Definition Common Criteria for Information Technology Security Evaluation (CC)

Was ist Common Criteria?

| Autor / Redakteur: Tutanch / Peter Schmitz

Die Common Criteria for Information Technology Security Evaluation sind ein international anerkannter Standard zur Evaluierung der Sicherheit von IT-Produkten.
Die Common Criteria for Information Technology Security Evaluation sind ein international anerkannter Standard zur Evaluierung der Sicherheit von IT-Produkten. (Bild: CommonCriteriaPortal.org)

Mit Hilfe der Common Criteria for Information Technology Security Evaluation lassen sich IT-Produkte nach allgemeinen Kriterien bezüglich ihrer Sicherheit bewerten. Bei Common Criteria (CC) handelt es sich um einen international anerkannten Standard.

Der Begriff Common Criteria (CC) steht für die Langform Common Criteria for Information Technology Security Evaluation und bedeutet ins Deutsche übersetzt "Gemeinsame Kriterien für die Sicherheitsbewertung von Informationstechnologie". Es handelt sich um einen international gültigen Standard, mit dessen Hilfe sich die Sicherheit von Produkten der IT nach allgemeinen Kriterien bewerten und prüfen lässt.

Erste Arbeiten am Standard fanden bereits 1993 durch das Common Criteria Editorial Board (CCEB) statt, das sich aus Mitgliedern verschiedener Länder wie Deutschland, Frankreich, Großbritannien, Kanada und den USA zusammensetzte. Die erste Version der CC wurde 1996 veröffentlicht. 1999 wurden die CC durch die Verabschiedung der Norm ISO/IEC 15408 zu einem weltweit anerkannten Standard. Aktuell sind sie in der Version 3.1 publiziert.

Grundlegendes Modell und Aufbau der Common Criteria

Das grundlegende Modell der CC unterscheidet zwischen dem Funktionsumfang und der Qualität (Vertrauenswürdigkeit) eines IT-Produktes. Das Vertrauen entsteht durch die Prüfung des Produktes durch eine unabhängige Instanz. Der Aufbau der CC gliedert sich in drei Teilbereiche. Diese sind:

  • 1. Einführung und allgemeines Modell
  • 2. funktionale Sicherheitsanforderungen
  • 3. Anforderungen an die Vertrauenswürdigkeit

Im Einführungsteil der CC sind der allgemeine Geltungsbereich und die Grundlagen der Sicherheitsevaluation beschrieben. Die funktionalen Sicherheitsanforderungen beinhalten einen umfangreichen Katalog, anhand dessen sich die Funktionalität des zu prüfenden Produktes beschreiben lässt. Im dritten Teil schließlich sind die Anforderungen an die Vertrauenswürdigkeit des Prüfgegenstandes aufgelistet.

Ziele der Common Criteria for Information Technology Security Evaluation

Ziel der Common Criteria ist es, durch eine Zertifizierung einer unabhängigen Instanz nachzuweisen, dass das Produkte die geforderten Sicherheitsfunktionen nach einem bestimmten Evaluierungslevel erfüllt. Dadurch steigert sich die Wettbewerbsfähigkeit eines Produkts und bei Haftungsfragen kann die gebotene verkehrsübliche Sorgfaltspflicht nachgewiesen werden. Ein weiteres Ziel der CC-Zertifizierung ist die Einbindung in internationale Abkommen. Dadurch entfällt die Notwendigkeit, IT-Produkte nach unterschiedlichen, nationalen Maßstäben mehrfach zertifizieren zu müssen. Es existiert eine offizielle Liste von Ländern, die die Zertifizierung nach CC anerkennen.

Die verschiedenen EAL-Stufen der CC

In den Common Criteria sind verschiedene Stufen der Vertrauenswürdigkeit definiert. Diese nennen sich Evaluation Assurance Level (EAL) und reichen von EAL1 bis EAL7. Während Stufe EAL1 lediglich eine funktionelle Prüfung bescheinigt, bedeutet die höchste Evaluierungsstufe EAL7 "formal verifizierter Entwurf und getestet". Mit steigenden EAL-Nummern erhöht sich der Aufwand und die Tiefe der durchzuführenden Prüfung.

Produkte nach Common Criteria (CC) zertifizieren

Firmen- und Personenzertifizierungen im Bereich IT-Sicherheit, Teil 4

Produkte nach Common Criteria (CC) zertifizieren

03.01.12 - Um IT-Produkte auf ihre Sicherheit hin beurteilen zu können entstanden die Common Criteria for Information Technology Security Evaluation (CC). Die EAL-Zertifizierung ist heute ein Muss für Unternehmen die Sicherheitsprodukte an Regierungsstellen verkaufen wollen. lesen

