Definition Common Criteria for Information Technology Security Evaluation (CC)

Was ist Common Criteria?

| Autor / Redakteur: Tutanch / Peter Schmitz

Die Common Criteria for Information Technology Security Evaluation sind ein international anerkannter Standard zur Evaluierung der Sicherheit von IT-Produkten.
Die Common Criteria for Information Technology Security Evaluation sind ein international anerkannter Standard zur Evaluierung der Sicherheit von IT-Produkten. (Bild: CommonCriteriaPortal.org)

Mit Hilfe der Common Criteria for Information Technology Security Evaluation lassen sich IT-Produkte nach allgemeinen Kriterien bezüglich ihrer Sicherheit bewerten. Bei Common Criteria (CC) handelt es sich um einen international anerkannten Standard.

Der Begriff Common Criteria (CC) steht für die Langform Common Criteria for Information Technology Security Evaluation und bedeutet ins Deutsche übersetzt "Gemeinsame Kriterien für die Sicherheitsbewertung von Informationstechnologie". Es handelt sich um einen international gültigen Standard, mit dessen Hilfe sich die Sicherheit von Produkten der IT nach allgemeinen Kriterien bewerten und prüfen lässt.

Erste Arbeiten am Standard fanden bereits 1993 durch das Common Criteria Editorial Board (CCEB) statt, das sich aus Mitgliedern verschiedener Länder wie Deutschland, Frankreich, Großbritannien, Kanada und den USA zusammensetzte. Die erste Version der CC wurde 1996 veröffentlicht. 1999 wurden die CC durch die Verabschiedung der Norm ISO/IEC 15408 zu einem weltweit anerkannten Standard. Aktuell sind sie in der Version 3.1 publiziert.

Grundlegendes Modell und Aufbau der Common Criteria

Das grundlegende Modell der CC unterscheidet zwischen dem Funktionsumfang und der Qualität (Vertrauenswürdigkeit) eines IT-Produktes. Das Vertrauen entsteht durch die Prüfung des Produktes durch eine unabhängige Instanz. Der Aufbau der CC gliedert sich in drei Teilbereiche. Diese sind:

  • 1. Einführung und allgemeines Modell
  • 2. funktionale Sicherheitsanforderungen
  • 3. Anforderungen an die Vertrauenswürdigkeit

Im Einführungsteil der CC sind der allgemeine Geltungsbereich und die Grundlagen der Sicherheitsevaluation beschrieben. Die funktionalen Sicherheitsanforderungen beinhalten einen umfangreichen Katalog, anhand dessen sich die Funktionalität des zu prüfenden Produktes beschreiben lässt. Im dritten Teil schließlich sind die Anforderungen an die Vertrauenswürdigkeit des Prüfgegenstandes aufgelistet.

Ziele der Common Criteria for Information Technology Security Evaluation

Ziel der Common Criteria ist es, durch eine Zertifizierung einer unabhängigen Instanz nachzuweisen, dass das Produkte die geforderten Sicherheitsfunktionen nach einem bestimmten Evaluierungslevel erfüllt. Dadurch steigert sich die Wettbewerbsfähigkeit eines Produkts und bei Haftungsfragen kann die gebotene verkehrsübliche Sorgfaltspflicht nachgewiesen werden. Ein weiteres Ziel der CC-Zertifizierung ist die Einbindung in internationale Abkommen. Dadurch entfällt die Notwendigkeit, IT-Produkte nach unterschiedlichen, nationalen Maßstäben mehrfach zertifizieren zu müssen. Es existiert eine offizielle Liste von Ländern, die die Zertifizierung nach CC anerkennen.

Die verschiedenen EAL-Stufen der CC

In den Common Criteria sind verschiedene Stufen der Vertrauenswürdigkeit definiert. Diese nennen sich Evaluation Assurance Level (EAL) und reichen von EAL1 bis EAL7. Während Stufe EAL1 lediglich eine funktionelle Prüfung bescheinigt, bedeutet die höchste Evaluierungsstufe EAL7 "formal verifizierter Entwurf und getestet". Mit steigenden EAL-Nummern erhöht sich der Aufwand und die Tiefe der durchzuführenden Prüfung.

