Security-Zertifizierung

Common Criteria sorgt für Sicherheit in der IT

| Autor / Redakteur: Oliver Schweißgut* / Stephan Augsten

Wer die Sicherheit und Integrität von Daten wahren möchte, sollte IT-Lösungen, -Dienste und -Produkte von Grund auf sicher umsetzen.
Wer die Sicherheit und Integrität von Daten wahren möchte, sollte IT-Lösungen, -Dienste und -Produkte von Grund auf sicher umsetzen. (Bild: Archiv)

Der Schutz von IT-Produkten wird im Idealfall bereits bei der Entwicklung umgesetzt. Mit den Common Criteria for Information Technology Security Evaluation existiert bereits seit Ende der Neunziger ein anerkannter Standard, der eben dies honoriert.

Die zunehmende Digitalisierung der Industrie und unseres Alltags stellt besondere Anforderungen an die Sicherheit von IT-Systemen. Aspekte wie Vertraulichkeit und Integrität von Daten gewinnen aufgrund der steigenden Abhängigkeit der Wirtschaft und Verwaltung von funktionierenden IT-Systemen zunehmend an Relevanz.

Im Zeitalter der Vernetzung öffnen Sicherheitslücken aber nicht mehr nur für Datendiebstahl und -missbrauch Tür und Tor. Unsichere IT-Systeme bedrohen ganze Produktionen und Handelsbewegungen bis hin zur Bedrohung für das Unternehmen selbst.

Wer die Sicherheit seiner IT-Systeme nicht gewährleisten kann, verliert das Vertrauen der Kunden. Ein Beispiel sind die Automobilhersteller, die das Vertrauen ihrer Kunden in das vernetzte Auto der Zukunft durch Sicherheitslücken aufs Spiel setzen: Wer würde sich derzeit bedenkenlos in ein Auto setzen, das mit dem Internet verbunden ist? Natürlich haben die Automobilhersteller ihre Systeme überprüft – aber nur unzureichend, wie die erfolgreichen Hackerangriffe zeigen.

Um die Sicherheit von Daten und Systemen zu gewährleisten, werden den jeweiligen Gefährdungslagen entsprechende Sicherheitsstandards entgegengesetzt. Derartige Standards ergeben jedoch nur dann einen Sinn, wenn sie allgemein anerkannt sind, um eine Vergleichbarkeit der unterschiedlichen Sicherheitsniveaus von IT-Systemen herzustellen.

Hierzu wurden die Allgemeinen Kriterien für die Bewertung der Sicherheit in der Informationstechnologie entwickelt, abgekürzt CC nach der englischen Bezeichnung „Common Criteria for Information Technology Security Evaluation“. Die CC bestehen aus Kriterien, mit denen sich Sicherheitseigenschaften von Computersystemen bewerten lassen. Darüber hinaus werden anhand der CC-Kriterien die Sicherheitsfunktionen von IT-Produkten überprüft und abgestuft zertifiziert.

Sicherheit auch bei Haftungsfragen

Die CC-Kriterien stellen für IT-System- und Software-Entwickler eine Grundlage für die Entwicklung sicherer und vertrauenswürdiger Systeme bzw. IT-Produkte dar. Sie bieten die Möglichkeit einer objektiven Bewertung durch eine neutrale Instanz.

Anwender profitieren von der Vergleichbarkeit, die CC-zertifizierte Produkte und Systeme bieten. Dadurch können Unternehmen das jeweilige Sicherheitsniveau besser einschätzen und die richtige Auswahl für passende IT-Systeme und -Produkte treffen. Durch ein hohes Sicherheitsniveau, sprich: hohe Hürden gegen Datendiebstahl und -manipulation, der eingesetzten oder produzierten IT-Systeme und -Produkte grenzen sich Unternehmen erfolgreich vom Wettbewerb ab.

