Vertrauenswürdiges Enterprise Mobility Management (EMM)

Transkript

1 Vertrauenswürdiges Enterprise Mobility Management (EMM) Trusted Mobile App Trusted Mobile Service Trusted Mobile Solution Trusted Mobile Infrastructure

2 Inhalt 1 Dienstleistungsbeschreibung Verfahrensbeschreibung Trusted Mobile App Trusted Mobile Service Trusted Mobile Solution Trusted Mobile Infrastructure Trusted Mobile Gütesiegel Managed Services 8 2 Prüfkriterien Sicherheitsaussage Architektur und Design Quellcode-Analyse Schwachstellenanalyse und Penetrationstests Datensparsamkeit Betriebsvorgaben Mobile Device Management (MDM) Mobile Application Management (MAM) Mobile Content Management (MCM) Änderungsmanagement 11 3 Projektablauf 12 4 Trusted Mobile Gütesiegel im Überblick 14 5 Über TÜViT 15 6 Ansprechpartner 19

3 1 Dienstleistungsbeschreibung Sichere mobile Lösungen im Enterprise Mobility-Umfeld zeichnen sich dadurch aus, dass das Sicherheitsmanagement und die für die Sicherheit erforderlichen organisatorischen und technischen Sicherheitsmaßnahmen umgesetzt, durch eine unabhängige Stelle geprüft und mittels eines entsprechendes Gütesiegels bestätigt sind. 1.1 Verfahrensbeschreibung Zur Prüfung und Bestätigung von IT-Infrastrukturen, Apps, Diensten und komplexen Lösungen im Enterprise Mobility-Umfeld hat TÜViT die Prüfmethodik Mobile Security Seal Assessment (MSSA) entwickelt. Das Mobile Security Seal Assessment (MSSA) wurde als standardisiertes Verfahren in das Trusted Gütesiegel-Programm der TÜV Informationstechnik GmbH (TÜViT) aufgenommen als Trusted Mobile App für mobile Anwendungen, Trusted Mobile Service für mobile Anwendungen und Internetdienste, Trusted Mobile Solution für komplexe vernetzte Lösungen und Trusted Mobile Infrastructure für IT-Infrastrukturen und adressiert etablierte Anwendungsszenarien aus dem Enterprise Mobility Management (EMM). Diese Prüfmethodik erlaubt die Untersuchung von IT-Infrastrukturen, IT-Services, komplexen IT-Lösungen und mobilen Anwendungen in angemessener Weise und unter besonderer Berücksichtigung der in der Regel anzutreffenden Heterogenität, Komplexität und Dynamik. Trusted Mobile Gütesiegel Seite 1 19

4 Die Prüfkriterien und das Prüfverfahren orientieren sich dabei am CESG Tailored Assurance Service (CTAS) der britischen CESG 1 sowie den entsprechenden Richtlinien des OWASP 2, des WASC 3 und des BSI 4. Bei der Absicherung mobiler Anwendungsszenarien sollen sowohl technische als auch infrastrukturelle, organisatorische und personelle Maßnahmen zum Einsatz kommen. Das Prüfverfahren zu den Trusted Gütesiegeln konzentriert sich auf die technische und prozedurale Sicherheit von Infrastrukturen, Systemen und Services. Das Mobile Security Seal Assessment zeichnet sich durch ein systematisches und ingenieurmäßiges Vorgehen aus, welches eine wesentlich höhere Flexibilität bietet als beispielsweise das reine Abarbeiten von formalen Checklisten. Dabei wird auf Grundlage der modularen Prüfkriterien ein höherer Prüfumfang und eine höhere Prüftiefe als durch herkömmliche Verfahren erreicht. Diese umfassen je nach Anwendungsfall und angestrebter Vertrauenswürdigkeit (siehe Kapitel 2) das Erstellen technischer Sicherheitsanforderungen und das ableiten von Sicherheitsaussagen, Forderungen an Architektur und Design, die Revision von Betriebsvorgaben, die Durchführung von Schwachstellenanalysen und Penetrationstests, die Prüfung des verwendeten Quellcodes sowie Forderungen an ein geeignetes Änderungsmanagement. Aufgrund ihrer modularen Struktur ist das Prüfverfahren Mobile Security Seal Assessment geeignet, eine Vielzahl von Prüfobjekten von relativ einfachen Einzelkomponenten bis hin zu hochkomplexen vernetzen mobilen Lösungen für sehr unterschiedliche Anwendungsszenarien zu untersuchen. Die Bandbreite erstreckt sich dabei technologieübergreifend von einfachen Apps über Internetdienste und IT-Infrastrukturen bis hin zu komplexen vernetzten Lösungen im Enterprise Mobility-Umfeld. 1 The National Technical Authority for Information Assurance 2 The Open Web Application Security Project 3 The Web Application Security Consortium 4 Bundesamt für Sicherheit in der Informationstechnik Trusted Mobile Gütesiegel Seite 2 19

