Common Criteria Zertifizierung nach ISO/IEC 15408

Die Common Criteria (CC) sind ein international anerkanntes Zertifizierungsschema für IT-Sicherheitsprodukte. Sie sind in der Norm ISO/IEC 15408 definiert und bieten ein standardisiertes Verfahren zur Evaluierung der Sicherheitseigenschaften eines Produkts. Ziel ist es, eine nachvollziehbare und verlässliche Bewertung der Sicherheitsfunktionen durchzuführen.

Die Common Criteria basieren auf der ISO/IEC 15408, die als internationaler Standard für die Sicherheitsbewertung von IT-Produkten dient. Die Evaluierung erfolgt durch akkreditierte Prüflabore, die von nationalen Zertifizierungsstellen beaufsichtigt werden. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zentrale Prüfinstanz für Common Criteria Zertifizierungen.

Die Common Criteria Zertifizierung findet Anwendung in sicherheitskritischen Bereichen, insbesondere in der Finanzdienstleistungsbranche sowie im Telekommunikationssektor. Hier werden Produkte wie Firewalls, Smartcards, Verschlüsselungslösungen oder Betriebssysteme auf ihre Sicherheit hin überprüft, um Datenschutz und Systemsicherheit zu gewährleisten.

Anwendungsbereich

Die Common Criteria richten sich an Unternehmen und Behörden, die IT-Sicherheitsprodukte einsetzen und dabei ein hohes Maß an Sicherheit nachweisen müssen. Besonders in den Bereichen Finanzdienstleistungen und Telekommunikation wird eine Zertifizierung häufig als Voraussetzung für den Einsatz bestimmter Systeme angesehen.

Die Zertifikate werden in den Mitgliedsstaaten der Common Criteria Recognition Arrangement (CCRA) anerkannt. Dazu gehören unter anderem Deutschland, weitere EU-Staaten sowie einige Länder weltweit, die sich teilweise am CCRA-Abkommen beteiligen. Dadurch können in einem Land zertifizierte Produkte auch in anderen Staaten ohne erneute Prüfung anerkannt werden.

Die Teilnahme an der Common Criteria Zertifizierung ist grundsätzlich freiwillig. In sicherheitskritischen Umgebungen kann sie jedoch eine Markteintrittsbarriere darstellen, da Behörden oder große Unternehmen den Einsatz zertifizierter Produkte verlangen. Besonders in regulierten Branchen kann eine Zertifizierung daher faktisch verpflichtend sein, um bestimmte Märkte bedienen zu können.

Prüfspezifika und Gültigkeit

Bevor ein Produkt zertifiziert werden kann, sind folgende Schritte notwendig:

  1. Auswahl eines Protection Profiles (PP) oder Erstellung eines Security Targets (ST)
    • Protection Profile (PP): Ein standardisiertes Sicherheitsprofil für eine bestimmte Produktklasse.
    • Security Target (ST): Falls kein PP existiert, definiert der Hersteller eigene Sicherheitsziele und Schutzmechanismen.
  2. Bestimmung der Evaluierungsstufe (EAL1 – EAL7)
    • Die Wahl der Evaluation Assurance Level (EAL) hängt von den Anforderungen und dem Sicherheitsbedarf ab.
    • Höhere Stufen bedeuten intensivere Prüfungen und einen größeren Aufwand für Hersteller.
  3. Erstellung der notwendigen Sicherheitsdokumentation
    • Der Hersteller muss umfangreiche Unterlagen zur Produktarchitektur, Sicherheitsfunktionen, Bedrohungsmodellierung und Testmethodik bereitstellen.

Die Evaluierung erfolgt durch eine akkreditierte Prüfstelle, die je nach gewählter EAL-Stufe unterschiedliche Prüfmethoden anwendet:

  • Ab EAL3 wird neben der Dokumentation auch das Design und die Implementierung analysiert.
  • Ab EAL4 erfolgt eine Quellcode-Prüfung sowie eine aktive Schwachstellenanalyse.
  • Ab EAL5 kommen formale Verifikation und mathematische Modellierung hinzu.
  • Ab EAL6/EAL7 sind umfassende Sicherheitsnachweise erforderlich.

