VS-Zulassung für IT-Sicherheitsprodukte: Anforderungen und Ablauf

Wer IT-Sicherheitsprodukte für den VS-Kontext entwickelt, beschafft oder betreibt, entscheidet nicht nur über technische Funktionen. Er entscheidet auch darüber, ob ein Produkt in sicherheitskritischen Beschaffungsvorhaben überhaupt anschlussfähig ist.

Die zentrale Frage lautet deshalb früh: Übernimmt das Produkt eine Sicherheitsfunktion für den Schutz von Verschlusssachen und fällt es damit in den Zulassungskontext der Verschlusssachenanweisung?

Diese Frage wirkt zunächst formal. In der Praxis kann sie jedoch über Produktarchitektur, Nachweisführung, Dokumentation, Projektplanung und Beschaffungsfähigkeit entscheiden. Wird sie zu spät gestellt, entstehen häufig Nacharbeiten: technische Unterlagen passen nicht zum erwarteten Prüfkontext, Einsatzgrenzen bleiben unscharf oder die Abgrenzung zur späteren VS-Freigabe des Informationsverbunds wurde nicht sauber gezogen.

Die VS-Zulassung ist deshalb kein nachgelagerter Stempel für ein fertiges Produkt. Sie ist ein eigener Prüf- und Nachweiskontext für IT-Sicherheitsprodukte, die im Umfeld von Verschlusssachen eingesetzt werden sollen. Für Hersteller kann sie Zugang zu regulierten Märkten schaffen. Für Bedarfsträger und Betreiber bietet sie Orientierung bei der Frage, ob ein Produkt für einen konkreten VS-Einsatz in Betracht kommt.

Eine VS-Zulassung wird relevant, wenn ein IT-Sicherheitsprodukt Sicherheitsfunktionen für den Schutz von Verschlusssachen erfüllt. Maßgeblich ist dabei nicht allein die Produktbezeichnung. Entscheidend ist, welche Sicherheitsfunktion das Produkt im vorgesehenen VS-Einsatz übernimmt.

Welche Produktklassen und Produkttypen betroffen sein können, ergibt sich aus dem VS-Produktkatalog und den zugehörigen VS-Anforderungsprofilen. Die BSI-Schrift 7164 führt zugelassene IT-Sicherheitsprodukte und -systeme auf und gibt damit Orientierung zu bestehenden Zulassungen.

Ein Produkt kann in einem allgemeinen IT-Sicherheitskontext unkritisch erscheinen, im VS-Kontext aber eine zentrale Schutzfunktion übernehmen. Umgekehrt ist nicht jedes Produkt mit Sicherheitsbezug automatisch zulassungsrelevant. Die Einordnung hängt von Produkttyp, Sicherheitsfunktion, Schutzbedarf und Einsatzumgebung ab.

Damit beginnt die Prüfung nicht mit der technischen Detailbewertung, sondern mit einer fachlichen Einordnung:

• Welche Rolle spielt das Produkt im VS-Kontext?
• Welches VS-Anforderungsprofil könnte einschlägig sein?
• Welche Einsatzgrenzen sind absehbar?
• Welche Nachweise werden benötigt, damit eine Bewertung möglich wird?

Für Hersteller ist diese Einordnung auch strategisch relevant. Sie beeinflusst, ob ein Produkt in staatlichen, behördlichen oder sicherheitssensiblen Beschaffungskontexten überhaupt als belastbare Option wahrgenommen wird.

Die Verschlusssachenanweisung unterscheidet zwischen der Zulassung von IT-Sicherheitsprodukten und der Freigabe von VS-IT im konkreten Betrieb. Für die Produktseite sind insbesondere die Regelungen zur Zulassung und zu IT-Sicherheitsfunktionen relevant. Für den Betrieb eines Informationsverbunds ist dagegen die Freigabeebene maßgeblich.

Diese Trennung verhindert ein häufiges Missverständnis: Ein zugelassenes IT-Sicherheitsprodukt macht einen Informationsverbund noch nicht freigegeben. Die Produktzulassung betrachtet das Produkt und seine Sicherheitsfunktion. Die VS-Freigabe betrachtet den konkreten Betrieb eines Informationsverbunds mit Architektur, Prozessen, Rollen, Nachweisen und Betriebsbedingungen.

