Positionierung der FG EZQN

Die Fachgruppe Evaluation, Zertifizierung, Qualitätssicherung, Normung (EZQN) widmet sich der ganzheitlichen Bewertung von Cyber-Sicherheit und Cyber-physical Systems, u.a. Fahrzeugen, sowie querschnittlichen Aspekten wie Metriken von IT-Sicherheit. Sie schlägt dabei eine Brücke zur Normung, vor allem des DIN NIA-01-27 IT-Sicherheitsverfahren und zu FOCUS.ICT.

Das Fundament zur Positionierung der FG EZQN

Ausgehend von obiger Kurzdarstellung überarbeiten wir gerade unsere Themen und die entsprechende Beschreibung. Daher ist es sehr wertvoll, hier als weiterbestehendes, fachliches Fundament unsere alte Positionierung aus der damaligen Web-Seite der FG EZQN nachstehend wiederzugeben.

Die Komplexität heutiger Informationstechnik macht eine Beurteilung ihrer Sicherheit durch einfache "Draufschau" unmöglich. Entsprechend haben sich verschiedene Verfahren zur Qualitätssicherung und Beurteilung von IT, speziell bezüglich ihrer sicherheitsrelevanten Eigenschaften entwickelt. Im allgemeinen geht es darum, zu sicheren Produkten und Systemen und zu aussagekräftigen, verlässlichen, vergleichbaren und nachvollziehbaren Aussagen über eben diese Sicherheit zu kommen.  Im Englischen ist dieser Bereich oft bei "Product/System Security Assurance" angesiedelt, und es ist sehr sinnvoll die "IT-Qualitätssicherung" dabei zu haben, denn die jeweiligen Prozesse kommen mehr und mehr zusammen.

Ein relativ etablierter Weg zu mehr Erkennbarkeit der Sicherheit von IT ist, sie durch unabhängige Dritte (Prüflabors) auf der Basis veröffentlichter Kriterien evaluieren zu lassen. Solche Evaluationen helfen dann auch Nichtexperten, Systeme in Bezug auf ihre Sicherheit und die eigenen Anforderungen einzuschätzen. Hersteller oder Dienstanbieter können in seriöser Weise aufzeigen und prüfen lassen, welche Eigenschaften ihre Angebote haben.

Evaluation und Qualitätssicherung setzen jedoch nicht notwendigerweise unabhängige Dritte voraus, sondern können auch innerhalb der Organisation des jeweiligen Herstellers vorgenommen werden. Möglicherweise lassen sich diese Formen von Evaluation und Qualitätssicherung auch leichter in den Erstellungsprozess integrieren. Aktuelle Fragen des Gebietes sind z.B.

  • Vergleichbarkeit der verschiedenen Evaluationsmethoden und Qualitätssicherungsverfahren sowie deren Ergebnisse. Ein verwandtes Projekt ist das "Framework of IT Security Assurance" (ISO/IEC WD 15443).
  • Pflege und Überarbeitung der verschiedenen Evaluationskriterien, etwa der "Common Criteria" (IS15408).
  • Protection Profiles auf der Basis von IS 15408, die anwendungsspezifische Anforderungen und Eigenschaften dokumentieren.
  • Zugänglichkeit der Prüfergebnisse in einer auch für Nicht-Experten verständlichen Form und über eine geeignete Infrastruktur, etwa die Verbraucherberatungen.
  • die verschiedenen Zertifizierungsprozesse mit ihren organisatorischen Randbedingungen: Hier sind z.B. die rechtliche Relevanz und organisatorische Voraussetzungen interessant, auch die Frage der Gültigkeit und internationalen Anerkennung von Zertifikaten.

Das Thema "Normung" ist in vielerlei Hinsicht "orthogonal" zu "Evaluation, Zertifizierung und Qualitätssicherung" wie auch zu Sicherheit allgemein.

Allerdings wird Normung von unterschiedlichen Teilgruppen innerhalb der Sicherheitsszene unterschiedlich wichtig genommen, weswegen sie (einstweilen) dort angesiedelt ist, wo sie unbestritten wichtig ist, nämlich im Zusammenhang mit Evaluation und Zertifizierung.