:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Common Criteria for Information Technology Security Evaluation (CC) Was ist Common Criteria?
Mit Hilfe der Common Criteria for Information Technology Security Evaluation lassen sich IT-Produkte nach allgemeinen Kriterien bezüglich ihrer Sicherheit bewerten. Bei Common Criteria (CC) handelt es sich um einen international anerkannten Standard.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Der Begriff Common Criteria (CC) steht für die Langform Common Criteria for Information Technology Security Evaluation und bedeutet ins Deutsche übersetzt "Gemeinsame Kriterien für die Sicherheitsbewertung von Informationstechnologie". Es handelt sich um einen international gültigen Standard, mit dessen Hilfe sich die Sicherheit von Produkten der IT nach allgemeinen Kriterien bewerten und prüfen lässt.
Erste Arbeiten am Standard fanden bereits 1993 durch das Common Criteria Editorial Board (CCEB) statt, das sich aus Mitgliedern verschiedener Länder wie Deutschland, Frankreich, Großbritannien, Kanada und den USA zusammensetzte. Die erste Version der CC wurde 1996 veröffentlicht. 1999 wurden die CC durch die Verabschiedung der Norm ISO/IEC 15408 zu einem weltweit anerkannten Standard. Aktuell sind sie in der Version 3.1 publiziert.
Grundlegendes Modell und Aufbau der Common Criteria
Das grundlegende Modell der CC unterscheidet zwischen dem Funktionsumfang und der Qualität (Vertrauenswürdigkeit) eines IT-Produktes. Das Vertrauen entsteht durch die Prüfung des Produktes durch eine unabhängige Instanz. Der Aufbau der CC gliedert sich in drei Teilbereiche. Diese sind:
- 1. Einführung und allgemeines Modell
- 2. funktionale Sicherheitsanforderungen
- 3. Anforderungen an die Vertrauenswürdigkeit
Im Einführungsteil der CC sind der allgemeine Geltungsbereich und die Grundlagen der Sicherheitsevaluation beschrieben. Die funktionalen Sicherheitsanforderungen beinhalten einen umfangreichen Katalog, anhand dessen sich die Funktionalität des zu prüfenden Produktes beschreiben lässt. Im dritten Teil schließlich sind die Anforderungen an die Vertrauenswürdigkeit des Prüfgegenstandes aufgelistet.
Ziele der Common Criteria for Information Technology Security Evaluation
Ziel der Common Criteria ist es, durch eine Zertifizierung einer unabhängigen Instanz nachzuweisen, dass das Produkte die geforderten Sicherheitsfunktionen nach einem bestimmten Evaluierungslevel erfüllt. Dadurch steigert sich die Wettbewerbsfähigkeit eines Produkts und bei Haftungsfragen kann die gebotene verkehrsübliche Sorgfaltspflicht nachgewiesen werden. Ein weiteres Ziel der CC-Zertifizierung ist die Einbindung in internationale Abkommen. Dadurch entfällt die Notwendigkeit, IT-Produkte nach unterschiedlichen, nationalen Maßstäben mehrfach zertifizieren zu müssen. Es existiert eine offizielle Liste von Ländern, die die Zertifizierung nach CC anerkennen.
Die verschiedenen EAL-Stufen der CC
In den Common Criteria sind verschiedene Stufen der Vertrauenswürdigkeit definiert. Diese nennen sich Evaluation Assurance Level (EAL) und reichen von EAL1 bis EAL7. Während Stufe EAL1 lediglich eine funktionelle Prüfung bescheinigt, bedeutet die höchste Evaluierungsstufe EAL7 "formal verifizierter Entwurf und getestet". Mit steigenden EAL-Nummern erhöht sich der Aufwand und die Tiefe der durchzuführenden Prüfung.
:quality(80)/images.vogel.de/vogelonline/bdb/428900/428956/original.jpg "Eine Zertifizierung eines Produkts nach Common Criteria (CC) erhöht die Wettbewerbsfähigkeit, speziell beim Umgang mit Behörden und bringt Vorteile bei Haftungsfragen. (CommonCriteriaPortal.org, VIT)")
Firmen- und Personenzertifizierungen im Bereich IT-Sicherheit, Teil 4
Produkte nach Common Criteria (CC) zertifizieren
Zertifizierung nach CC
Die Common Criteria nutzen für die Prüfung von Sicherheitseigenschaften das Vier-Augen-Prinzip. Zunächst erfolgt eine Evaluierung durch eine akkreditierte Prüfstelle. Anschließend findet die Zertifizierung durch eine anerkannte Institution statt. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zulässige Zertifizierungsstelle. Das BSI erfüllt die Aufgabe für Produkte der IT die Sicherheitszertifikate zu erteilen. Hierfür muss der Hersteller oder der Vertreiber des Produkts die Zertifizierung veranlassen. Die Prüfung führt eine von der BSI anerkannte Prüfstelle durch. Das Ergebnis der Zertifizierung ist in einem ausführlichen Report festgehalten. Er enthält einen ausführlichen Zertifizierungsbericht und die zusammenfassende Bewertung (das Sicherheitszertifikat).
(ID:45090984)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930845/original.jpg "EAL (Evaluation Assurance Level) ist eine Bewertungsstufe eines IT-Produkts oder IT-Systems, nach Abschluss einer Common-Criteria-Sicherheitsevaluierung. (gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/49/2f/492f7cca2531baa1bdd553db5c59f1f3/0104313453.jpeg "Common Criteria Recognition Arrangement (CCRA) ist eine internationale Übereinkunft zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten. (Bild: gemeinfrei)")