5 Prüfobjekte, welche erfolgreich durch die Prüfmethodik MSSA geprüft werden, sind zur Nutzung der Gütesiegel Trusted Mobile App, Trusted Mobile Service, Trusted Mobile Solution oder Trusted Mobile Infrastructure berechtigt. Im Vergleich dazu werden unter dem Begriff Sicherheitstechnische Untersuchung (SU) Prüf- und Beratungsdienstleistungen zu den genannten Themenbereichen angeboten, wenn seitens des Auftraggebers keine Ausstellung eines Gütesiegels gewünscht wird Trusted Mobile App Mit Trusted Mobile App bieten wir spezielle Prüf- und Beratungsdienstleistungen zu Apps auf mobilen Endgeräten an. Sofern der Funktionsumfang der App eine regelmäßige Kommunikationsverbindung zu einem korrespondierenden Internetdienst voraussetzt, bietet sich zudem das Trusted Mobile Service Assessment an Trusted Mobile Service Die Trusted Mobile Service-Dienstleistungen zielen auf die Schwachstellenanalyse von Internetdiensten für Apps und OS-Funktionen von mobilen Endgeräten ab. Dabei werden die zugrundeliegenden Dienste der Service Provider und IT-Dienstleister berücksichtigt Trusted Mobile Solution Im Zuge der Trusted Mobile Solution-Dienstleistungen werden komplexe, vernetzte Produktlösungen aus Apps, Services und optional fernbedienbaren Produkten untersucht. Hierbei werden anwendungsspezifische Hard- und Softwarekomponenten sowie Schnittstellen des Prüfobjekts berücksichtigt Trusted Mobile Infrastructure TÜViT stellt mit den Trusted Mobile Infrastructure-Dienstleistungen eine effiziente Möglichkeit zur Verfügung, die um mobile Endgeräte erweiterte Infrastruktur (Cloud sowie On-Premise) von Organisationen auf technische und organisatorische Sicherheitslücken zu überprüfen. Dabei wird die zugrundeliegende Infrastruktur der Service Provider und IT- Dienstleister berücksichtigt. Trusted Mobile Gütesiegel Seite 3 19

6 Die MSSA-Prüfaspekte für das Trusted Mobile Infrastructure Gütesiegel orientieren sich an dem Ausbau und Umfang des Enterprise Mobility Management (EMM) Systems. In Abhängigkeit davon, wie viele Anforderungen an die Kerndisziplinen der IT-Infrastruktur erfüllt werden, erhöht sich die Vertrauenswürdigkeit, die sich in den in Tabelle 1 aufgelisteten Prüflevel und Siegelstufen widerspiegelt. Prüflevel Beschreibung Überprüfung der Sicherheitsarchitektur Prüfung der Sicherheitsfunktionen auf Netzwerk - und Anwendungsebene (inkl. Webservices) Kriterien von Level 1 sowie Überprüfung der Sicherheitsfunktionen des Mobile Device Management (MDM) Systems und des Mobile Application Management (MAM) Systems Kriterien von Level 1 und Level 2 sowie Überprüfung der Sicherheitsfunktionen des Mobile Content Management (MCM) Systems Tabelle 1: Security Assurance Level Trusted Mobile Gütesiegel Seite 4 19