Zertifizierung nach CC

Die Common Criteria nutzen für die Prüfung von Sicherheitseigenschaften das Vier-Augen-Prinzip. Zunächst erfolgt eine Evaluierung durch eine akkreditierte Prüfstelle. Anschließend findet die Zertifizierung durch eine anerkannte Institution statt. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zulässige Zertifizierungsstelle. Das BSI erfüllt die Aufgabe für Produkte der IT die Sicherheitszertifikate zu erteilen. Hierfür muss der Hersteller oder der Vertreiber des Produkts die Zertifizierung veranlassen. Die Prüfung führt eine von der BSI anerkannte Prüfstelle durch. Das Ergebnis der Zertifizierung ist in einem ausführlichen Report festgehalten. Er enthält einen ausführlichen Zertifizierungsbericht und die zusammenfassende Bewertung (das Sicherheitszertifikat).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Erstes TPM für das vernetzte Auto

Infineon Optiga TPM SLI-9670

Erstes TPM für das vernetzte Auto

Vernetzte Fahrzeuge entwickeln sich zunehmend zu rollenden Computern – und brauchen Schutz vor Cyberangriffen. Moderne Trusted Platform Modules sollen die Kommunikation absichern. lesen

Industrie 4.0? Aber sicher!

Hardware-basierte Security

Industrie 4.0? Aber sicher!

Das Vernetzen von Maschinen und Geräten per IoT eröffnet ungeahnte Möglichkeiten für die moderne Fertigung – macht sie aber anfällig für Cyberangriffe. Hardwarebasierte Sicherheitslösungen auf Basis von Security-Chips sind der beste Weg, um Maschinenidentitäten sowie Daten und Kommunikation effizient zu schützen, denn Security-Controller bieten skalierbare Sicherheit. lesen

Was ist ein Hardware-Sicherheitsmodul (HSM)?

Definition Hardware Security Module / Hardware-Sicherheitsmodul (HSM)

Was ist ein Hardware-Sicherheitsmodul (HSM)?

Ein Hardware-Sicherheitsmodul ist eine eigenständige Hardware-Komponente, die kryptografische Verfahren absichert. Je nach Typ kann das Hardware-Sicherheitsmodul Schlüssel für kryptografische Verfahren erzeugen oder verwalten, Signaturen und Identitäten schützen oder die Übertragung von Daten absichern. lesen

Virtuelles Cloud Security Gateway von Genua

Clouds auf OpenStack-Basis absichern

Virtuelles Cloud Security Gateway von Genua

Immer mehr sensible Daten und Anwendungen werden in Clouds ausgelagert - dadurch sind sie attraktive Angriffsziele. Mit dem virtuellen Cloud Security Gateway präsentiert der deutsche Hersteller Genua eine neue Lösung zur Absicherung der Schnittstelle Cloud-Internet. Das Cloud Security Gateway prüft den Inhalt der empfangenen Daten, um unerwünschte Inhalte oder gefährliche Malware zu erkennen und abzublocken. lesen

Sicheres Smart Metering

Risiken intelligenter Messsysteme

Sicheres Smart Metering

Im Rahmen der Energiewende soll die Energieeffizienz in Europa gesteigert werden. Zentrale Maßnahmen dafür sollen die Trennung von Messstellenbetrieb und Energieversorgung sowie die Einführung so genannter intelligenter Messsysteme in den europäischen Haushalten sein. Die Absicherung der Übertragung der Energiedaten von einzelnen Haushalten zu den Energieversorgern ist eine der größten Herausforderungen der Branche im Hinblick auf diese intelligenten Messsysteme. lesen

Firewall und Gateway für Industrienetze

Genua Industrial-Security-Lösungen

Firewall und Gateway für Industrienetze

Die Absicherung der Maschinenkommunikation über das Industrie-Protokoll OPC UA ist eine Herausforderung bei der Digitalisierung der Industrie. Security-Hersteller Genua hat dafür jetzt die Industrial Firewall Genuwall 7.0 vorgestellt, die mittels spezieller Prüf-Software OPC UA-Datentransfers entschlüsselt und kontrolliert, um Angriffe über dieses Protokoll auszuschließen. lesen

Vertrauen in Sicherheits-Technologien steigern

Backdoors schaffen Misstrauen

Vertrauen in Sicherheits-Technologien steigern

Vertrauen in die Sicherheit im Internet ist ein dringendes Anliegen. Was können Anbieter tun, damit Kunden den Technologien vertrauen? Diese Frage ist von zentraler Bedeutung und wird dennoch von IT-Cybersicherheits-Firmen und -entwicklern selten diskutiert. Betrachtet man das Thema genauer, dann lässt sich die Tragweite der strategischen Auswirkungen besser verstehen. lesen

Warum Sicherheits-Software nicht alle Bedrohungen beseitigt

Schwachpunkte am Büroarbeitsplatz

Warum Sicherheits-Software nicht alle Bedrohungen beseitigt

Hackerattacken auf Ämter und Behörden sind heute an der Tagesordnung. Die wenigsten davon, nur die ganz großen, dringen auch bis an die Öffentlichkeit durch – wie der Hackerangriff auf den Bundestag im letzten Jahr. lesen

Datenlöschung nach Common Criteria EAL3+

Certus Software Certified Data Erasure

Datenlöschung nach Common Criteria EAL3+

Eine zertifizierte und transparente Datenlöschung ermöglicht Certus Software Certified Data Erasure sogar nach dem höchsten, überprüften Sicherheitsmaßstab der EU für Datenlöschung, Common Criteria EAL3+. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45090984 / Definitionen)