Privatissimum

Staat akkreditiert Privatwirtschaft für Sicherheitszertifikate

Trends & News | News

Künftig dürfen einige Dienstleister staatlich anerkannte Sicherheitszertifikate für Informationstechnologie vergeben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verhandelt zur Zeit abschließend mit privaten Unternehmen über ihre Zulassung.

Nach monatelangen Verhandlungen wird unter anderen die Daimler-Benz-Tochter Debis IT Security Services mit dem BSI einen Vertrag über die staatliche Anerkennung privatwirtschaftlicher Sicherheitszertifikate abschließen. TÜViT, ein Unternehmen des Rheinisch-Westfälischen TÜVs und auch der TÜV Bayern verhandeln ebenfalls mit dem BSI. Diese Vereinbarungen gelten allerdings nur für die Zertifizierung von IT-Produkten und -Systemen. Darüber hinaus laufen offenbar auch schon Vorverhandlungen für die Zulassung von Trust-Centern nach dem Signaturgesetz mit der neuen Regulierungsbehörde für Post und Telekommunikation (siehe unten).

Für die beteiligten Unternehmen ist der Einstieg ins Zertifizierungsgeschäft nicht nur eine wichtige Abrundung ihres Angebots, sie hoffen auch auf eine Stärkung ihrer Marktposition. Die Verträge mit dem BSI ermöglichen Sicherheitsprüfungen allgemeiner Art. Damit wird von Chipkarten-Lesegeräten, Betriebssystemen, Verschlüsselungsverfahren und Viren-Scannern über Großrechner bis hin zum Mülltonnen-ID-System jedes IT-Produkt zertifizierbar sein. Der Zertifizierungsreport belegt, über welchen Widerstandswert die Sicherheitsmechanismen verfügen, und beschreibt die Sicherheitseigenschaften in Verbindung mit den überprüften Bedrohungen. Außerdem legt er die Anforderungen an Installation sowie Einsatzumgebung fest und nennt inhärente Schwachstellen und entsprechende Gegenmaßnahmen.

Die sechs möglichen ITSEC-Evaluations-Stufen sagen jedoch lediglich etwas über Tiefe und Qualität der Prüfmethoden aus, nicht unbedingt über die Qualität des evaluierten Produkts. Heinrich Kersten, Leiter des Projektbereichs Zertifizierung bei Debis und Ex-Chef der BSI-Abteilung `Wissenschaftliche Grundlagen und Zertifizierung´, hofft, eine `effektive und unbürokratische Evaluierung und Zertifizierung auf technisch hohem Niveau anzubieten´. Bereits in den letzten Wochen sei eine `sehr positive Resonanz´ seitens der Industrie zu verzeichnen. Bereits nach wenigen Tagen, statt früher Monaten, entschieden sich die Unternehmen für einen Vertrag.

Mit staatlicher Erlaubnis können künftig private Anbieter Zertifizierungsstellen mit behördlicher Anerkennung nach DIN 45011 betreiben. Sie können Sicherheitszertifikate für Produkte, Systeme und Dienstleistungen neben den Vorgaben der ITSEC und des Signaturgesetzes auch nach den Common Criteria (CC), der Signaturverordnung, ZKA- (Zentraler Kreditausschuß), BSI- oder EBA-Kritierien und DBAG-Spezifikationen sowie nach Vorgaben der neuen Regulierungsbehörde für Post und Telekommunikation herausgeben. Eine Anerkennung privater Zertifizierungsstellen seitens des BSI setzt jedoch voraus, daß sie gleichwertige Sicherheit aufweisen wie das BSI selbst. Das BSI wird auch weiterhin selbst Zertifizierungen durchführen sowie zur Qualitätskontrolle Stichprobenprüfungen bei den akkreditierten Firmen durchführen. (nl)

[#anfang Seitenanfang]


Das Begleitgesetz zum Telekommunikationsgesetz (TKG) kann in Kraft treten. Nach dem Bundestag hat am 28. November auch der Bundesrat dem Gesetz zugestimmt. Es regelt die personalrechtlichen Voraussetzungen für den `Nachfolger´ des Postministeriums, die neue Regulierungsbehörde für Post und Telekommunikation. Außerdem ändert es den Anwendungsbereich der Überwachungsvorschriften in der Strafprozeßordnung sowie im G10- und Außenwirtschaftsgesetz. Diese erfassen nun alle `geschäftsmäßigen Erbringer von Telekommunikationsdiensten´.

In Zukunft müssen daher alle, die auf Dauer `Telekommunikation für Dritte´ anbieten, die zur Überwachung erforderlichen technischen Voraussetzungen schaffen. Das Spektrum reicht also weit über die Telekom AG hinaus. Setzt beispielsweise ein Unternehmen kein eigenes, internes Telekommunikationsnetz ein, sondern greift es (beispielsweise für ein Corporate Network) auf externe Dienstleister zurück oder organisiert innerhalb eines Konzerns ein Tochterunternehmen das Netz für andere mit, ist der Anwendungsbereich der Überwachungsvorschriften eröffnet.

Ein Änderungsantrag von Bündnis 90/Die Grünen, mit dem die Überwachung in Anlehnung an die frühere Rechtslage auf das Erbringen von Diensten für die Öffentlichkeit beschränkt werden sollte, fand bei der Bundestagsabstimmung am 30. Oktober keine Mehrheit (zur Kritik eines Vertreters dieser Fraktion siehe c't 13/97, Seite 72). Allerdings können manche kleinere Anbieter oder Betreiber bestimmter Nebenstellenanlagen hoffen, unter Umständen von aufwendigen und teueren Umrüstungs- oder Neuanschaffungsmaßnahmen verschont zu bleiben. Neu gegenüber dem Regierungsentwurf (siehe c't 11/97, Seite 136) ist nämlich, daß auch das 1996 verabschiedete Telekommunikationsgesetz selbst geändert wird. Anbieter von Telekommunikation können unter bestimmten Umständen von der Verpflichtung befreit werden, die technischen Überwachungseinrichtungen zu schaffen. Näheres wird hier die Nachfolgeverordnung zur Fernmeldeverkehrs-Überwachungsverordnung (FÜV) regeln. Sie darf in Zukunft bestimmen, `bei welchen Telekommunikationsanlagen aus grundlegenden technischen Erwägungen oder aus Gründen der Verhältnismäßigkeit ... technische Einrichtungen zur Durchführung von Überwachungsmaßnahmen nicht zu gestalten oder vorzuhalten sind.´

Auch sonst weist der jetzt verabschiedete Gesetzestext gegenüber dem Regierungsentwurf einige Änderungen auf. So ist beispielsweise die geplante strafprozessuale Auskunftsregelung über Verbindungsdaten in der Telekommunikation weggefallen. Das geht auf Bedenken des Bundesdatenschutzbeauftragten und der Bundestagsausschüsse in bezug auf spezielle Berufsgeheimnisse zurück (etwa Ärzte oder Rechtsanwälte). Dafür verlängert das Begleitgesetz die Geltung der Auskunftsvorschrift in §12 Fernmeldeanlagengesetz (FAG) bis Ende 1999 - eigentlich sollte sie bereits jetzt abgelöst werden. Statt dessen wird die Bundesregierung in einem Beschluß des Innenausschusses aufgefordert, bis zum 30. April 1998 einen neuen Entwurf vorzulegen, der den Berufsgeheimnissen Rechnung trägt. (nl)