:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Firmen- und Personenzertifizierungen im Bereich IT-Sicherheit, Teil 4 Produkte nach Common Criteria (CC) zertifizieren
Um IT-Produkte auf ihre Sicherheit hin beurteilen zu können entstanden die Common Criteria for Information Technology Security Evaluation (CC). Die EAL-Zertifizierung ist heute ein Muss für Unternehmen die Sicherheitsprodukte an Regierungsstellen verkaufen wollen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Um eine Beurteilung der Sicherheit von IT-Produkten zu ermöglichen hat bereits 1989 die damalige Zentralstelle für Sicherheit in der Informationstechnik (ZSI) im Auftrag der Bundesregierung die "IT-Sicherheitskriterien" veröffentlicht.
Im Rahmen internationaler Standardisierungsbemühungen und den Bestrebungen zur Entwicklung einer gemeinsamen Grundlage zur Bewertung der Sicherheit von IT-Systemen und Produkten, entstanden in der Folge weitere Standards, darunter die Common Criteria for Information Technology Security Evaluation (CC).
Die Common Criteria wurden 1999 als International Standard ISO/IEC 15408 veröffentlicht, liegen aktuell in der Version 3.1 vor und liefern Kriterien zur Bewertung und Zertifizierung der Sicherheitseigenschaften von Computersystemen sowie für die Überprüfung von Sicherheitsfunktionen von IT-Produkten. Ziel des Standards ist es:
- eine Richtschnur für die Entwicklung sicherer und vertrauenswürdiger Systeme zu bieten, wobei als Systeme u.a. Betriebssysteme, verteilte Systeme, Anwendungen und Hardware betrachtet werden,
- eine objektive Bewertung der Systeme durch eine neutrale Instanz zu gewährleisten und
- Hersteller bzw. Anwender bei der Einschätzung bzw. der Auswahl geeigneter IT-Sicherheitsprodukte zu unterstützen und Vergleichbarkeit zu schaffen.
Welchen Nutzen bringt eine Zertifizierung?
Eine Zertifizierung bestätigt die Prüfung des Produktes durch eine unabhängige Instanz und erhöht die Wettbewerbsfähigkeit. Ein weiterer Vorteil liegt, wie bei allen Zertifizierungen, im Bereich von Haftungsfragen. Bei haftungstechnischen Problemen geht es immer auch um die Frage, ob die gebotene verkehrsübliche Sorgfaltspflicht eingehalten wurde. Die Einhaltung von Normen und Standards ist hierbei ein wichtiges Kriterium. Der Nachweis einer Zertifizierung wird dann in der Regel als Beleg anerkannt, dass die gebotene Sorgfaltspflicht eingehalten wurde.
Ein weiterer Vorteil einer Zertifizierung auf Basis der Common Criteria ist die Einbindung in internationale Abkommen. Zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten wurden internationale Abkommen ausgehandelt und von den entsprechenden Staaten unterzeichnet. Durch diese Abkommen entfällt die Notwendigkeit einer Mehrfach-Zertifizierung des gleichen Produktes in verschiedenen Staaten. Im Mai 2000 wurde eine Vereinbarung (Common Criteria-Vereinbarung) über die gegenseitige Anerkennung von IT-Sicherheitszertifikaten und Schutzprofilen auf Basis der Common Criteria bis einschließlich der Vertrauenswürdigkeitsstufe EAL 4 (siehe nachfolgenden Abschnitt) verabschiedet. Eine aktuelle Liste der Unterzeichnerstaaten kann auf der offiziellen Common Criteria Website eingesehen werden.
Zusätzlich ermöglichen die Common Criteria die technische Prüfung (Evaluierung) eines Produktes für qualifizierte elektronische Signaturen (beispielsweise Kartenlesegeräte) als Grundlage für eine Bestätigung nach dem Signaturgesetz. Das Signaturgesetz (SigG oder SigG 2001) dient dem Zweck, Rahmenbedingungen für digitale Signaturen zu schaffen, unter denen diese als sicher gelten und Fälschungen digitaler Signaturen oder Verfälschungen von signierten Daten zuverlässig festgestellt werden können. Zusätzlich definiert es Anforderungen für Zertifizierungsdiensteanbieter für die Ausstellung von qualifizierten Zertifikaten und qualifizierten Zeitstempeln.
Wer führt die Zertifizierung durch?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemäß BSI-Errichtungsgesetz die Aufgabe für IT-Produkte (Systeme oder Komponenten) Sicherheitszertifikate zu erteilen, wobei die Zertifizierung eines Produktes nur auf Veranlassung des Herstellers oder des Vertreibers erfolgt.
Das Produkt muss hierbei zuerst von einer akkreditierten Prüfstelle geprüft und kann erst dann beim BSI bzw. den entsprechenden Partnerorganisationen der anderen Länder zertifiziert werden. Für die Akkreditierung von Zertifizierungsstellen und Prüflaboratorien ist in Deutschland seit dem 1.Januar 2010 ausschließlich die Deutsche Akkreditierungsstelle GmbH (DAkkS) mit Sitz in Berlin zuständig. Auf der Website der DAkkS können die akkreditierten Zertifizierungsstellen ermittelt werden.
