Home | Kontakt | Akkreditierungen | Aktuelles | Themen | Newsletter | Jobs

Dienstleistungen / Zertifikatslisten / Referenzen / Über uns /

August 2008

 

Themen:

datenschutz cert GmbH

Die beiden Geschäftsbereiche "Prüfstelle IT-Sicherheit" und "Zertifizierungsstelle" der datenschutz nord GmbH wurden in eine neue Gesellschaft - die datenschutz cert GmbH - ausgegliedert.

Dieser für das weitere Wachstum des Unternehmens wichtige Schritt wurde notwendig, um der wachsenden Nachfrage nach unabhängigen Prüf- und Zertifizierungsdienstleistungen noch besser gerecht werden zu können. "Inhaltlich und personell bleibt alles beim Alten: Die Akkreditierung als Prüf- und Bestätigungsstelle werden in der datenschutz cert GmbH weitergeführt. Damit stehen wir Ihnen wie bisher sowohl für Common Criteria-Evaluierungen und IT-Grundschutz/ISO 27001-Audits sowie für Datenschutz-Gütesiegel und Bestätigungen nach Signaturgesetz kompetent zur Seite", so Dr. Sönke Maseberg, Geschäftsführer der datenschutz cert GmbH.

Weitere Informationen zum Dienstleistungsportfolio sowie zu den bislang durchgeführten Prüfungen und Zertifizierungen finden Sie unter www.datenschutz-cert.de.

Common Criteria Version 3.1

Die Common Criteria (CC) werden ständig weiterentwickelt; seit 2007 ist die Version 3.1 aktuell. Für die Vorgängerversion der CC - die CC 2.3 - endeten die Übergangsfristen für Evaluierungen im März 2008; Re-Zertifizierungen sind nach CC 2.3 noch bis September 2009 möglich.

Die Common Criteria 3.1 bieten gegenüber den vorherigen Versionen einige Veränderungen und Vereinfachungen. Darüber hinaus wurde das Modell einer Basis-Evaluierung - die sogenannte "Low Assurance"-Evaluierung für EAL1 - eingeführt, die als Einstieg in eine CC-Evaluierung gedacht ist und die sich insbesondere durch einen geringeren Aufwand und niedrigere Kosten niederschlagen soll.

Alle unsere Evaluatoren sind beim BSI zu den CC 3.1 anerkannt, so dass wir Ihnen Evaluierungen auch nach diesem Standard anbieten können.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet einen sogenannten "Transition guide for ALC, ACM, ADO and AGD" an, der die Unterschiede zwischen CC v2.3 und CC v3.1 bzgl. der vorgenannten Vertrauenswürdigkeitsklassen angibt.

ISO 27001/ IT-Grundschutz-Prüfschema mit Vor-Audit

Das BSI hat das Prüfschema für die Zertifizierung von Informationssicherheits-Managementsystemen (ISMS) nach ISO 27001 auf der Basis von IT-Grundschutz aktualisiert.

Das Prüfschema für ISO 27001-Audits in Version 2.1 http://www.bsi.bund.de/gshb/zert/ISO27001/Pruefschema_V.2.1.pdf bietet als wichtige Neuerung das sogenannte Voraudit, bei dem der Auditor gezielt einzelne Aspekte des Audits auswählen und stichprobenartig prüfen kann. Außer intensiven Gesprächen mit dem Antragsteller hat der Auditor die Möglichkeit, sich Dokumente, Prozeduren und Implementierungen anzusehen, um einen Eindruck davon zu bekommen, ob ein Zertifizierungsaudit prinzipiell zu einem positiven Ergebnis führen könnte.

Das Voraudit bietet auch deshalb einen Vorteil gegenüber der bisherigen Vorgehensweise, weil die Chance besteht, grundsätzliche Mängel vor der eigentlichen Auditierung identifizieren und ggf. beheben zu können.

ISO 27002

Die ISO 27000-Familie wächst: Während ISO 27001 Anforderungen an ein Informationssicherheits-Managementsysteme (ISMS) formuliert und im Anhang A in den sogenannten Controls A.5 bis A.15 präzisiert, sind diese Controls in der ISO 27002-Norm näher ausgeführt.

ISO 27002 enthält den Inhalt der vormaligen Normen ISO 17799 bzw. BS 7799-1 hervor, welche viele Best Practices-Ansätze aus dem Bereich der Informationssicherheit enthält.

Algorithmenkatalog

Alljährlich berät eine Expertenkommission über die Güte kryptographischer Algorithmen - was insbesondere für die kryptographischen Signaturalgorithmen im Hinblick auf rechtsverbindliche qualifizierte elektronische Signaturen gem. Signaturgesetz wichtig ist.

Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen veröffentlicht diese Übersicht über geeignete Algorithmen. In der derzeit gültigen "Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen)" vom 17. Dezember 2007 ist u. a. beschlossen worden:

  • Die Hashfunktion SHA-1 ist Ende Juni 2008 ausgelaufen; aufgrund der speziellen Datenstruktur von Zertifikaten ist SHA-1 allerdings für die Erzeugung qualifizierter Zertifikate noch länger geeignet - bis Ende 2009 bzw. Ende 2010 (mit höherer Entropie bei der Generierung von Seriennummern).
  • Der Signaturalgorithmus RSA mit 1024 Bit langen Schlüsseln ist Ende März 2008 ausgelaufen. RSA mit 1280 Bit läuft Ende 2008 aus.
  • Für den Signaturalgorithmus DSA werden folgende Bitlängen bis Ende 2008 als geeignet eingestuft: für den Parameter p 1280 Bit und für den Parameter q 160 Bit.

Längerfristig sind folgende Eignungen zu berücksichtigen:

  • Hashfunktion RIPEMD-160 noch bis Ende 2010;
  • RSA mit 1536 Bit noch bis Ende 2009 und mit 1728 Bit bis Ende 2010;
  • DSA mit 1536 Bit noch bis Ende 2009;
  • Für RSA und DSA werden 2048 Bit empfohlen.

Weitere Informationen finden Sie unter:
http://www.bundesnetzagentur.de/media/archive/12198.pdf.

Derzeit laufen die Beratungen innerhalb der Expertengruppe für die nächste Zusammenstellung geeigneter kryptographischer Algorithmen.