In einem Pilotprojekt hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum ersten Mal ein Software-Produkt für E-Mail-Sicherheit nach dem sogenannten BSZ-Verfahren geprüft und zertifiziert. Die BSZ basiert auf einer intensiven Prüfung mit realen Angriffsszenarien und Penetrationstests, bei denen das Produkt immer in typischen und praxisorientierten Einsatzszenarios betrachtet wird.
Beim Paderborner Security-Spezialisten Net at Work knallten kurz vor Weihnachten die Sektkorken. Die hauseigene Produktsuite NoSpamProxy hat als erste und bislang einzige E-Mail-Security-Software vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Zertifizierung nach dem Verfahren der Beschleunigten Sicherheitszertifizierung (BSZ) erhalten. Das BSI ist die Cybersicherheitsbehörde des Bundes und damit insbesondere für alle Ebenen der öffentlichen Verwaltung ein wichtiger Impulsgeber für IT-Sicherheit. Auch für Kommunen ist dies ein wichtiger Meilenstein: Mit NoSpamProxy steht nun ein leistungsstarkes Produkt mit dem Segen des BSI für den Einsatz im öffentlichen Sektor zur Verfügung.
Die Zertifizierung von NoSpamProxy durch das BSI wurde nach dem Verfahren Beschleunigte Sicherheitszertifizierung (BSZ) vorgenommen. Im Gegensatz zu anderen Zertifizierungen, die sich oft nur theoretisch mit den Produkten auseinandersetzen, beinhaltet das BSZ die intensive Prüfung mit realen Angriffsszenarien und umfassenden Penetrationstests. Bisher wurden im BSZ-Rahmen ausschließlich hardwarebasierte Produkte zertifiziert. Auf Initiative von Net at Work wurde erstmals ein Security-Produkt getestet, das als Software auf der Basis von Windows Server ausgeliefert wird und als On-Premises- sowie als Cloud-Lösung verfügbar ist.
In der BSZ werden vollständige Produkte in einem für sie typischen Einsatzszenario und einer vom Hersteller vorgegebenen sicheren Konfiguration untersucht. Auch die Implementierung der im Produkt verwendeten kryptografischen Funktionen und Verfahren wurden durch die vom BSI anerkannte Prüfstelle secuvera – einem unabhängigen Spezialisten für IT-Sicherheit mit anerkannt hoher Reputation – auf Fehler und Schwachstellen untersucht. Nach umfangreicher und zeitintensiver Prüfung durch das Prüflabor konnten keine Schwachstellen gefunden werden. Die Prüfung bestätigt damit die tatsächliche Bereitstellung der zugesagten Sicherheitsleistung.
Grundlage der Zertifizierung war NoSpamProxy Server in der Version 14.0.5.62, das auf einer gemeinsamen Code-Basis mit der Cloud-Version von NoSpamProxy entwickelt wird. Zertifikat, Prüfbericht und die anderen Dokumente aus der BSZ beziehen sich wie üblich auf diese Version. Die Zertifizierung gibt jedoch auch eine Gewähr dafür, dass Kunden über einen definierten Zeitraum bei neu erkannten Schwachstellen mit Sicherheitsaktualisierungen vom Hersteller versorgt werden. So liefert die Zertifizierung durch das BSI potenziellen Anwenderinnen und Anwendern eine eindeutige und verständliche Darstellung der Sicherheitsleistung des genutzten Produkts und eine belastbare Aussage über dessen Widerstandsfähigkeit.
Im aktuellen BSI-Lagebericht über den Stand der IT-Sicherheit in Deutschland werden Malware-E-Mails als einer der drei häufigsten Angriffsvektoren für Cyberangriffe genannt. Andere Untersuchungen gehen sogar von mehr als 90 Prozent aus. Einrichtungen der öffentlichen Verwaltung sind ein bevorzugtes Angriffsziel. Deshalb ist der wirksame Schutz der E-Mail-Kommunikation auch für die kommunale Verwaltung unverzichtbar.
Es war wichtig, dass das BSI nun erstmals ein passendes Softwareprodukt zertifiziert hat. Die erfolgreiche Zertifizierung durch das BSI nach dem BSZ-Verfahren bietet sich jetzt zwingend als Ausschreibungskriterium an, weil nur sie die notwendigen hohen Sicherheitsstandards unabhängig und verlässlich bestätigt.
Das mit NoSpamProxy ein Produkt ‚Made in Germany‘ als erstes mit diesem Prädikat glänzen kann, kommt für Kenner des Marktes nicht überraschend. Schon heute ist das Produkt on premises oder als Cloud-Service tausendfach im Einsatz – auch und vor allem im kommunalen Umfeld. Ein ausschlaggebendes Argument für viele Verwaltungen und öffentliche IT-Dienstleister sind dabei die besonders einfache Einführung und Handhabung des Produktes sowie die niedrigen Aufwände in der IT-Administration. Selbst große Organisationen mit Tausenden Nutzern lassen sich durch die weitgehende Automatisierung in wenigen Tagen in Betrieb nehmen. Da der Schutz vollständig im Hintergrund durchgeführt und auf umständliche Quarantäne- und Spam-Ordner verzichtet wird, können die Mitarbeitenden wie gewohnt weiterarbeiten.
Nie war es für die Verantwortlichen in der kommunalen Verwaltung einfacher, die Vertraulichkeit und Sicherheit der verwaltungsinternen sowie bürgerbezogenen E-Mail-Kommunikation nach BSI-Vorgaben sicherzustellen. Wer jetzt nicht aktiv wird, handelt grob fahrlässig.