Common Criteria-Zertifizierung

Common Criteria (CC), offiziell als ISO/IEC 15408 bezeichnet, ist eine internationale Norm zur Bewertung der Sicherheitsfunktionalität und -sicherheit von IT-Produkten. Sie bietet eine strukturierte Methode zur Definition von Sicherheitsanforderungen und zur Überprüfung, ob ein Produkt strengen Tests hinsichtlich dieser Anforderungen unterzogen wurde. Regierungen und Unternehmen verlassen sich auf Common Criteria, um:

• Sorgen Sie für einen einheitlichen Vergleich von Sicherheitsangaben.

• Ermöglichen Sie fundierte Kaufentscheidungen für sicherheitsorientierte Produkte.

• Definieren Sie Anforderungen, die spezifischen operativen Risiken und Einsatzkontexten entsprechen.

• Unterstützung einer unabhängigen Überprüfung von Produktangaben auf definierten Sicherheitsniveaus.

Der Zweck dieser Zertifizierung ist zweierlei:

• Es stellt sicher, dass die Sicherheitsmerkmale eines Produkts in einem Dokument, das als Sicherheitsziel bezeichnet wird, genau beschrieben werden.

• Es erleichtert die unabhängige Bewertung dieser Merkmale nach einem festgelegten Maßstab, der als Evaluation Assurance Levels (EALs) bezeichnet wird.

Dieser Prozess ermöglicht es Käufern, die Bewertungstiefe eines Produkts (z. B. EAL2 gegenüber EAL4+) an das operative Risiko und den Einsatzkontext anzupassen. Die Bezeichnung EAL4+ wird häufig von Produkten mit hoher Sicherheitsstufe angestrebt, da sie ein Gleichgewicht zwischen der Tiefe der Analyse und den praktischen Einsatzfristen herstellt.

Die Common Criteria genießen durch das Common Criteria Recognition Arrangement (CCRA) breite internationale Anerkennung, wodurch die Akzeptanz von Bewertungen in den Mitgliedsländern vereinfacht wird. In den Vereinigten Staaten verwaltet die National Information Assurance Partnership (NIAP) diesen Prozess in Abstimmung mit dem Common Criteria Evaluation and Validation Scheme (CCEVS). Diese Gremien validieren zertifizierte Produkte und führen die Product Compliant List, die eine maßgebliche Referenz für Organisationen darstellt, die sichere Lösungen bewerten.

Für sicherheitsbewusste Käufer in Bereichen wie Behörden und kritische Infrastrukturen reduziert diese Standardisierung redundante Tests und beschleunigt die Einführung geprüfter Lösungen.

Die Erlangung der Common Criteria-Zertifizierung umfasst einen strukturierten, evidenzbasierten Arbeitsablauf, der transparent und wiederholbar ist und es Unternehmen ermöglicht, Ressourcen zu planen und Risiken zu reduzieren. Der Prozess läuft wie folgt ab:

• Umfangsdefinition: Identifizieren Sie das Produkt, definieren Sie das Sicherheitsziel und dokumentieren Sie die beabsichtigte Sicherheitsfunktionalität, relevante Bedrohungen und betriebliche Annahmen.

• Identifizierung von Schutzprofilen: Bestimmen Sie die anwendbaren Schutzprofile, um die Sicherheitsanforderungen zu standardisieren.

• Vorbereitung der Nachweise: Entwicklung umfassender Konstruktions- und Testdokumentationen zur Unterstützung der Bewertung.

• Unabhängige Bewertung: Unterziehen Sie sich Funktions- und Penetrationstests, die von einem akkreditierten Labor durchgeführt werden.

• Behebung und Überprüfung: Behandeln Sie die Ergebnisse systematisch, bis das Produkt das angestrebte Sicherheitsniveau erreicht.

• Zertifizierungsbericht: Erhalten Sie einen detaillierten Bewertungsbericht, der die Zertifizierung auf der gewählten EAL-Stufe unterstützt.

• Überprüfung durch die Zertifizierungsstelle: Nationale Zertifizierungsstellen überprüfen die Arbeit des Labors und stellen nach erfolgreichem Abschluss das Zertifikat aus.

In den USA wird die NIAP-Zertifizierung durch CCEVS validiert, und zertifizierte Produkte werden zur Vereinfachung der Beschaffung in die Produktkonformitätsliste aufgenommen. Diese Aufgabentrennung gewährleistet Unparteilichkeit und Konsistenz bei allen Bewertungen.

Die Zeitpläne für die Common Criteria-Zertifizierung können je nach Umfang und Sicherheitsstufe der Bewertung variieren. Kleinere Bewertungen können innerhalb weniger Monate abgeschlossen werden, während Projekte mit höherer Sicherheitsstufe oder komplexere Systeme neun Monate oder länger in Anspruch nehmen können.

Die Kosten werden durch den Umfang der Bewertung, die gewählte Evaluierungssicherheitsstufe (EAL) und die Verfügbarkeit von Belegen beeinflusst. Eine proaktive Planung und eine strenge Konfigurationskontrolle helfen dabei, Zeitrahmen und Budget einzuhalten.

Die Zertifizierung bietet eine unabhängige Gewähr dafür, dass die Sicherheitsfunktionen eines Produkts wie vorgesehen funktionieren und anhand eines anerkannten Standards geprüft wurden. Diese Gewähr stärkt das Vertrauen zwischen Sicherheitsteams, Beschaffungsbeauftragten und Prüfern, die nachweisbare Belege für Sicherheitsangaben benötigen. Wenn ein Produkt auf der Produktkonformitätsliste aufgeführt ist, signalisiert dies potenziellen Käufern sofort eine verifizierte Integrität.

Zu den wichtigsten Vorteilen gehören:

• Vereinfacht den Zugang zu Möglichkeiten, die zertifizierte Lösungen erfordern.

• Optimiert die grenzüberschreitende Anerkennung durch das Common Criteria Recognition Arrangement (CCRA) und minimiert so redundante Bewertungen.

• Unterstützt Verbesserungen in Bezug auf Dokumentationsqualität, Testabdeckung und langfristige Wartbarkeit, wenn es in den sicheren Entwicklungslebenszyklus integriert wird.

• Bietet einen anerkannten Weg zur Zulassung für den Einsatz auf Bundesebene in den USA durch NIAP-Zertifizierung und CCEVS-Validierung.

• Bietet Kunden und Stakeholdern Klarheit, indem es das zu lösende Sicherheitsproblem, die Art und Weise seiner Minderung und das unabhängig überprüfte Sicherheitsniveau klar darlegt.

Diese Klarheit unterstützt risikobasierte Entscheidungen und entspricht den Erwartungen an die Unternehmensführung. Lösungen, die nach strengen Sicherheitsstandards entwickelt wurden und auf die Erfüllung von Compliance-Anforderungen ausgelegt sind, einschließlich der Anpassung an Common Criteria bis zu Stufen wie EAL4+, helfen Unternehmen, in Umgebungen mit hoher Sicherheit vertrauensvoll zu arbeiten.