Firmen- und Personenzertifizierungen im Bereich IT-Sicherheit, Teil 4

Produkte nach Common Criteria (CC) zertifizieren

| Autor / Redakteur: Manuela Reiss, Marco Sportelli / Peter Schmitz

Eine Zertifizierung eines Produkts nach Common Criteria (CC) erhöht die Wettbewerbsfähigkeit, speziell beim Umgang mit Behörden und bringt Vorteile bei Haftungsfragen.
Eine Zertifizierung eines Produkts nach Common Criteria (CC) erhöht die Wettbewerbsfähigkeit, speziell beim Umgang mit Behörden und bringt Vorteile bei Haftungsfragen. (Bild: CommonCriteriaPortal.org, VIT)

Um IT-Produkte auf ihre Sicherheit hin beurteilen zu können entstanden die Common Criteria for Information Technology Security Evaluation (CC). Die EAL-Zertifizierung ist heute ein Muss für Unternehmen die Sicherheitsprodukte an Regierungsstellen verkaufen wollen.

Um eine Beurteilung der Sicherheit von IT-Produkten zu ermöglichen hat bereits 1989 die damalige Zentralstelle für Sicherheit in der Informationstechnik (ZSI) im Auftrag der Bundesregierung die "IT-Sicherheitskriterien" veröffentlicht.

Im Rahmen internationaler Standardisierungsbemühungen und den Bestrebungen zur Entwicklung einer gemeinsamen Grundlage zur Bewertung der Sicherheit von IT-Systemen und Produkten, entstanden in der Folge weitere Standards, darunter die Common Criteria for Information Technology Security Evaluation (CC).

Die Common Criteria wurden 1999 als International Standard ISO/IEC 15408 veröffentlicht, liegen aktuell in der Version 3.1 vor und liefern Kriterien zur Bewertung und Zertifizierung der Sicherheitseigenschaften von Computersystemen sowie für die Überprüfung von Sicherheitsfunktionen von IT-Produkten. Ziel des Standards ist es:

  • eine Richtschnur für die Entwicklung sicherer und vertrauenswürdiger Systeme zu bieten, wobei als Systeme u.a. Betriebssysteme, verteilte Systeme, Anwendungen und Hardware betrachtet werden,
  • eine objektive Bewertung der Systeme durch eine neutrale Instanz zu gewährleisten und
  • Hersteller bzw. Anwender bei der Einschätzung bzw. der Auswahl geeigneter IT-Sicherheitsprodukte zu unterstützen und Vergleichbarkeit zu schaffen.

Welchen Nutzen bringt eine Zertifizierung?

Eine Zertifizierung bestätigt die Prüfung des Produktes durch eine unabhängige Instanz und erhöht die Wettbewerbsfähigkeit. Ein weiterer Vorteil liegt, wie bei allen Zertifizierungen, im Bereich von Haftungsfragen. Bei haftungstechnischen Problemen geht es immer auch um die Frage, ob die gebotene verkehrsübliche Sorgfaltspflicht eingehalten wurde. Die Einhaltung von Normen und Standards ist hierbei ein wichtiges Kriterium. Der Nachweis einer Zertifizierung wird dann in der Regel als Beleg anerkannt, dass die gebotene Sorgfaltspflicht eingehalten wurde.

Common Criteria beschreibt sieben Stufen (Evaluation Assurance Level, EAL1-7), die die Korrektheit der Implementierung des betrachteten Systems bzw. die Prüftiefe beschreiben.
Common Criteria beschreibt sieben Stufen (Evaluation Assurance Level, EAL1-7), die die Korrektheit der Implementierung des betrachteten Systems bzw. die Prüftiefe beschreiben. (Bild: BSI)

Ein weiterer Vorteil einer Zertifizierung auf Basis der Common Criteria ist die Einbindung in internationale Abkommen. Zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten wurden internationale Abkommen ausgehandelt und von den entsprechenden Staaten unterzeichnet. Durch diese Abkommen entfällt die Notwendigkeit einer Mehrfach-Zertifizierung des gleichen Produktes in verschiedenen Staaten. Im Mai 2000 wurde eine Vereinbarung (Common Criteria-Vereinbarung) über die gegenseitige Anerkennung von IT-Sicherheitszertifikaten und Schutzprofilen auf Basis der Common Criteria bis einschließlich der Vertrauenswürdigkeitsstufe EAL 4 (siehe nachfolgenden Abschnitt) verabschiedet. Eine aktuelle Liste der Unterzeichnerstaaten kann auf der offiziellen Common Criteria Website eingesehen werden.

Zusätzlich ermöglichen die Common Criteria die technische Prüfung (Evaluierung) eines Produktes für qualifizierte elektronische Signaturen (beispielsweise Kartenlesegeräte) als Grundlage für eine Bestätigung nach dem Signaturgesetz. Das Signaturgesetz (SigG oder SigG 2001) dient dem Zweck, Rahmenbedingungen für digitale Signaturen zu schaffen, unter denen diese als sicher gelten und Fälschungen digitaler Signaturen oder Verfälschungen von signierten Daten zuverlässig festgestellt werden können. Zusätzlich definiert es Anforderungen für Zertifizierungsdiensteanbieter für die Ausstellung von qualifizierten Zertifikaten und qualifizierten Zeitstempeln.

Wer führt die Zertifizierung durch?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemäß BSI-Errichtungsgesetz die Aufgabe für IT-Produkte (Systeme oder Komponenten) Sicherheitszertifikate zu erteilen, wobei die Zertifizierung eines Produktes nur auf Veranlassung des Herstellers oder des Vertreibers erfolgt.