7 1.2 Trusted Mobile Gütesiegel Basierend auf den MSSA-Prüfkriterien kann bei Erfüllung aller Teilaspekte für das untersuchte Prüfobjekt ein Gütesiegel ausgestellt werden. Abbildung 1 zeigt die Anwendungsbereiche des MSSA als Prüfmethodik auf verschiedene Prüfobjekte. Bei der Überprüfung dieser Prüfobjekte aus dem Enterprise Mobility-Umfeld wird zusätzlich zu den Prüfkriterien des MSSA in Abhängigkeit des jeweiligen Anwendungsszenarios auf entsprechende Regelwerke zurückgegriffen. Abbildung 1: Anwendungsbereiche des MSSA Zudem unterscheiden sich die jeweiligen Anwendungsszenarien in den Sicherheitsaussagen. Die Sicherheitsaussagen werden aus den abgestimmten technischen Sicherheitsanforderungen abgeleitet. Diese können individuell zwischen dem Auftraggeber und TÜViT festgelegt werden. Im Rahmen des MSSA werden die sicherheitstechnischen Eigenschaften des Prüfobjekts sowie prozedurale Aspekte zur Unterstützung der sicherheitstechnischen Eigenschaften bewertet. Bauliche Aspekte liegen nicht im Fokus des MSSA. Trusted Mobile Gütesiegel Seite 5 19

8 Die aus den technischen Sicherheitsanforderungen abgeleiteten Sicherheitsaussagen werden in Kurzform auf dem entsprechenden Gütesiegel abgedruckt. Das Gütesiegel gilt gemäß den Nutzungsbedingungen ein Jahr und kann auf Basis eines Re-Assessments vor Ablauf des ersten Jahres verlängert werden. Unter der Voraussetzung, dass das Prüfobjekt zum Zeitpunkt des Re-Assessments nicht weiterentwickelt bzw. angepasst wurde, kann maximal zwei Mal hintereinander ein verkürztes MSSA zur Aufrechterhaltung des Gütesiegels durchgeführt werden. Drei Jahre nach der initialen Prüfung und Bestätigung durch das Gütesiegel muss ein vollständiges MSSA durchgeführt werden. Das Gütesiegel steht dem Auftraggeber gemäß den Nutzungsbedingungen für werbliche Zwecke zur Verfügung. Ebenso wird das entsprechende Gütesiegel seitens TÜViT unter veröffentlicht. Der Auftraggeber hat das Recht, einer solchen Veröffentlichung zu widersprechen. Trusted Mobile Gütesiegel Seite 6 19

9 Die nachfolgenden Gütesiegel weisen exemplarische Sicherheitsaussagen aus. Trusted Mobile Gütesiegel Seite 7 19

10 1.3 Managed Services Um ein kontinuierlich hohes Sicherheitsniveau zu gewährleisten, können die genannten Mobile Security-Dienstleistung auch in Form eines Managed Services in den folgenden Ausprägungen beauftragt werden. Das zusätzlich erhöhte Sicherheitsniveau des Prüfobjekts wird dabei durch den Zusatz Monitored und Re-Tested auf dem Gütesiegel hervorgehoben, siehe exemplarisch Abbildung 2. Monitoring des Prüfobjekts Zusätzlich zur initialen Prüfung des Objekts kann ein Monitoring beauftragt werden. Dabei sammelt TÜViT relevante Angriffsvektoren für das Prüfobjekt und dem jeweiligen Anwendungsszenario und testet diese innerhalb der Vertragslaufzeit in regelmäßigen Abständen neu. Re-Testing von Anpassungen und Änderungen des Prüfobjekts Ergänzend zur initialen Prüfung kann ein Re-Testing von neuen Features, Anpassungen und Änderungen des Prüfobjekts beauftragt werden. Dabei werden künftige Anpassungen des Prüfobjekts im Rahmen des Änderungsmanagements innerhalb der Vertragslaufzeit neu getestet (siehe Abbildung 2). Abbildung 2: Mustergütesiegel Trusted Mobile Solution Trusted Mobile Gütesiegel Seite 8 19