Der VS-Produktkatalog des BSI konkretisiert die Zulassungslogik für Produktklassen und Produkttypen. Die VS-Anforderungsprofile beschreiben, welche Anforderungen für bestimmte Produkttypen relevant sind. Die BSI-Schrift 7164 listet zugelassene IT-Sicherheitsprodukte und -systeme

Für Hersteller bedeutet das: Die Zulassungsfähigkeit sollte nicht erst geprüft werden, wenn ein Kunde danach fragt oder eine Ausschreibung kurz vor Veröffentlichung steht. Sie gehört in Produktstrategie, Architekturentscheidungen und Dokumentationsplanung.

ür Bedarfsträger bedeutet es: Die Produktauswahl darf sich nicht allein an Funktionslisten orientieren. Sie muss zum Schutzbedarf, zum vorgesehenen VS-Einsatz und zu den späteren Betriebsbedingungen passen.

Für Hersteller ist die VS-Zulassung mehr als eine regulatorische Hürde. Sie kann beeinflussen, wie ein Produkt positioniert, weiterentwickelt und in sicherheitskritischen Beschaffungen bewertet wird.

Das gilt besonders, wenn Produkte für Behörden, staatliche Lieferketten, kritische Infrastrukturen oder sicherheitssensible Industrien vorgesehen sind. In solchen Umfeldern reicht eine überzeugende Funktionsbeschreibung häufig nicht aus. Entscheidend ist, ob Sicherheitsannahmen, Einsatzgrenzen und Nachweise so dokumentiert sind, dass sie in einem geregelten Prüf- und Zulassungskontext nachvollzogen werden können.

Auch für Bedarfsträger und Betreiber reduziert eine frühe Einordnung Planungsrisiken. Sie verhindert, dass ein technisch geeignet wirkendes Produkt eingeplant wird, das im konkreten VS-Einsatz später nicht die erwarteten Voraussetzungen erfüllt.

Eine früh geklärte Zulassungsrelevanz garantiert noch kein erfolgreiches Verfahren. Sie verhindert aber, dass Grundsatzfragen erst sichtbar werden, wenn Produktdesign, Ausschreibung oder Betriebsplanung bereits weit fortgeschritten sind.

Der Weg zur VS-Zulassung beginnt mit der fachlichen Einordnung des Produkts. Dazu gehören der Abgleich mit dem VS-Produktkatalog, die Prüfung vorhandener VS-Anforderungsprofile und die Beschreibung der Sicherheitsfunktion im geplanten Einsatz.

Je nach Produkttyp und Verfahren können formale Anträge, technische Prüfungen, Schwachstellenanalysen, Einsatz- und Betriebsbedingungen sowie befristete Zulassungen oder Einsatzerlaubnisse eine Rolle spielen. Deshalb sollte das Verfahren nicht als reine Dokumentationsaufgabe verstanden werden. Es betrifft Produktstrategie, Sicherheitsarchitektur, technische Nachweise und Abstimmung mit Bedarfsträgern.

Zunächst muss geklärt werden, welcher Produkttyp vorliegt und ob dieser im VS-Produktkatalog oder in einem VS-Anforderungsprofil abgebildet ist. Eine grobe Produktkategorie reicht meist nicht aus. Entscheidend ist die Sicherheitsfunktion im konkreten VS-Einsatz.

Eine Komponente kann Teil einer größeren Plattform sein, im VS-Kontext aber eine klar abgrenzbare Sicherheitsfunktion übernehmen. Dann muss geprüft werden, ob genau diese Funktion zulassungsrelevant ist und wie sie beschrieben werden kann.

Umgekehrt kann ein Produkt mehrere Funktionen vereinen, von denen nur einzelne für den Zulassungskontext maßgeblich sind. Diese Abgrenzung bestimmt, welche Unterlagen, Nachweise und Abstimmungen später erforderlich werden.

Im nächsten Schritt werden Architektur, Schnittstellen, Sicherheitsfunktionen und technische Nachweise aufbereitet. Für das Verfahren zählt, ob die Unterlagen eine nachvollziehbare Bewertung ermöglichen.

Relevante Punkte sind insbesondere:

• Sicherheitsfunktion,
• Einsatzgrenzen,
• Architektur,
• sicherheitsrelevante Komponenten,
• Schnittstellen,
• Abhängigkeiten,
• Sicherheitsannahmen,
• Betriebsbedingungen,
• produktbezogene Nachweise.

Viele Hersteller verfügen über technische Dokumentation, aber nicht zwingend über prüffähige Nachweise im Sinne eines VS-Zulassungskontexts. Für eine Bewertung reicht es nicht, intern zu wissen, wie ein Produkt funktioniert. Die Sicherheitsfunktion muss so beschrieben sein, dass Dritte sie prüfen, einordnen und gegen Anforderungen spiegeln können.