Das BSI ist außerdem eine anerkannte Bestätigungsstelle im Sinne des §18 des Signaturgesetzes und damit ermächtigt Bestätigungen für Produkte gemäß Signaturgesetz zu erteilen.
Welche Nachweise sind erforderlich?
Die Zertifizierung nach den Common Criteria soll sicherstellen, dass ein Produkt verschiedene Sicherheitsanforderungen erfüllt. Darüber hinaus haben die Hersteller des Produkts diverse Auflagen hinsichtlich
- des Supports,
- der Dokumentation,
- der Behandlung von sicherheitsrelevanten Zwischenfällen und
- der Testverfahren zu erfüllen.
Dabei werden die Entwicklungswerkzeuge und die Sicherheitsmaßnahmen in der Entwicklungsumgebung sowie die Verfahren der Produktauslieferung in die Bewertung einbezogen.
Die Grundlage einer jeden Evaluierung ist die Definition der Sicherheitsanforderungen, die an das zu prüfende System unter Berücksichtigung seines Schutzbedarfs zu stellen sind. Diesen Prozess unterstützen die Common Criteria durch eine vorgegebene Methodik und durch einen umfangreichen Katalog an Sicherheitsanforderungen. Das zentrale Dokument jeder Evaluierung ist demzufolge die Beschreibung der Sicherheitsvorgaben. Dieses muss neben einer Beschreibung des zu prüfenden Produkts u.a. Aussagen enthalten zu:
- Vorgesehene Art der Nutzung
- Vorgesehene Einsatzumgebung
- Angenommene Bedrohungen
- Sicherheitseigenschaften
- Vom Antragsteller angestrebte Evaluierungsstufe.
Hierbei wird zwischen funktionalen Sicherheitsanforderungen und Anforderungen an die Vertrauenswürdigkeit unterschieden.
Zur Bewertung der funktionalen Sicherheit definieren die Common Criteria verschiedene Funktionalitätsklassen. Diese sind zu Schutzprofilen zusammengefasst, die den typischen Funktionsumfang bestimmter Produkte (z. B. Firewalls, Smartcards etc.) beschreiben. Das Konzept der Schutzprofile ist eine wesentliche Neuerung, die mit den Common Criteria eingeführt wurde.
Schutzprofile ermöglichen es Anforderungen an die Sicherheit einer ganzen Kategorie von IT-Produkten bzw. Systemen zu definieren und damit, dem IT-Grundschutz vergleichbar, den Aufwand bei der Erstellung von Sicherheitsvorgaben für konkrete IT-Produkte oder Systeme zu reduzieren.
Bei der Bewertung der Wirksamkeit der Sicherheitsfunktionen wird durch Analysen und Penetrationstests untersucht, ob es einem Angreifer mit einem angenommenen Angriffspotential möglich ist, die Sicherheitsfunktionen zu überwinden oder Schwachstellen auszunutzen. Je nach angestrebter Evaluierungsstufe sind die Anforderungen strenger und die Tests umfangreicher. Hierfür definieren die Common Criteria sieben Stufen (Evaluation Assurance Level, EAL1-7), die die Korrektheit der Implementierung des betrachteten Systems bzw. die Prüftiefe beschreiben:
Das Ergebnis des Zertifizierungsverfahrens wird in einem Zertifizierungsreport festgehalten. Hierin enthalten sind u.a. eine zusammenfassende Bewertung und der detaillierte Zertifizierungsbericht. Der Zertifizierungsbericht enthält die sicherheitstechnische Beschreibung des zertifizierten Produktes sowie die Einzelheiten der Bewertung und Hinweise für den Anwender.
Zertifizierung aufrecht erhalten
Ein Zertifikat bzw. eine Bestätigung nach dem Signaturgesetz bestätigt die Vertrauenswürdigkeit des Produktes gemäß den Sicherheitsvorgaben zum Zeitpunkt der Ausstellung und bezieht sich nur auf die angegebene Version des Produktes. Außerdem wird vorausgesetzt, dass das Produkt in der Umgebung betrieben wird, die im Zertifizierungsreport bzw. in den Sicherheitsvorgaben beschrieben ist.
Da Angriffe mit neuen oder weiterentwickelten Methoden nach Erteilung möglich sind, wird empfohlen die Widerstandsfähigkeit des Produktes im Rahmen des Assurance Continuity-Programms des BSI regelmäßig überprüfen zu lassen.
Die Gültigkeit eines Zertifikates kann darüber hinaus begrenzt sein durch die Gültigkeit der Laufzeit verwendeter kryptographischer Algorithmen bzw. Parameter oder besondere Laufzeiten zum Beispiel der Bundesnetzagentur. Besteht eine solche Befristung, ist diese im Zertifizierungsreport vermerkt.
(ID:31014940)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930845/original.jpg "EAL (Evaluation Assurance Level) ist eine Bewertungsstufe eines IT-Produkts oder IT-Systems, nach Abschluss einer Common-Criteria-Sicherheitsevaluierung. (gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/79/6e/796ec934eda4e04d1d63327631f7f229/0104312993.jpeg "Security Functional Requirements (SFR) sind funktionale Sicherheitsanforderungen der Common Criteria an ein zu prüfendes Produkt. (Bild: gemeinfrei)")