Zum Inhalt springen Zum Menü springen

Prüfstelle IT-Sicherheit

BSI anerkannte Prüfstelle für IT-Sicherheit

Dienstleistungungen unserer Prüfstelle für IT-Sicherheit

Unsere Prüfstelle ist seit Februar 2005 eine von nur sieben vom BSI anerkannten Prüfstellen für IT-Sicherheit.

Thema:

Common Criteria

Die Common Criteria for Information Technology Security Evaluation (kurz auch Common Criteria oder CC; zu deutsch: Allgemeine Kriterien für die Bewertung der Sicherheit von Informationstechnologie) sind ein internationaler Standard (ISO/IEC 15408) zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten.

BSI anerkannte Prüfstelle für IT-Sicherheit nach Common Criteria (CC)

BSI anerkannte Prüfstelle für IT-Sicherheit nach Common Criteria (CC)

Unsere Dienstleistungen zu diesem Thema sind:
  • Beratung & Workshops zum Zertifizierungsprozess nach Common Criteria im deutschen Schema entsprechend den BSI Vorgaben
  • Beratung bei der Erstellung von CC-Dokumenten wie z.B.:
    - Security Target (ST)
    - Functional Specification (FSP)
    - TOE Design Specification (TDS)
    - TOE Security Architecture (ARC), etc.
  • Evaluierung von Schutzprofilen (z.B. Smart Meter Gateway) - siehe Downloads & Links
  • Evaluierung von IT-Produkten nach EAL 2+ (z.B. Cisco Catalyst Switch) - siehe Downloads & Links
  • Evaluierung von Standorten gemäß Site Security Target
Thema:

Kassensysteme / Registrierkassen

Elektronische Aufzeichnungssysteme wie z.B. computergestützte Kassensysteme oder Registrierkassen müssen gemäß Abgabenordnung § 146a jeden aufzeichnungspflichtigen Geschäftsvorfall mit Hilfe einer vom BSI zertifizierten technischen Sicherheitseinrichtung (TSE) schützen. Das BSI hat dazu verbindliche Vorgaben an die TSE in Form von Schutzprofilen und Technischen Richtlinien erstellt.

MTG Anerkennungsbereich BSI TR-03151 / BSI TR-03151-TS

MTG Anerkennungsbereich - BSI TR-03151 / BSI TR-03151-TS

Unsere Dienstleistungen zu diesem Thema sind:
  • Beratung zur Erstellung von Sicherheitsvorgaben (ST) gemäß "SMAERS-PP": BSI-CC-PP-0105 "Common Criteria Protection Profile Security Module Application for Electronic Record-keeping Systems"
  • CC-Evaluierung von "SMAERS"-Applikationen gemäß "SMAERS-PP"
  • Beratung zur Technischen Richtlinien BSI TR-03153 "Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme"
  • Beratung zur Technischen Richtlinie BSI TR-03151 "Technical Guideline BSI TR-03151 Secure Element API (SE API)"
  • Konformitätsprüfung von Technischen Sicherheitseinrichtungen für elektronische Aufzeichnungssysteme nach der Testspezifikation BSI TR-03153-TS als Voraussetzung zur Zertifizierung der TSE durch das BSI
Thema:

Smart-Metering

Unsere Dienstleistungen zu diesem Thema sind:

Für Gateway-Administratoren (GWA) und Externe Marktteilnehmer (EMT)

  • Beratung und Unterstützung bei der ISO 27001 Zertifizierung von GWA oder EMT
  • Beratung bei der Umsetzung der Anforderungen aus BSI TR-03109-6 "Smart Meter Gateway Administration" als Voraussetzung zur Zertifizierung als GWA
  • Beratung bei der Definition der GWA-Prozesse
  • Beratung zu den Anforderungen aus der Smart Metering PKI an GWA und aktiver bzw. passiver EMT
  • Erstellung von Sicherheitskonzepten für passive EMTs

Für Smart Meter Gateway Hersteller (GWH)

Gateway Hersteller müssen ihr Produkt gemäß BSI Schutzprofil "BSI-CC-PP-0073" nach Common Criteria und nach Technischer Richtlinie "BSI TR-03109-1" zertifizieren lassen.