11 2 Prüfkriterien Zur Ermittlung der sicherheitstechnischen Eigenschaften beinhaltet der Anforderungskatalog Prüfkriterien, die in angemessener Art und Weise auf das zu bestätigende Prüfobjekt zugeschnitten werden. Die Festlegung der relevanten Prüfkriterien erfolgt durch die Prüfer, in Abstimmung mit dem Auftraggeber. Tabelle 2 stellt dar, welche Prüfkriterien für Apps, Internetdienste, komplexe Lösungen und IT-Infrastrukturen im Enterprise Mobility-Umfeld anwendbar sind. App Service Solution Infrastructure Sicherheitsaussagen Quellcode-Analysen Architektur und Design Schwachstellenanalysen und Penetrationstests Datensparsamkeit Betriebsvorgaben Mobile Device Management (MDM) Mobile Application Managment (MAM Mobile Content Management (MCM) Änderungsmanagement (verpflichtend für Managed Service) Tabelle 2: Prüfkriterien 2.1 Sicherheitsaussage Die verwendeten technischen Sicherheitsanforderungen müssen geeignet definiert und prüfbar sowie für das anwendungsspezifische Szenario des Prüfobjekts angemessen sein. Aus den technischen Sicherheitsanforderungen werden die Prüfaussagen in Kurzform abgeleitet, welche als Sicherheitsaussagen auf dem Gütesiegel bestätigt werden. Die Sicherheitsaussagen können entsprechend den Vorstellungen des Auftraggebers individuell mit TÜViT abgestimmt werden. Trusted Mobile Gütesiegel Seite 9 19

12 2.2 Architektur und Design Es wird bewertet, ob für das MSSA ausreichend Informationen über das Prüfobjekt hinsichtlich seiner Komponenten, Schnittstellen, Sicherheitsfunktionalitäten und Abhängigkeiten zur Verfügung stehen. Zudem werden Architektur und Design hinsichtlich ihrer anwendungsspezifischen Eignung bewertet. 2.3 Quellcode-Analyse Während der Entwicklung von Apps können sich auch bei sorgfältiger Arbeitsweise Fehler und potentielle Schwachstellen einschleichen. Ziel dieses Prüfkriteriums ist die Identifizierung von Schwachstellen im Quellcode. Die Quellcode-Analyse ist gemäß dem White Box-Ansatz als Ergänzung zu den Penetrationstests und dem Änderungsmanagement zu verstehen. 2.4 Schwachstellenanalyse und Penetrationstests Das Prüfobjekt darf keine bekannten oder generischen Schwachstellen aufweisen. Die Schwachstellen werden gemäß den anwendungsspezifischen Sicherheitsanforderungen bewertet. 2.5 Datensparsamkeit Das Prüfobjekt darf keine unnötigen Berechtigungen einfordern und Daten verarbeiten, welche über den Anwendungszweck hinausgehen. 2.6 Betriebsvorgaben Mittels dieser Prüfkriterien wird untersucht, ob die dokumentierten Betriebsvorgaben für das Prüfobjekt angemessen und aktuell sind. 2.7 Mobile Device Management (MDM) Es wird bewertet, inwieweit geeignete Funktionen zur Verwaltung von mobilen Endgeräten implementiert sind, um die Sicherheit des Prüfobjekts zu erhöhen. Trusted Mobile Gütesiegel Seite 10 19

