Prüfung von Kommunikationssoftware durch das BSI

Berlin: (hib/STO) Um die Prüfung von Kommunikationssoftware durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht es in der Antwort der Bundesregierung (20/8599) auf eine Kleine Anfrage der Fraktion Die Linke (20/8376). Wie die Fraktion darin schrieb, prüft das BSI unter anderem Softwarelösungen für die sichere Kommunikation der Bundesverwaltung. Wissen wollte sie unter anderem, welche Prüfungshandlungen das BSI „bei initialen Zertifizierungsverfahren für Kommunikationslösungen (Software)“ vornimmt, die in der Bundesverwaltung etwa zur Sicherung von Kommunikation auf mobilen Geräten eingesetzt wird,

Dazu führt die Bundesregierung aus, dass sich alle Prüfungen im Rahmen von Zulassungsverfahren „nach den im BSI-Nachweiskatalog definierten Sicherheitsanforderungen für eine Evaluierung mit dem Ziel der Zulassung für die Verarbeitung von Informationen bis zu einem Geheimhaltungsgrad “Verschlusssache - Nur für den Dienstgebrauch„ (VS-NfD)“ richteten. Diese auch für Nato- und EU-Zulassungen gültigen Kriterien basierten auf den internationalen Standards ISO 15408 (CommonCriteria) und ISO 18045 (Common Methodology for Information Technology Security Evaluation).

Sie definieren laut Bundesregierung einen vollständigen Satz an Anforderungen an die Nachweise für eine Prüfung, die von Herstellern und Evaluatoren im Rahmen eines VS-NfD Zulassungsverfahrens gemäß Verschlusssachenanweisung (VSA) erfüllt werden sollen. Ebenfalls enthalten seien Anforderungen zur Prüfung von Produktupdates bei bereits zugelassenen Produkten.

Sämtliche genannten Prüfschritte können den Angaben zufolge sowohl durch das BSI als auch durch von ihm anerkannte Prüfstellen durchgeführt werden. Die Erteilung der Zulassung selbst obliege auf Grundlage dieser Prüfergebnisse dem im BSI verorteten Zulassungsreferat.