  • Beratung und/oder Evaluierung des SMGW (entwicklungsbegleitend) gemäß SMGW-PP
  • Konformitätsprüfung bzw. Evaluierung des SMGW nach TR-03109-1, sobald entsprechende Testspezifikationen vom BSI veröffentlicht sind

Für Sub-CA Betreiber innerhalb der Smart Metering PKI (SM-PKI)

Der Betrieb einer Sub-CA innerhalb der SM-PKI muss nach BSI TR-03145-1 (Secure CA operation, Part 1) zertifiziert sein und die Anforderungen der Certificate Policy der SM-PKI erfüllen.

  • Beratung und Unterstützung bei der ISO 27001 Zertifizierung des Sub-CA Betreibers
  • Beratung bei der Definition der Sub-CA Prozesse nach TR-03145-1 und deren Unterstützung durch den Einsatz geeigneter Zertifikatemanagment-Software (z.B. MTG Metering-CA)
  • Unterstützung beim Prozess der Zertifizierung nach BSI TR-03145-1
  • Unterstützung bei der Erfüllung der Anforderungen aus der SM-PKI Certificate Policy
  • Erstellung der Sub-CA Certificate Policy
Thema:

Geldspielgeräte

Geldspielgeräte müssen von der PTB (Physikalisch Technische Bundesanstalt) zugelassen werden. Dazu hat die PTB in einer Technischen Richtlinie auch Anforderungen an die Manipulationssicherheit der Geldspielgeräte formuliert. Ein Hersteller von Geldspielgeräten muss mit dem Zulassungsantrag ein Gutachten einer vom BSI anerkannten Prüfstelle darüber vorlegen, dass das Spielgerät die PTB Richtlinien einhält.

Unsere Dienstleistungen zu diesem Thema sind:
  • Beratung der Gerätehersteller zu den IT-Sicherheitsanforderungen an Geldspielgeräte aus der Technischen Richtlinie
  • Erstellung des Sicherheitsgutachtens gemäß der Technischen Richtlinie für Geldspielgeräte zur Manipulationssicherheit als Voraussetzung zur Zulassung der Bauart durch die PTB
Thema:

Pfandsysteme

Zählzentrumsbetreiber für die Rücknahme von pfandpflichtigen Einweggetränkeverpackungen müssen sich durch die DPG (Deutsche Pfandsystem GmbH) zertifizieren lassen. Neben der Überprüfung der mechanischen Komponenten von Zählzentren ist auch die IT-seitige Überprüfung Bestandteil der Zertifizierung.

Unsere Dienstleistungen zu diesem Thema sind:
  • Allgemeine Beratung zu den Anforderungen der DPG an die IT Sicherheit von Zählzentren
  • Prüfung und Dokumentation der IT Sicherheit von Rücknahmesystemen von pfandpflichtigen Einweggetränkeverpackungen gemäß den Vorgaben der DPG als Voraussetzung für die Zertifizierung

 

Thema:

Schwachstellenanalyse

IT-Systeme gewinnen mehr und mehr an Komplexität. Installations- und/oder Konfigurationsfehler sowie deren komplexe Kommunikationsbeziehungen unter Nutzung öffentlicher Netzwerke eröffnen oftmals sicherheitsrelevante Angriffsmöglichkeiten. Schwachstellenanalysen  zielen darauf ab, diese meist unternehmenskritischen Angriffsmöglichkeiten zu identifizieren und aus den Ergebnissen Handlungsempfehlungen zu deren Abwehr abzuleiten.

Unsere Dienstleistungen zu diesem Thema sind:
  • Penetrationstest von „außen“
  • „White Box“ Tests von innen
  • Erarbeitung von Handlungsempfehlungen

Downloads & Links

Was können wir für Sie tun?

Wir freuen uns, von Ihnen zu hören.

Loading …