13 2.8 Mobile Application Management (MAM) Es wird bewertet, inwieweit geeignete Funktionen zur Verwaltung von Apps und Features implementiert sind um die Sicherheit des Prüfobjekts zu erhöhen. 2.9 Mobile Content Management (MCM) Es wird bewertet, inwieweit geeignete Funktionen zur Absicherung der vom Prüfobjekt verarbeiteten Daten implementiert sind Änderungsmanagement Beim Änderungsmanagement wird im Rahmen der optionalen Managed Services bewertet, inwieweit die Anpassungen und Änderungen einer sicherheitsorientierten Wartung und Weiterentwicklung genügen, um ein akzeptables Sicherheitsniveau über den gesamten Lebenszyklus des Prüfobjekts zu gewährleisten. Trusted Mobile Gütesiegel Seite 11 19

14 3 Projektablauf Ein beauftragtes MSSA-Projekt beginnt mit einem Workshop oder Kick- Off-Meeting. Hier werden die Prüfkriterien vorgestellt, das Prüfobjekt festgelegt und detailliert besprochen. Zudem wird der Prüfablauf mit dem Auftraggeber abgestimmt. Die bereits vom Auftraggeber dokumentierten technischen Sicherheitsanforderungen werden mit den TÜViT-Sicherheitsanforderungen abgeglichen, gegebenenfalls ergänzt und dokumentiert. Falls dem Auftraggeber noch keine Sicherheitsaussagen für das Gütesiegel vorschweben, werden diese bei Bedarf in einem separaten Workshop aus den technischen Sicherheitsanforderungen abgeleitet. Abbildung 3: Projektablauf Trusted Mobile Gütesiegel Seite 12 19

15 Nach Festlegung der technischen Sicherheitsanforderungen werden zu den vereinbarten Terminen die jeweiligen Prüfobjekte nach den relevanten Prüfkriterien geprüft. Die Zeitdauer dieser Prüfung, vor allem der technischen Tests, hängt stark vom zu untersuchenden Prüfobjekt ab. Unter Umständen kann die Prüfung neben eigenen Tests auch das Nachvollziehen bereits vom Auftraggeber durchgeführter Untersuchungen beinhalten. Nach der Prüfung werden die ermittelten Erkenntnisse den definierten Sicherheitsanforderungen gegenüber gestellt und bewertet. Ein ausführlicher Prüfbericht für den Auftraggeber fasst die Ergebnisse der Tests und Analysen zusammen. Dieser vermittelt in Form von Auflagen, Empfehlungen und Hinweisen die identifizierten Auffälligkeiten. Vor der Bestätigung des Prüfobjekts durch das Gütesiegel müssen die Auflagen durch den Auftraggeber behoben werden. Sofern alle Prüfkriterien und technischen Sicherheitsanforderungen erfüllt sind, wird ein entspre chendes Gütesiegel ausgestellt, welches die Sicherheitsaussagen in Kurzform wiederspiegelt. Aus Erfahrungen mit früheren Prüfungen und Bestätigungen nach dem Schema des Mobile Security Seal Assessments lässt sich die durchschnittliche Dauer eines Projekts auf etwa 2 bis 6 Wochen beziffern; gerechnet von der Angebotsanfrage bis zur Bestätigung durch das Gütesiegel. TÜViT legt hierbei großen Wert auf enge Zusammenarbeit mit dem Auftraggeber, um einen schnellen und reibungslosen Ablauf des jeweiligen Projekts zu gewährleisten. Trusted Mobile Gütesiegel Seite 13 19