Desweiteren schafft die CC-Zertifizierung Abhilfe bei Haftungsstreitigkeiten. In der Regel geht es in solchen Auseinandersetzungen um die gebotene Sorgfaltspflicht, also in Bezug auf die IT um die Einhaltung von Normen und Standards. Die CC-Zertifizierung kann dann als Nachweis für die Einhaltung der gebotenen Sorgfaltspflicht herangezogen werden.

International aufgestellte Unternehmen profitieren von CC-Sicherheitszertifikaten, die im Rahmen internationaler Abkommen länderübergreifend gültig sind. Aufgrund dieser Abkommen entfällt eine Mehrfachzertifizierung für ein und dasselbe Produkt in verschiedenen Ländern.

Evaluierung und Zertifizierung

Im Rahmen der Common Criteria wird das Sicherheitsniveau eines IT-Systems oder IT-Produkts in unterschiedliche Stufen, den Evaluation Assurance Level (EAL), unterteilt. Der Hersteller entscheidet dabei selbst, nach welchem EAL sein Produkt zertifiziert werden soll, denn nicht jedes Produkt bedarf des gleichen Schutzniveaus. Hierzu erstellt er seine Dokumentation über die Eigenschaften und Schutzziele seines Produkts, die er nach den CC-Kriterien zertifizieren möchte.

Je höher der EAL, desto höher die Anforderungen an diese Dokumentation. In den niedrigen Stufen genügt die Vorlage dieser Dokumente, bei den höheren EAL werden zum Beispiel zusätzlich auch der Source Code überprüft oder Penetrationstests durchgeführt. Die Zertifizierung nach Common Criteria führt in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) durch.

Da den Common Criteria ein Vier-Augen-Prinzip zugrunde liegt, muss das System oder Produkt aber zunächst von einer akkreditierten Prüfstelle evaluiert werden. Die CC-Zertifizierung beginnt also mit der Dokumentation der Sicherheitsfunktionen eines IT-Systems oder -produkts. In der Regel streben Hersteller im ersten Schritt einen niedrigen EAL an, da die Anfertigung der zum Teil mehrere hundert Seiten umfassenden Dokumente bereits für EAL 2 sehr aufwendig ist.

Allein die Guidelines des BSI sind 122 Seiten stark. Die Dokumentation unterteilt sich in zehn verschiedene Klassen, die unterschiedliche Aspekte der Sicherheitsstruktur einer Software oder eines IT-Systems beschreiben wie etwa die Entwicklung (ADV), das Gefährdungspotenzial (AVA) oder den Lifecycle-Support (ALC). Die Klassen bestehen ihrerseits wiederum aus mehreren Dokumenten.

BSI prüft auch den Hersteller

Die Umsetzung des erklärten Schutzziels wird im Protection Profile beschrieben. Dieses Profil kann bei bestimmten Softwareprodukten vorgegeben sein. Der Hersteller muss das Profil im sogenannten Security Target quasi verfeinern. Je nach gewählter EAL-Stufe gehören dazu mehrere umfangreiche Dokumente.

Für alle Stufen verbindlich ist zum Beispiel das Dokument ADV FSP, das die funktionalen Spezifikationen für das Verhalten des Softwareprodukts an den Außenschnittstellen dokumentiert. Ab EAL 2 muss der Hersteller zum Beispiel auch die Sicherheitsarchitektur (ADV Arc) oder das Verhalten seiner Sicherheitssysteme (ADV TDS) beschreiben. Das ADV Imp dokumentiert beispielsweise die Implementierung und den Source Code und wird ab EAL 4 verlangt.

Eine zentrale Rolle spielt das AVA Van, das eine Gefährdungsanalyse in Abhängigkeit der gewählten Van-Stufe dokumentiert. So werden zum Beispiel bei AVA Van 5 die Sicherheitsmaßnahmen bei einem Angreifer mit unbegrenzten Mitteln wie etwa einem Geheimdienst überprüft.