Das Produkt muss hierbei zuerst von einer akkreditierten Prüfstelle geprüft und kann erst dann beim BSI bzw. den entsprechenden Partnerorganisationen der anderen Länder zertifiziert werden. Für die Akkreditierung von Zertifizierungsstellen und Prüflaboratorien ist in Deutschland seit dem 1.Januar 2010 ausschließlich die Deutsche Akkreditierungsstelle GmbH (DAkkS) mit Sitz in Berlin zuständig. Auf der Website der DAkkS können die akkreditierten Zertifizierungsstellen ermittelt werden.

Das BSI ist außerdem eine anerkannte Bestätigungsstelle im Sinne des §18 des Signaturgesetzes und damit ermächtigt Bestätigungen für Produkte gemäß Signaturgesetz zu erteilen.

Welche Nachweise sind erforderlich?

Die Zertifizierung nach den Common Criteria soll sicherstellen, dass ein Produkt verschiedene Sicherheitsanforderungen erfüllt. Darüber hinaus haben die Hersteller des Produkts diverse Auflagen hinsichtlich

  • des Supports,
  • der Dokumentation,
  • der Behandlung von sicherheitsrelevanten Zwischenfällen und
  • der Testverfahren zu erfüllen.

Dabei werden die Entwicklungswerkzeuge und die Sicherheitsmaßnahmen in der Entwicklungsumgebung sowie die Verfahren der Produktauslieferung in die Bewertung einbezogen.

Die Grundlage einer jeden Evaluierung ist die Definition der Sicherheitsanforderungen, die an das zu prüfende System unter Berücksichtigung seines Schutzbedarfs zu stellen sind. Diesen Prozess unterstützen die Common Criteria durch eine vorgegebene Methodik und durch einen umfangreichen Katalog an Sicherheitsanforderungen. Das zentrale Dokument jeder Evaluierung ist demzufolge die Beschreibung der Sicherheitsvorgaben. Dieses muss neben einer Beschreibung des zu prüfenden Produkts u.a. Aussagen enthalten zu:

  • Vorgesehene Art der Nutzung
  • Vorgesehene Einsatzumgebung
  • Angenommene Bedrohungen
  • Sicherheitseigenschaften
  • Vom Antragsteller angestrebte Evaluierungsstufe.

Hierbei wird zwischen funktionalen Sicherheitsanforderungen und Anforderungen an die Vertrauenswürdigkeit unterschieden.

Zur Bewertung der funktionalen Sicherheit definieren die Common Criteria verschiedene Funktionalitätsklassen. Diese sind zu Schutzprofilen zusammengefasst, die den typischen Funktionsumfang bestimmter Produkte (z. B. Firewalls, Smartcards etc.) beschreiben. Das Konzept der Schutzprofile ist eine wesentliche Neuerung, die mit den Common Criteria eingeführt wurde.

Schutzprofile ermöglichen es Anforderungen an die Sicherheit einer ganzen Kategorie von IT-Produkten bzw. Systemen zu definieren und damit, dem IT-Grundschutz vergleichbar, den Aufwand bei der Erstellung von Sicherheitsvorgaben für konkrete IT-Produkte oder Systeme zu reduzieren.

Bei der Bewertung der Wirksamkeit der Sicherheitsfunktionen wird durch Analysen und Penetrationstests untersucht, ob es einem Angreifer mit einem angenommenen Angriffspotential möglich ist, die Sicherheitsfunktionen zu überwinden oder Schwachstellen auszunutzen. Je nach angestrebter Evaluierungsstufe sind die Anforderungen strenger und die Tests umfangreicher. Hierfür definieren die Common Criteria sieben Stufen (Evaluation Assurance Level, EAL1-7), die die Korrektheit der Implementierung des betrachteten Systems bzw. die Prüftiefe beschreiben:

Das Ergebnis des Zertifizierungsverfahrens wird in einem Zertifizierungsreport festgehalten. Hierin enthalten sind u.a. eine zusammenfassende Bewertung und der detaillierte Zertifizierungsbericht. Der Zertifizierungsbericht enthält die sicherheitstechnische Beschreibung des zertifizierten Produktes sowie die Einzelheiten der Bewertung und Hinweise für den Anwender.

Zertifizierung aufrecht erhalten

Ein Zertifikat bzw. eine Bestätigung nach dem Signaturgesetz bestätigt die Vertrauenswürdigkeit des Produktes gemäß den Sicherheitsvorgaben zum Zeitpunkt der Ausstellung und bezieht sich nur auf die angegebene Version des Produktes. Außerdem wird vorausgesetzt, dass das Produkt in der Umgebung betrieben wird, die im Zertifizierungsreport bzw. in den Sicherheitsvorgaben beschrieben ist.

Da Angriffe mit neuen oder weiterentwickelten Methoden nach Erteilung möglich sind, wird empfohlen die Widerstandsfähigkeit des Produktes im Rahmen des Assurance Continuity-Programms des BSI regelmäßig überprüfen zu lassen.

Die Gültigkeit eines Zertifikates kann darüber hinaus begrenzt sein durch die Gültigkeit der Laufzeit verwendeter kryptographischer Algorithmen bzw. Parameter oder besondere Laufzeiten zum Beispiel der Bundesnetzagentur. Besteht eine solche Befristung, ist diese im Zertifizierungsreport vermerkt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 31014940 / Compliance und Datenschutz )