16 4 Trusted Mobile Gütesiegel im Überblick TÜViT vergibt im Rahmen des Mobile Security Seal Assessments (MSSA) Trusted Mobile Gütesiegel, die die Erfüllung von Sicherheitsanforderungen unterschiedlicher Prüfobjekte bestätigen. Trusted Mobile App Untersuchungsgegenstand im Rahmen des Mobile Assessments ist die IT-Sicherheit von Apps auf mobilen Endgeräten (typischerweise native Apps oder hybride Apps) und bestätigt die Erfüllung von abgestimmten Sicherheitsaussagen. Trusted Mobile Infrastructure Untersuchungsgegenstand im Rahmen des Mobile Assessments ist die IT-Sicherheit von IT-Infrastrukturen (typischerweise im Cloud-, On- Premise- und Hybrid-Szenario unter Berücksichtigung von mobilen Endgeräten wie Smartphones und Tablets) und bestätigt die Erfüllung von abgestimmten Sicherheitsaussagen. Trusted Mobile Service Untersuchungsgegenstand im Rahmen des Mobile Assessments ist die IT-Sicherheit von Internetdiensten (typischerweise im Cloud- und Hybrid-Szenario in Zusammenhang mit einer mobilen App oder OS-Funktionen von mobilen Betriebssytemen) und bestätigt die Erfüllung von abgestimmten Sicherheitsaussagen. Trusted Mobile Solution Untersuchungsgegenstand im Rahmen des Mobile Assessments ist die IT-Sicherheit von komplexen, vernetzten Lösungen (typischerweise im Cloud-, On-Premise- und Hybrid-Szenario in Zusammenhang mit Apps, Internetdiensten und optional fernbedienbaren Komponenten, welche gesteuert und verwaltet werden) und bestätigt die Erfüllung von abgestimmten Sicherheitsaussagen. Prüfobjekte der Gütesiegel Trusted Mobile Infrastructure, Service und App können in Abhängigkeit des Komplexitätsgrads auch durch das Gütesiegel Trusted Mobile Solution bestätigt werden. Trusted Mobile Gütesiegel Seite 14 19

17 5 Über TÜViT Die TÜV Informationstechnik GmbH - kurz TÜViT - mit Sitz in Essen ist einer der führenden Prüfdienstleister für IT-Sicherheit und IT-Qualität. Wir unterstützen Hersteller, Betreiber und Anwender von IT-Systemen, IT- Produkten sowie IT-Infrastrukturen durch Prüfung und Zertifizierung, ihre Unternehmenswerte zu bewahren. Unsere Experten im Bereich der IT-Sicherheit konzentrieren sich auf Themen wie Common Criteria Evaluationen, Cyber Security, Mobile Security, Industrial Security, Penetrationstests, Bewertung von Informationssicherheits-Managementsystemen nach ISO/IEC sowie Datenschutz-Audits. Ein weiterer Aspekt ist die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit. Im Bereich der IT-Qualität koordiniert TÜViT anhand anerkannter Standards das Projekt-, Qualitäts- und Risikomanagement, um unsere Kunden beim Erreichen wichtiger Unternehmensziele zu unterstützen. Unsere Dienstleistungen werden stets nach dem Stand der Technik ausgeführt und erfüllen höchste Sicherheits- und Qualitätsansprüche. Zahlreiche Akkreditierungen und Zertifizierungen durch nationale und internationale Organisationen und Behörden weisen unsere Kompetenzen auf dem Gebiet der IT-Sicherheit und IT-Qualität nach. Bundesamt für Sicherheit in der Informationstechnik Anerkennung nach DIN EN ISO/IEC 17025:2005 für Prüfungen nach ITSEC/ITSEM/CC/CEM sowie BSI-TR , BSI-TR , BSI-TR 03132, BSI TR und BSI TR Teil 3 und Teil 5 IT-Sicherheitsdienstleister für den festgelegten Anwendungsbereich IS-Revision und IS-Beratung und Penetrationstests Lizenzierte Auditoren für IT-Grundschutz und ISO/IEC Lizenzierte Auditoren für D Trusted Mobile Gütesiegel Seite 15 19

