Wir haben bei der Zertifizierung von Software einen Meilenstein erreicht.
Fast alle Kunden, die sich für eine Common Criteria (CC) Zertifizierung interessieren, stellen uns zu Beginn eine Frage: Was passiert mit meinem Zertifikat, wenn ich ein Update herausbringe, ist es dann noch gültig? Bisher war die Antwort: Nein, und das hat niemanden glücklich gemacht. Das ändert sich mit der Anwendung der neuen ISO/IEC TS 9569.
Unser Kollege Sebastian Fritsch hat als Co-Editor in der ISO mit einem Team von CC-Experten an einer Lösung für das Update- bzw. Patch-Problem gearbeitet. Die Idee: Ich lasse mein Patchmanagement gleich mit zertifizieren, dann kann ich mein Zertifikat später auch leichter „patchen“, analog zu meiner Software.
Wir freuen uns, dass das BSI als erste Zertifizierungsstelle das neue ISO-Konzept im Rahmen eines Pilotverfahrens mit unserem Kunden genua in einem Projekt mit uns als Prüfstelle umgesetzt hat. Das BSI hat darüber bereits auf der ICCC23 Konferenz in Washington im Herbst 2023 berichtet.
Wir haben alle einen langen Atem gebraucht, aber es funktioniert. Dies waren die Meilensteine des Piloten:
- Schritt 1: Vollständige Zertifizierung des Produkts in 2021 mit Patch-Management. Erkennbar an der Assurance Klasse ALC_PAM.1 im Security Target (Anmerkung: Dies war eine vorläufige Version von ALC_PAM.1, die endgültige ist im veröffentlichten ISO Dokument zu finden).
- Schritt 2: Durchführung der „Fast Track Maintenance“ im Jahr 2023 (BSI-DSZ-CC-1154-2023-MA-01)
Die nun etablierte Lösung funktioniert wie folgt: Ein Zertifikat ist 5 Jahre gültig, wenn ich das Patchmanagement von Anfang an mit aufgenommen habe. Dann kann ich über eine “ Fast Track Maintenance“ ausgewählte (oder alle) Software-Updates in den Geltungsbereich des Zertifikats einbeziehen. Vereinfacht gesagt: Ich patche mein Zertifikat mit.
Damit ist es uns gelungen, die Common Critiera für den Bereich Software zu modernisieren und praktikabler zu gestalten. Wir freuen uns nun darauf, den Ansatz in die breite Anwendung zu bringen.
Parallel dazu wurde EUCC nun auch im europäischen Amtsblatt veröffentlicht und die CC-Community beginnt nun mit der Migration auf den neuen europäischen Standard. In EUCC hat man verstanden, dass es einen Patch Management Mechanismus geben muss. Zwar bleibt EUCC noch etwas vage, wie dies realisiert werden soll. Aber mit der ISO/IEC TS 9569 haben wir jetzt einen Baustein, um einen standardisierten Patch-Management-Mechanismus zu nutzen. Das ursprüngliche Patch Management in der CC hat nun einen Namen: ALC_PAM.1.
Sprechen Sie uns auf Patch Management in der CC und die Fast-Track-Evaluierung mit dem BSI an. Wir erklären Ihnen gerne den Prozess.