Das ist nur eine kleine Auswahl der Dokumente, die im Rahmen der CC-Zertifizierung erstellt werden müssen. Zusätzlich wird der Hersteller selbst im Rahmen der Lifecycle-Dokumentation vom BSI überprüft. Er muss diversen Anforderungen für Testverfahren, in der Dokumentation oder im Support genügen.

Das schließt auch die Überprüfung des Entwicklungsstandorts mit ein, d. h., dass die Sicherheitsmaßnahmen am jeweiligen Standort ebenfalls eine Rolle im Rahmen der CC-Zertifizierung spielen. Je nach EAL werden an den Entwicklungsstandorten unterschiedliche Anforderungen gestellt. Sie können über Kontrollen für den Zutritt zu Räumlichkeiten bis hin zu einem Sicherheitsperimeter um den Standort reichen.

Kompetenz der Entwickler gefragt

Aufgrund dieses Aufwands nutzen viele Unternehmen, gerade bei einer Erstdokumentation, externe Hilfe für die CC-Zertifizierung, zumal dann, wenn die Ressourcen für den Aufbau des eigenen Know-hows nicht vorhanden sind. Aber nicht nur für die Dokumentation werden spezielle Kenntnisse benötigt, auch die Entwicklung muss auf einem entsprechend hohen Niveau erfolgen, damit das Produkt später erfolgreich evaluiert und zertifiziert wird.

Hierfür sind gut geschulte Ingenieure und Entwickler vonnöten, denn bei auftretenden Problemen während der Evaluation oder bei der Zertifizierung durch das BSI erhält der Entwickler keine Handlungsempfehlungen, wie das ermittelte Problem am besten behoben werden kann. Die Lösung muss der Hersteller selbst entwickeln.

Damit ist auch klar, dass die Zertifizierung nicht komplett an Dritte ausgelagert werden kann, da schließlich das Wissen der eigenen Softwareentwickler bezüglich Programmierung und Implementierung gefragt ist. Ohnehin besteht die CC-Zertifizierung aus einem fortlaufenden Prozess zwischen dem Software-Hersteller und dem BSI bestehend aus Anfragen und Kommentierungen seitens des Bundesamts und der Evaluatoren, die zu Änderungen in der Dokumentation oder dem Produkt selbst führen können.

Dieser Prozess kann sich bei höheren EAL-Stufen über Jahre hinziehen. Daher raten Experten dazu, zunächst mit einer niedrigen EAL-Stufe zu beginnen und die Sicherheitssysteme eines Softwareprodukts sukzessive für höhere Stufen zu erweitern.

Geprüfte Sicherheit schafft Vertrauen

Nach erfolgreicher Zertifizierung werden die geprüften Schutzziele vom BSI veröffentlicht, so dass potenzielle Kunden einen transparenten Einblick in die Sicherheitsaspekte erhalten, die das Bundesamt geprüft hat. Der Aufwand bis dahin ist enorm, lohnt sich aber, denn die Common Criteria bieten in ihrer einmaligen Tiefe und durch die internationale Anerkennung transparente, standardisierte und vergleichbare Kriterien für eine optimale Vertrauensbasis hinsichtlich der Sicherheit von IT-Systemen und -produkten.

Während die Common Criteria beispielsweise in den USA bereits weit verbreitet sind, werden sie seit einigen Jahren auch in Europa verstärkt genutzt, denn die Gefahr von illegalen Zugriffen auf geschäftskritische und personenbezogene Daten steigt von Tag zu Tag. Sicherlich täten die Automobilhersteller gut daran, eine CC-Zertifizierung ihrer IT-Systeme in Betracht zu ziehen, um das verlorene Vertrauen ihrer Kunden in das vernetzte Auto der Zukunft wieder zurückzugewinnen.

* Oliver Schweißgut ist Geschäftsführer os-cillation GmbH.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44253774 / Standards)