Common Criteria

Die Common Criteria for Information Technology Security Evaluation (kurz auch Common Criteria oder CC) ist ein internationaler Standard zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten.

Common Criteria Historie

Gegründet würde das Common Criteria Editorial Board (CCEB) mit Mitgliedern aus Kanada, Frankreich, Deutschland, Grossbritannien und den Vereinigten Staaten zur Ausarbeitung der Common Criteria.

Das Vorgehen bestand darin, aus den unterschiedlichen Standards (Kanada CTCPE, Europa ITSEC und amerikanisch TCSEC) eine gemeinsame Grundlage für die Bewertung der Datensicherheit zu schaffen. Dieses Vorgehen hatte zum Ziel, Komponenten nicht mehrfach und unterschiedlich bewerten zu müssen. Der erste Standard wurde 1996 veröffentlicht, in der Version 1.0, und befindet sich aktuell in der Version 3.1.

Common Criteria Mitgliedstaaten

Bezüglich Mitgliedstaaten werden hier zwischen den Arten Certificate Authorizing Members (Australien, Kanada, Frankreich, Deutschland, Indien, Italien, Japan, Malaysia, Niederlande, Neuseeland, Norwegen, Korea, Singapur, Spanien, Schweden, Türkei, England, USA) und Certificate Consuming Members (Österreich, Tschechien, Dänemark, Äthiopien, Finnland, Griechenland, Ungarn, Indonesien, Israel, Pakistan, Polen, Katar) unterschieden.

Anbieter und Hersteller können somit ihre Produkte nach Common Criteria analysieren und bewerten lassen.

Bestandteil des Verfahrens ist die technische Prüfung (Evaluierung) des Produktes gemäss der Common Criteria. Diese Anerkennung wird nach Abschluss eines erfolgreich durchlaufenen Anerkennungsverfahrens ausgesprochen. Jede Evaluierung wird mit dem Ziel, eine einheitliche Vorgehensweise und Methodik sicherzustellen, durch Mitarbeitenden der Zertifizierungsstelle begleitet. Die Prüfberichte der Prüfstellen werden von diesen Mitarbeitenden der Zertifizierungsstelle abgenommen. Es erfolgt hierbei ein Abgleich der Bewertungen mit denen aus anderen Zertifizierungsverfahren.

Common Criteria Zertifizierung

Das Ergebnis des Zertifizierungsverfahrens wird in einem Zertifizierungsreport festgehalten. Darin enthalten sind unter anderem das Sicherheitszertifikat (zusammenfassende Bewertung) und der detaillierte Zertifizierungsbericht.

Der Zertifizierungsbericht enthält die sicherheitstechnische Beschreibung des zertifizierten Produktes, die Einzelheiten der Bewertung und Hinweise für den Anwender, die Anwenderin. Die erteilten Zertifikate und Zertifizierungsreporte werden – sofern der Hersteller dem zustimmt – durch die Zertifizierungsstelle veröffentlicht.

Anträge für die Zertifizierung können bei den oben genannten Certificate Authorizing Members gestellt werden, in Deutschland wäre dies das Bundesamt für Informationssicherheit (BSI), das dann entsprechend anerkannte Prüfunternehmen beauftragt wie z.B. Tüv-Nord.

Dabei bestehen Common Criteria aus folgenden Bereichen:

Einführung und allgemeines Modell:

Hier werden die Grundlagen der IT-Sicherheitsevaluation und der allgemeine Geltungsbereich der CC erläutert. In den Anhängen werden Schutzprofile (Protection Profile) und Sicherheitsvorgaben (Security Target) für den zu prüfenden Evaluationsgegenstand (EVG) beschrieben.

Funktionale Sicherheitsanforderungen

Dieser Teil enthält einen umfangreichen Katalog von Funktionalitätsanforderungen. Er stellt ein empfohlenes Angebot für die Beschreibung der Funktionalität eines Evaluationsgegenstandes dar, von dem jedoch in begründeten Fällen abgewichen werden kann. Zusätzlich werden Zusammenhänge zwischen Bedrohungen, Sicherheitszielen und funktionalen Anforderungen aufgezeigt.