Produkte nach Common Criteria (CC) zertifizieren

Firmen- und Personenzertifizierungen im Bereich IT-Sicherheit, Teil 4

Produkte nach Common Criteria (CC) zertifizieren

03.01.12 - Um IT-Produkte auf ihre Sicherheit hin beurteilen zu können entstanden die Common Criteria for Information Technology Security Evaluation (CC). Die EAL-Zertifizierung ist heute ein Muss für Unternehmen die Sicherheitsprodukte an Regierungsstellen verkaufen wollen. lesen

Zertifizierung nach CC

Die Common Criteria nutzen für die Prüfung von Sicherheitseigenschaften das Vier-Augen-Prinzip. Zunächst erfolgt eine Evaluierung durch eine akkreditierte Prüfstelle. Anschließend findet die Zertifizierung durch eine anerkannte Institution statt. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zulässige Zertifizierungsstelle. Das BSI erfüllt die Aufgabe für Produkte der IT die Sicherheitszertifikate zu erteilen. Hierfür muss der Hersteller oder der Vertreiber des Produkts die Zertifizierung veranlassen. Die Prüfung führt eine von der BSI anerkannte Prüfstelle durch. Das Ergebnis der Zertifizierung ist in einem ausführlichen Report festgehalten. Er enthält einen ausführlichen Zertifizierungsbericht und die zusammenfassende Bewertung (das Sicherheitszertifikat).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Firewall und Gateway für Industrienetze

Genua Industrial-Security-Lösungen

Firewall und Gateway für Industrienetze

Die Absicherung der Maschinenkommunikation über das Industrie-Protokoll OPC UA ist eine Herausforderung bei der Digitalisierung der Industrie. Security-Hersteller Genua hat dafür jetzt die Industrial Firewall Genuwall 7.0 vorgestellt, die mittels spezieller Prüf-Software OPC UA-Datentransfers entschlüsselt und kontrolliert, um Angriffe über dieses Protokoll auszuschließen. lesen

Vertrauen in Sicherheits-Technologien steigern

Backdoors schaffen Misstrauen

Vertrauen in Sicherheits-Technologien steigern

Vertrauen in die Sicherheit im Internet ist ein dringendes Anliegen. Was können Anbieter tun, damit Kunden den Technologien vertrauen? Diese Frage ist von zentraler Bedeutung und wird dennoch von IT-Cybersicherheits-Firmen und -entwicklern selten diskutiert. Betrachtet man das Thema genauer, dann lässt sich die Tragweite der strategischen Auswirkungen besser verstehen. lesen

Warum Sicherheits-Software nicht alle Bedrohungen beseitigt

Schwachpunkte am Büroarbeitsplatz

Warum Sicherheits-Software nicht alle Bedrohungen beseitigt

Hackerattacken auf Ämter und Behörden sind heute an der Tagesordnung. Die wenigsten davon, nur die ganz großen, dringen auch bis an die Öffentlichkeit durch – wie der Hackerangriff auf den Bundestag im letzten Jahr. lesen

Datenlöschung nach Common Criteria EAL3+

Certus Software Certified Data Erasure

Datenlöschung nach Common Criteria EAL3+

Eine zertifizierte und transparente Datenlöschung ermöglicht Certus Software Certified Data Erasure sogar nach dem höchsten, überprüften Sicherheitsmaßstab der EU für Datenlöschung, Common Criteria EAL3+. lesen

Verschlüsselung in der Cloud

Azure Key Vault von Microsoft

Verschlüsselung in der Cloud

Der neue Cloud-Dienst Azure Key Vault von Microsoft soll dabei helfen sensible Daten in der Cloud zu verschlüsseln und den Schlüssel auch selbst aufzubewahren. Die lokale Speicherung von Schlüsseln ist nicht mehr notwendig und Cloud-Anwendungen, die verschlüsselt funktionieren, können direkt mit Azure Key Vault zusammenarbeiten. lesen

Common Criteria sorgt für Sicherheit in der IT

Security-Zertifizierung

Common Criteria sorgt für Sicherheit in der IT

Der Schutz von IT-Produkten wird im Idealfall bereits bei der Entwicklung umgesetzt. Mit den Common Criteria for Information Technology Security Evaluation existiert bereits seit Ende der Neunziger ein anerkannter Standard, der eben dies honoriert. lesen

Rechenzentren im Wirrwarr der Normen

Zertifiziert – aber wie?

Rechenzentren im Wirrwarr der Normen

Zertifizierungen werden für Betreiber von Rechenzentren immer wichtiger. Das zeigt auch die wachsende Zahl von Zertifizierungsanbietern am Markt. Aber welche der vielen Zertifikate machen überhaupt Sinn? Und welche Unterschiede gibt es zwischen den Zertifizierungs-Anbietern? lesen

Zertifizierungen für Antivirus-Produkte

Vertrauensvorschuss

Zertifizierungen für Antivirus-Produkte

Welches Security-Produkt ist für meine Zwecke das Beste? Hilfestellung bieten Testberichte, Diskussionsforen oder auch Produkt-Zertifizierungen durch unabhängige Experten. Diese bietet nun auch EICAR an – eine Organisation, die in der Vergangenheit den Fokus auf Antivirus setzte. lesen

Sicherheit für das Internet der Dinge

Embedded Security

Sicherheit für das Internet der Dinge

Bei mehreren Milliarden vernetzten Geräten in kommenden Jahren stellt das IoT neue Anforderungen an die Sicherheit von Devices, Infrastruktur und Daten. Reiner Software-Schutz reicht hier nicht mehr aus. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45090984 / Definitionen)