlag des BSI ist eine Reaktion auf die seit Jahren von den grossen Herstellern vorgetragenen Bedenken, dass bei einer Evaluierung durch Dritte - eben den akkreditierten unabhaengigen Pruefstellen - das entsprechende Know-how des jeweiligen Herstellers an die Pruefstellen und evtl. auch an die Konkurrenz abfliessen koenne, weil fuer die Evaluierung die Hersteller eine Fuelle von Dokumenten, ggf. bis hin zum Source-Code, der Pruefstelle uebergeben muessen. Die Praxis spricht dagegen; denn inzwischen hat eine ganze Reihe von Herstellern mit den unabhaengigen Pruefstellen nicht nur problemlos, sondern auch erfolgreich Evaluierungen durchgefuehrt. Die GI ist der Ansicht, das eine abschliessende Entscheidung ueber eine Selbstbewertung erst gefaellt werden kann, wenn die Ziele dieses neuen Verfahrens, die anwendbaren Massnahmen und die Verfahrensvoraussetzungen geklaert und offengelegt worden sind. Die GI wird - auch in der EU und international - aktiv fuer eine offene Diskussion und eine klare Entscheidung eintreten. Sie erwartet vom Bundesamt fuer Sicherheit in der Informationstechnik (BSI) vor einer Entscheidung eine offenen Diskussion. Erlaeuterungen ============== Gefahren der Selbstpruefung --------------------------- Wenn das Verfahren einer Selbstpruefung zugelassen wird, duerfte in Zukunft der Hard- und Software-Markt mit einer Fuelle von nur noch vom Hersteller selbst geprueften Produkten ueberschwemmt werden. Es muss davon ausgegangen werden, dass erfahrene Anwender keinem Zertifikat trauen, dass lediglich auf einer Evaluierung durch den Hersteller selbst basiert. Schon jetzt legen Anwender zunehmend mehr Wert auf den Inhalt des Evaluierungsberichts als auf das Zertifikat. Werden nun Evaluierungsberichte von den Herstellern selbst erstellt, wird gerade dieses fuer Anwender bisher vertrauenswuerdigste Ergebnis entwertet. Ausserdem verliert die Zertifizierung durch eine Vermischung von Verfahrensteilen der Selbstevaluierung mit einem staatlichen Zertifizierungsverfahren die notwendige Transparenz fuer den Anwender. Mit einem Verfahren der Selbst-Bewertung kann daher das gesamte Evaluierungs- und Zertifizierungsverfahren in Frage gestellt werden. Alternativen ------------ Wenn ueber Alternativen zum bisherigen Verfahren der Evaluierung durch unabhaengige Pruefstellen nachgedacht werden soll, dann muss in erster Linie das gesamte Verfahren noch staerker als bisher auf die Sicherheitsbeduerfnisse der Endanwender ausgerichtet und fuer die Anwender transparent sein. Dazu ist eine klare Trennung und Regelung der Verantwortlichkeiten unabdingbar. Bestandteil des Zertifikats muessen notwendigerweise klare Angaben ueber zugesicherte Eigenschaften sowie klare Angaben zur Gewaehrleistung der in den Evaluierungs- und Zertifizierungsberichten niedergelegten Aussagen und Bewertungen (Produkthaftung) sein. Insbesondere muss aus dem Zertifikat fuer den Anwender klar erkennbar sein, 1. wer Hersteller des jeweiligen Systems oder Produkts ist, ---------- 2. welches Unternehmen als Sponsor die Evaluierung veranlasst hat, ------- 3. welche akkreditierte Pruefstelle das Produkt evaluiert hat ------------------------ und in welchem Verhaeltnis diese Pruefstelle zum Sponsor oder Hersteller steht oder ob der Hersteller selbst evaluiert hat und 4. welche Pruef- und Sicherheitskriterien der Evaluierung zugrunde ------------------------------ gelegt wurden. Zu pruefen ist, ob durch eine Festlegung der Verfahrensgrundlagen wie der Prozessevaluierung sowie der Dokumentationsanforderungen nach ISO 9000 eine bessere Transparenz des Evaluierungsverfahrens erreicht werden kann. Dringend ueberprueft werden muss weiterhin, mit welchen Massnahmen - bei gleicher oder hoeherer Evaluierungsqualitaet - die Evaluierungskosten gesenkt und ausserdem die jeweilige Evaluierungsdauer verkuerzt werden kann. Fazit ----- Angesichts der Bedeutung der Informationsverarbeitung - insbesondere als risikobehafteter Technik - fordert die Gesellschaft fuer Informatik (GI) die Verantwortlichen in den zustaendigen Behoerden nachdruecklich auf, vor einer endgueltigen Entscheidung ueber eine Selbstevaluierung eine breite Diskussion nicht nur in der Fachwelt, sondern in der gesamten Oeffentlichkeit mit den Betroffenen - Anwendern, Herstellern, akkreditierten Pruefstellen, Hochschulen und Forschungseinrichtungen, Datenschutzbeauftragten - sowie allen Interessierten einzuleiten und damit eine offene nationale Diskussion zu diesem Thema anzuregen und zu ermoeglichen und so * den - sei es auch nur partiellen - Ersatz der Third-Party-Evaluierung durch die Herstellerpruefung oder gar die Selbsterklaerung durch die Hersteller von Hardware, Software und Systemen zu ueberdenken und * eine klare Entscheidung ueber das kuenftig einzuschlagende Verfahren (Selbstbewertung oder Evaluierung durch akkreditierte unabhaengige Pruefstellen) herbeizufuehren.