Im Gegensatz zu anderen Normen sind die Funktionalitätsklassen nicht hierarchisch gegliedert. Stattdessen beschreibt jede Klasse eine bestimmte Grundfunktion der Sicherheitsarchitektur, die getrennt bewertet werden muss. Wichtige Funktionalitätsklassen sind:

FAU (Sicherheitsprotokollierung)
FCO (Kommunikation)
FCS (Kryptographische Unterstützung)
FDP (Schutz der Benutzerdaten)
FIA (Identifikation und Authentisierung)
FMT (Sicherheitsmanagement)
FPR (Privatsphäre)
FPT (Schutz der Sicherheitsfunktionen)
FRU (Betriebsmittelnutzung)
FTA (Schnittstelle)
FTP (vertrauenswürdiger Pfad/Kanal)

Grundsätzlich obliegt die Auswahl der Funktionalität, die ein zu prüfendes System bereitstellen soll dem Hersteller. Es fällt in seinen Verantwortungsbereich, diese Funktionalität mit den anderen beteiligten Parteien – insbesondere dem Kunden, der Kundin – abzustimmen.

Anforderungen an die Vertrauenswürdigkeit

Hier sind die Anforderungen an die Vertrauenswürdigkeit aufgelistet. Zu beachten ist, dass ein Evaluationsergebnis immer auf einer Vertrauenswürdigkeitsstufe (Evaluation Assurance Level, EAL1-7) basieren sollte, eventuell ergänzt durch weitere Anforderungen. Die Common Criteria geben sieben hierarchische EAL-Stufen vor

CC EAL Bedeutung
EAL1 funktionell getestet
EAL2 strukturell getestet
EAL3 methodisch getestet und überprüft
EAL4 methodisch entwickelt, getestet und durchgesehen
EAL5 semiformal entworfen und getestet
EAL6 semiformal verifizierter Entwurf und getestet
EAL7 formal verifizierter Entwurf und getestet

Aktuell sind 2561 Produkte (mit einer Gültigkeitsdauer von 5 Jahren) zertifiziert und 1312 archiviert (abgelaufene Zertifizierung).

Category Products Archived
Access Control Devices and Systems 69 64
Biometric Systems and Devices 3 0
Boundary Protection Devices and Systems 77 124
Data Protection 73 96
Databases 31 53
Detection Devices and Systems 14 57
ICs, Smart Cards and Smart Card-Related Devices and Systems 1213 33
Key Management Systems 22 28
Mobility 32 23
Multi-Function Devices 208 182
Network and Network-Related Devices and Systems 278 238
Operating Systems 108 75
Other Devices and Systems 290 331
Products for Digital Signatures 105 8
Trusted Computing 38 0
Totals: 2561 1312
Grand Total: 3873

Neben der Zertifizierung von Produkten gibt es auch die Möglichkeit einer Standortzertifizierung nach Common Criteria. Der Betreiber eines solchen Standortes kann einen Antrag auf Zertifizierung eines Standortes nach Common Criteria stellen. Ziel einer solchen Standortzertifizierung ist i.d.R. die Wiederverwendung des Ergebnisses in späteren Zertifizierungsverfahrens für IT-Produkte, die in diesem Standort entwickelt oder produziert werden. Mit der Standortzertifizierung können Synergieeffekte bei Produktzertifizierungen erreicht werden, z. B. wenn verschiedene Produkte gleichen Typs und möglicherweise von verschiedenen Entwicklerfirmen in einem Standort produziert werden.

Quellen:

https://de.wikipedia.org

https://www.commoncriteriaportal.org/cc/

https://www.bsi.bund.de

https://www.tuev-nord.de

https://www.secupedia.info

Autor: Jousry Abdel-Khalek


Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.

Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.

FAQ zum CAS Cybersecurity und Information Risk Management:

  1. Starttermin: Jeweils im Frühjahr.
  2. Location: 7 Minuten zu Fuss vom Bahnhof SBB, Basel.
  3. Intensität: 100% berufsbegleitend.
  4. Dozierende: Experten aus der Praxis.
  5. Modelle: BSI Grundschutz, ISO, CISSP
  6. Vorbereitung auf die Prüfung zum CISSP: Zugang zu Testplattform
  7. Didaktik: Framework, Vorlagen, Checklisten, Show Cases, Networking.
  8. Fokus: Management von Cybersecurity und Risikomanagement.
  9. Leistungsnachweis 1: Computerbasierter Test, Teil 1 der BSI Prüfung.
  10. Leistungsnachweis 2: Security Framework erstellen (Dokument).
  11. Leistungsnachweis 3: Blogbeitrag zu einem Security-Thema.
  12. Leistungsnachweis 4: ISMS-Pitch vor der Geschäftsleitung.
  13. Support: Persönliche Begleitung durch Martina Dalla Vecchia.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Captcha loading...