Suchen

Definition Common Criteria for Information Technology Security Evaluation (CC) Was ist Common Criteria?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Mit Hilfe der Common Criteria for Information Technology Security Evaluation lassen sich IT-Produkte nach allgemeinen Kriterien bezüglich ihrer Sicherheit bewerten. Bei Common Criteria (CC) handelt es sich um einen international anerkannten Standard.

Die Common Criteria for Information Technology Security Evaluation sind ein international anerkannter Standard zur Evaluierung der Sicherheit von IT-Produkten.
Die Common Criteria for Information Technology Security Evaluation sind ein international anerkannter Standard zur Evaluierung der Sicherheit von IT-Produkten.
(Bild: CommonCriteriaPortal.org)

Der Begriff Common Criteria (CC) steht für die Langform Common Criteria for Information Technology Security Evaluation und bedeutet ins Deutsche übersetzt "Gemeinsame Kriterien für die Sicherheitsbewertung von Informationstechnologie". Es handelt sich um einen international gültigen Standard, mit dessen Hilfe sich die Sicherheit von Produkten der IT nach allgemeinen Kriterien bewerten und prüfen lässt.

Erste Arbeiten am Standard fanden bereits 1993 durch das Common Criteria Editorial Board (CCEB) statt, das sich aus Mitgliedern verschiedener Länder wie Deutschland, Frankreich, Großbritannien, Kanada und den USA zusammensetzte. Die erste Version der CC wurde 1996 veröffentlicht. 1999 wurden die CC durch die Verabschiedung der Norm ISO/IEC 15408 zu einem weltweit anerkannten Standard. Aktuell sind sie in der Version 3.1 publiziert.

Grundlegendes Modell und Aufbau der Common Criteria

Das grundlegende Modell der CC unterscheidet zwischen dem Funktionsumfang und der Qualität (Vertrauenswürdigkeit) eines IT-Produktes. Das Vertrauen entsteht durch die Prüfung des Produktes durch eine unabhängige Instanz. Der Aufbau der CC gliedert sich in drei Teilbereiche. Diese sind:

  • 1. Einführung und allgemeines Modell
  • 2. funktionale Sicherheitsanforderungen
  • 3. Anforderungen an die Vertrauenswürdigkeit

Im Einführungsteil der CC sind der allgemeine Geltungsbereich und die Grundlagen der Sicherheitsevaluation beschrieben. Die funktionalen Sicherheitsanforderungen beinhalten einen umfangreichen Katalog, anhand dessen sich die Funktionalität des zu prüfenden Produktes beschreiben lässt. Im dritten Teil schließlich sind die Anforderungen an die Vertrauenswürdigkeit des Prüfgegenstandes aufgelistet.

Ziele der Common Criteria for Information Technology Security Evaluation

Ziel der Common Criteria ist es, durch eine Zertifizierung einer unabhängigen Instanz nachzuweisen, dass das Produkte die geforderten Sicherheitsfunktionen nach einem bestimmten Evaluierungslevel erfüllt. Dadurch steigert sich die Wettbewerbsfähigkeit eines Produkts und bei Haftungsfragen kann die gebotene verkehrsübliche Sorgfaltspflicht nachgewiesen werden. Ein weiteres Ziel der CC-Zertifizierung ist die Einbindung in internationale Abkommen. Dadurch entfällt die Notwendigkeit, IT-Produkte nach unterschiedlichen, nationalen Maßstäben mehrfach zertifizieren zu müssen. Es existiert eine offizielle Liste von Ländern, die die Zertifizierung nach CC anerkennen.

Die verschiedenen EAL-Stufen der CC

In den Common Criteria sind verschiedene Stufen der Vertrauenswürdigkeit definiert. Diese nennen sich Evaluation Assurance Level (EAL) und reichen von EAL1 bis EAL7. Während Stufe EAL1 lediglich eine funktionelle Prüfung bescheinigt, bedeutet die höchste Evaluierungsstufe EAL7 "formal verifizierter Entwurf und getestet". Mit steigenden EAL-Nummern erhöht sich der Aufwand und die Tiefe der durchzuführenden Prüfung.

Zertifizierung nach CC

Die Common Criteria nutzen für die Prüfung von Sicherheitseigenschaften das Vier-Augen-Prinzip. Zunächst erfolgt eine Evaluierung durch eine akkreditierte Prüfstelle. Anschließend findet die Zertifizierung durch eine anerkannte Institution statt. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zulässige Zertifizierungsstelle. Das BSI erfüllt die Aufgabe für Produkte der IT die Sicherheitszertifikate zu erteilen. Hierfür muss der Hersteller oder der Vertreiber des Produkts die Zertifizierung veranlassen. Die Prüfung führt eine von der BSI anerkannte Prüfstelle durch. Das Ergebnis der Zertifizierung ist in einem ausführlichen Report festgehalten. Er enthält einen ausführlichen Zertifizierungsbericht und die zusammenfassende Bewertung (das Sicherheitszertifikat).

(ID:45090984)

Über den Autor