Darauf folgt die formale und technische Bewertung im Zulassungskontext. Je nach Produkttyp und Verfahren können unterschiedliche Nachweise, Abstimmungen und technische Analysen erforderlich werden.

Hersteller sollten deshalb früh realistisch einschätzen, welche internen Ressourcen benötigt werden. Zulassungsvorhaben betreffen nicht nur Entwicklungsteams. Häufig sind Produktmanagement, Sicherheitsarchitektur, Dokumentation, Geschäftsführung, Rechtsabteilung und gegebenenfalls Lieferkettenverantwortliche beteiligt.

Gerade bei komplexen Produkten entstehen häufig Lücken zwischen technischer Realität, Produktmarketing und prüffähiger Dokumentation. Diese Lücken sind kein reines Dokumentationsproblem. Sie können zeigen, dass Sicherheitsannahmen, Produktgrenzen oder Einsatzbedingungen noch nicht ausreichend geklärt sind.

In vielen Vorhaben wird die Zulassungsfrage zu spät gestellt. Das Produktdesign ist weit fortgeschritten, eine Beschaffung wird vorbereitet oder ein Bedarfsträger hat bereits konkrete Erwartungen formuliert. Dann zeigt sich, dass Produkttyp, Sicherheitsfunktion oder Nachweisstand nicht ausreichend eingeordnet wurden.

Typische Ursachen sind:

• unklare Produktabgrenzung,
• fehlender Abgleich mit dem VS-Produktkatalog,
• keine klare Zuordnung zu einem VS-Anforderungsprofil,
• unvollständige Beschreibung der Sicherheitsfunktion,
• technische Dokumentation ohne Prüfbezug,
• Vermischung von Produktzulassung und VS-Freigabe.

Strategisch betrachtet geht es dabei nicht nur um Verfahrensaufwand. Wenn ein Produkt im VS-Kontext eingesetzt werden soll, aber Sicherheitsfunktion, Einsatzgrenzen oder Nachweise nicht prüffähig beschrieben sind, entsteht Unsicherheit bei allen Beteiligten. Diese Unsicherheit kann Beschaffungsentscheidungen, Projektlaufzeiten und die spätere Einbindung in den Informationsverbund beeinflussen.

Wer nicht nur ein Produkt bewertet, sondern einen Informationsverbund für VS-IT plant, sollte ergänzend den Beitrag „VS-Freigabe von Informationsverbünden nach § 50 VSA“ lesen.

Die Produktzulassung beantwortet die Frage, ob ein IT-Sicherheitsprodukt für eine bestimmte Sicherheitsfunktion im VS-Kontext zugelassen ist oder zugelassen werden kann. Die VS-Freigabe beantwortet dagegen, ob ein konkreter Informationsverbund mit seinen Systemen, Schnittstellen, Rollen, Prozessen und Nachweisen für den Betrieb mit Verschlusssachen freigegeben werden kann.

Gerade deshalb sollten Hersteller, Bedarfsträger und Betreiber beide Ebenen früh zusammendenken. Ein Produkt kann für sich betrachtet überzeugend sein, aber im konkreten Verbund nur dann seinen Zweck erfüllen, wenn Einsatzbedingungen, Rollen, Schnittstellen und Betriebsprozesse passen.

Die VS-Zulassung eines Produkts ist ein Baustein für den späteren Betrieb in einer VS-IT-Umgebung. Sie ersetzt aber nicht die Freigabe des Informationsverbunds.

Vor Beginn eines Zulassungsvorhabens sollten drei Fragen beantwortet sein:

1. Ist der Produkttyp im VS-Produktkatalog oder in einem VS-Anforderungsprofil des BSI abgebildet?
2. Welche Sicherheitsfunktion übernimmt das Produkt im geplanten VS-Einsatz?
3. Sind Architektur, Schnittstellen, Einsatzgrenzen und Nachweise so dokumentiert, dass eine Bewertung möglich ist?

Diese Fragen schaffen eine Grundlage für die Abstimmung zwischen Hersteller, Bedarfsträger, Prüfstelle und BSI. Gleichzeitig helfen sie, Aufwand, Zuständigkeiten und Risiken früh einzuordnen.

Für Hersteller ist das auch eine Frage der Produktreife. Eine gute Sicherheitsarchitektur muss nicht nur funktionieren. Sie muss im Zulassungskontext erklärbar, prüfbar und unter definierten Einsatzbedingungen betreibbar sein.