Ein Common Criteria Zertifikat ist 3 bis 5 Jahre gültig. Während dieser Zeit kann das Produkt weiterentwickelt werden, wobei zwei Szenarien möglich sind:

  • Teilzertifizierung: Falls nur geringfügige Änderungen vorgenommen wurden (z. B. Bugfixes), kann eine vereinfachte Evaluierung erfolgen.
  • Komplette Re-Evaluierung: Falls sicherheitskritische Komponenten verändert werden (z. B. neue Kryptografie-Module), ist eine vollständige Neubewertung erforderlich.

Nach der Zertifizierung sind regelmäßige Sicherheitsmaßnahmen erforderlich, um die Gültigkeit der Zertifizierung zu erhalten:

  1. Sicherheitsupdates und Patchmanagement
    • Zertifizierte Produkte müssen kontinuierlich aktualisiert werden, um Sicherheitslücken zu schließen.
    • Größere Änderungen können eine erneute Evaluierung erforderlich machen.
  2. Unterstützung durch erfahrene Zertifizierungsberater
    • Der Zertifizierungsprozess ist komplex, daher arbeiten viele Unternehmen mit Beratern, um den Anforderungen gerecht zu werden.
  3. Laufende Evaluierung bei signifikanten Änderungen
    • Falls größere Änderungen an sicherheitsrelevanten Funktionen vorgenommen werden, ist eine Re-Evaluierung notwendig.
    • Kleinere Anpassungen können durch eine Teilzertifizierung abgedeckt werden.

Diese Maßnahmen gewährleisten, dass zertifizierte Produkte auch nach der Erstzertifizierung weiterhin den höchsten Sicherheitsstandards entsprechen.

Marktplatz IT-Sicherheit: weitere Angebote
BEITRÄGE IT-SICHERHEIT
newspaper - news - icon
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper
Use Cases - Whitepaper - Icon
Use Cases IT-Sicherheit
Use Cases zu IT-Sicherheitsthemen
RATGEBER IT-SICHERHEIT
Glühbirne - Ratgeber - Icon
Cyber-Risiko-Check
Hilfestellungen IT-Sicherheit
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Buch - Icon
Vorlesung Cyber-Sicherheit
Lehrbuch "Cyber-Sicherheit"
IT-Gesetze Icon
IT-Sicherheitsgesetze
Aktueller Gesetzesrahmen
secaware - icon
IT-Sicherheitszahlen
Aktuelle Kennzahlen
Tools - icon
IT-Sicherheitsthemen
Orientierung in der IT-Sicherheit
FORUM IT-SICHERHEIT
Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
Stand der Technik - icon
Stand der Technik
Diskussionsforum
IT Supply-Chain-Security Icon
IT-Supply Chain Security
Diskussionsforum
IT-COUCH
TS-Couch-Sofa-Icon
Marktplatz Formate
Experten sehen & hören
ts-couch-podcast-icon
IT-Sicherheit-Podcast
IT-Sicherheit zum hören
its-couch-video-icon
Livestream IT-Sicherheit
Events & Material
INTERAKTIVE LISTEN
IT-Notfall
IT-Notfall
IT-Notfall
Penetrationstests
IT-Notfall
Informationssicherheitsbeauftragte (ISB)
IT-Notfall
Security Operations Center (SOC)
IT-Notfall
Datenschutzbeauftragte (DSB)
IT-Notfall
IT-Sicherheitsrecht
Juristische Beratung
IT-SICHERHEITSTOOLS
secaware - icon
Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Tools - icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten
ZERTIFIKATE IT-SICHERHEIT
Personenzertifikate - icon
Personenzertifikate
Interaktive Liste
unternehmenzertifikate - icon
Unternehmenszertifikate
Interaktive Liste
Produktzertifikate - icon
Produktzertifikate
Interaktive Liste
VERANSTALTUNGEN
ANBIETERVERZEICHNIS
Skip to content