Sicherheitsindustrie definiert ihre Anforderungen

Im Dezember 2017 hat der Fachverband Sicherheit im ZVEI - ­Zentralverband Elektrotechnik- und Elektronikindustrie den Leitfaden „Verfahrensweise zum Nachweis der fortbestehenden Konformität bei Änderungen von Software am Beispiel von Brandmelderzentralen – Anforderungen der ­Industrie“ veröffentlicht. Der Leitfaden beschreibt, wie der Prozess einer agilen Softwarezertifizierung künftig gestaltet werden soll. Martin Bemba, Mitglied des Vorstands im ZVEI, erläutert die ­Hintergründe und Ziele des Projekts.

GIT SICHERHEIT: Herr Bemba, was hat Sie bewogen, diesen Schritt zu gehen?

Martin Bemba: In der Brandmeldetechnik ist die Drittstellenzertifizierung, also die Prüfung und Zertifizierung unserer Produkte auf definierte Anforderungen aus den zugehörigen Normen durch eine zertifizierte Stelle, fest verankert – durch den Dreiklang aus Bauproduktenverordnung, dem entsprechenden Mandat zur Erstellung harmonisierter Normen und die Normen selbst. Die Innovationszyklen von Hardware und Software unterscheiden sich jedoch erheblich. Das hat uns dazu veranlasst, unsere Anforderungen zu definieren, ein Ablaufdiagramm für einen effizienten Prozessverlauf zu erstellen und diesen den Zertifizierungsinstitutionen mitzuteilen, um einerseits wesentliche von nicht wesentlichen Softwareänderungen zu trennen und andererseits den Prozess der Softwarezertifizierung deutlich zu beschleunigen.

Was ist das Novum bei diesem Verfahren?

Martin Bemba: Kernstück ist das Testsystem, das präzise definiert und dann versiegelt wird, und an dem ausgiebig getestet und erprobt werden kann. Erst wenn zusätzliche normenrelevante und zertifizierungsrelevante Funktionen hinzugeführt bzw. verändert werden, müssen die Brandmelderzentrale neu zertifiziert und das Testsystem neu versiegelt werden. Unterhalb dieser Schwelle kann der Hersteller Änderungen am System vornehmen, z.B. Komfortfunktionen, welche nicht normenrelevant sind. Mit dem Testsystem wird die Normenkonformität überprüft, und dieses dient als Grundlage für eine Rezertifizierung der überarbeiteten Software.

Gelten diese Anforderungen nur für Brandmelderzentralen oder ist das Konzept auch auf andere Produkte übertragbar?

Martin Bemba: Grundsätzlich gilt das Verfahren so, wie wir es jetzt beschrieben haben, für jedes Produkt im gleichen Rechtsrahmen. Es ist aber spannend zu verfolgen, ob und wie sich das Verfahren in andere sicherheitstechnische Produkte und Systeme ausbreitet, denn das Thema einer immer höheren Bedeutung von Software in Produkten und unterschiedlicher Innovationszyklen und daran anknüpfend entsprechenden Zertifizierungsdauern zieht sich quer durch alle Felder der Sicherheitstechnik.