18 Deutsche Akkreditierungsstelle Prüflabor für IT-Qualität: Kompetenz für Prüfungen in den Bereichen IT-Ergonomie und IT-Sicherheit, akkreditiert nach DIN EN ISO/IEC 17025:2005 Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach ITSEC/ITSEM/CC/ISO 15408/CEM Prüfstelle IT-Ergonomie: Akkreditierung für Evaluationen nach DIN EN ISO , DIN EN ISO , ISO/IEC 25051, DIN EN ISO und ISO Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten, Prozessen und Dienstleistungen in den Bereichen IT-Sicherheit und Sicherheitstechnik (ITSEC, Common Criteria, ETSI EN / / / , ETSI TS / / , DIN EN :2014 / -2:2014 / -3:2014) nach DIN EN ISO/IEC 17065:2013 Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten, Prozessen und Dienstleistungen nach DIN EN ISO/IEC 17065:2013 und ETSI EN V2.2.2 im Bereich qualifizierte Vertrauensdiensteanbieter und die von ihnen erbrachten qualifizierten Vertrauensdienste im Anwendungsbereich der VERORDNUNG (EU) Nr. 910/2014 (eidas) Bundesnetzagentur Bestätigungsstelle nach SigG/SigV für die Bestätigung von Produkten für qualifizierte elektronische Signaturen Bestätigungsstelle nach SigG/SigV für die Bestätigung der Umsetzung von Sicherheitskonzepten für Zertifizierungsdiensteanbieter Die Deutsche Kreditwirtschaft Gelistete Prüfstelle für elektronischen Zahlungsverkehr Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Sachverständige Prüfstelle für IT-Produkte (rechtlich/technisch) EuroPriSe Gutachter (rechtlich/technisch) Trusted Mobile Gütesiegel Seite 16 19

19 Information-technology Promotion Agency, Japan Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach CC/CEM National Institute of Technology and Evaluation, Japan Prüfstelle IT-Sicherheit: Akkreditierung nach DIN EN ISO/IEC in dem Bereich der IT / Common Criteria Evaluationen (Lab Code: ASNITE0019T) National Institute of Standards and Technology National Voluntary Laboratory Accreditation Program, USA Prüfstelle IT-Sicherheit (NVLAP Lab Code: ) für Cryptographic Module Testing (Scopes 17BCS, 17CAV/01, 17CMH1/01, 17CMH1/02, 17CMH2/01, 17CMH2/02, 17CMS1/01, 17CMS1/02, 17CMS2/01, 17CMS2/02) und Biometrics Testing Europay, MasterCard and Visa, USA/Großbritannien/Japan Full Service Laboratory für Prüfungen von ICs und Chipkarten nach EMVCo Sicherheitsrichtlinien Modular Label Auditor Visa, USA Test House zur Durchführung von Visa Chip Product Sicherheitsevaluationen MasterCard, Großbritannien Akkreditiert zur Durchführung von CAST (Compliance Assessment and Security Testing) Evaluationen Betaalvereniging Nederland, Niederlande Evaluation Laboratory Trusted Mobile Gütesiegel Seite 17 19

20 In nationalen und internationalen Forschungsprojekten und Gremien gestaltet TÜViT den Stand der Technik aktiv mit. TÜViT betreibt selbst ein wirksames Qualitätsmanagementsystem und Umweltmanagement, welche nach ISO 9001:2008 bzw. ISO 14001:2004 zertifiziert sind und erfüllt somit die hohen Ansprüche und Erwartungen ihrer Kunden. TÜViT gehört zur TÜV NORD GROUP mit Hauptsitz in Hannover. TÜV NORD beschäftigt über Mitarbeiter weltweit und ist neben dem nationalen Markt in 70 Staaten Europas, Asiens und Amerikas vertreten. Während der 140-jährigen TÜV-Tradition hat TÜV NORD technische Tests und Prüfungen in zahlreichen Bereichen durchgeführt und entwickelt. Die TÜV NORD GROUP ist nach ihren Grundsätzen verpflichtet, ihre Dienstleistungen unabhängig sowie neutral anzubieten und durchzuführen. Trusted Mobile Gütesiegel Seite 18 19

21 6 Ansprechpartner Dennis Schröder, M. Sc. Product Manager Cyber Security Services TÜV Informationstechnik GmbH TÜV NORD GROUP Langemarckstraße Essen Tel.: Fax: Version: 2.0 Trusted Mobile Gütesiegel Seite 19 19