Beitrag

Smart Meter doch nicht für alle? Fr 08.01.2016

„certified app“ kommt. Freuen Sie sich auf ein modernes Zertifizierungsverfahren für Apps

Was bei typischen IT-Produkten seit Jahren gang und gäbe ist, klappt bei Apps nicht wirklich gut – nämlich Ihre Zertifizierung. Anerkannte Kriterien wie etwa Common Criteria (CC) zur IT-Sicherheit oder Datenschutz-Gütesiegel passen nicht zu der für Apps typischen rasanten Entwicklung. Um auch bei mobilen Anwendungen (Apps) IT-Sicherheit und Aspekte des Datenschutzes prüfen und bewerten zu können, wurde nun ein neuartiges Prüf- und Zertifizierungskonzept entwickelt.

Das Ergebnis dieses vom Bundesministerium für Bildung und Forschung geförderten Verbundprojektes „ZertApps“ liegt jetzt vor und geht am 11.01.2016 an den Start. Der Name dieses Standards: „certified app“.

Wie funktioniert „certified app“? Jede App ist anders. Eine Taschenlampen-App hat einen völlig anderen Schutzbedarf als eine Messenger-App, die beispielsweise auf das Adressbuch oder die Kamera oder das Fotoalbum zugreift. Daher muss zunächst für jede App der individuelle Prüfmaßstab erstellt werden. Wie bei anerkannten Prüfungen üblich, sind drei Instanzen beteiligt: Zunächst muss der App-Anbieter seine App beschreiben und den korrekten Sicherheitsmaßstab nachweisen, anschließend führt eine Prüfstelle die Evaluierung durch, bevor eine Zertifizierungsstelle die App zertifizieren kann. An dieser Dreiteilung ist festgehalten worden. Die strukturierte Darstellung eines Untersuchungsgegenstands, aus dem sich dann der Sicherheitsmaßstab ergibt, ist regelmäßig mit großen Problemen und Zeitaufwänden verbunden. 

Ein zentrales Ergebnis des Verbundprojektes ist, dass diese strukturierte Darstellung nunmehr durch den App-Anbieter anhand einer sogenannten Selbstauskunft erbringen kann. Ferner wurde durch die Selbstauskunft ein hohes Maß an CC-Formalien beseitigt, die somit schneller den Zugriff auf die wesentlichen Sicherheitsaspekte erlaubt. Die Selbstauskunft wird als Excel-Tabelle verfügbar sein. 

Ferner gibt es vier Prüf-/Siegelstufen; die bei Common Criteria üblichen Vertrauenswürdigkeitskomponenten finden sich dort inhaltlich wieder, wenngleich auf Apps angepasst. Damit ist aus unserer Sicht die weltweit anerkannte CC-Methodik sinn- und zeitgemäß auf Apps adaptiert worden. Zudem soll auch eine niedrige Prüfstufe etabliert werden.

Der gesamte Prüfungs- und Zertifizierungsprozess orientiert sich an etablierten Regelwerken, ist aber an die spezielle Dynamik bei der App-Entwicklung angepasst worden – bis hin zu einem entsprechenden Maintenance-Verfahren. Angestrebt wird, die Zertifizierung – je nach Prüfstufe – innerhalb von 2, 5 resp. 10 Tagen abzuschließen.

Um diese Dynamik im Prüfungs- und Zertifizierungsprozess zu ermöglichen, wurden umfangreiche Tools entwickelt; hier wurden insb. die Analysetools der technischen Partner des ZertApps-Projektes eingebunden.

Damit bietet die datenschutz cert GmbH nunmehr ein Prüf- und Zertifizierungsschema für mobile Anwendungen an, welches der Dynamik der App-Entwicklung Rechnung trägt und sich gleichzeitig an internationalen Standards orientiert. 

Weitere Informationen finden Sie hier bei uns ab nächste Woche.

 

Von Dr. Sönke Maseberg in der Rubrik cert News