MENU
Kurz nachgefragt

Was sind die Common Criteria?

13. Juli 2017

Vor dem Hintergrund einer zunehmend vernetzten Welt und dem damit verbundenen wachsenden Bedürfnis nach mehr Sicherheit im IT-Bereich gewinnen die Common Criteria (CC) immer stärker an Bedeutung. Markus Wagner von TÜViT erklärt im Kurzinterview, was mit diesem Begriff überhaupt gemeint ist und wie IT-Produkte, -Komponenten und -Systeme dank CC sicherer werden.

#explore: Was sind die Common Criteria?

Markus Wagner: Um den Begriff zu verstehen, hilft ein Blick auf die Übersetzung. ‘Common Criteria’ bedeutet übersetzt so viel wie ‚gemeinsame Kriterien’. Die Common Criteria, in der IT-Branche auch oft einfach nur mit CC abgekürzt, sind ein internationaler IT-Sicherheitsstandard für Software- und Hardware-Produkte. Das bedeutet im Klartext, dass die darin definierten Kriterien für IT-Security nahezu weltweit gültig sind. Die Common Criteria beschreiben verschiedene funktionale Sicherheitsanforderungen, um damit die vorher festgelegten Sicherheitsziele zu erreichen. Gleichzeitig definieren die Common Criteria Anforderungen an die Prüfung, die dafür sorgen, Vertrauen in die Sicherheit des Produktes zu erlangen.

Eine Handvoll Länder – darunter Deutschland, USA und Großbritannien – haben die Common Criteria bereits 1998 gegründet. Im Laufe der vergangenen Jahre haben viele weitere Staaten die Standards übernommen. Denn klares Ziel der Common Criteria ist es, international für ein höchstmögliches Maß an Sicherheit im IT-Bereich zu sorgen.

„Rund 50 Prüfer bewerten und untersuchen die Sicherheit von Software und Hardware seit 1991 nach den internationalen Standards.“

Markus Wagner

#explore: Im Zusammenhang mit Common Criteria taucht immer wieder der Begriff ‚EAL-Stufen’ auf. Was bedeutet das?

Markus Wagner: EAL ist die Abkürzung für Evaluation Assurance Level – frei übersetzt heißt das so viel wie Sicherheitsbewertungsstufe. Die EAL-Stufen enthalten jeweils ein vorgegebenes Set an Prüfungen für eine Zertifizierung im Rahmen der Common Criteria. Je höher das Level der EAL-Stufe, desto anspruchsvoller fallen auch die präzisen Anforderungen an Prüfmethoden, Prüfumfang und -tiefe aus. Mit dem höheren Level wächst zugleich das Vertrauen in die geprüfte Soft- oder Hardware. Hauptprüfziel bei allen Stufen ist die Analyse von möglichen Sicherheitslücken und Schwachstellen. Eine solche Prüfung kann mehrere Monate dauern.

#explore: Wo berühren die Common Criteria die Arbeit von TÜViT?

Markus Wagner: Wir gehören zu den weltweit führenden Prüfdienstleistern in diesem Bereich – und das Bundesamt für Sicherheit in der Informationstechnik – BSI – hat TÜViT bereits vor mehr als 25 Jahren als Prüfstelle für Sicherheitsevaluierungen anerkannt. Zusätzlich ist die TÜViT auch im japanischen Zertifizierungsschema seit 2007 für Evaluationen nach den Common Criteria akkreditiert.

Gleich mehrere Abteilungen beschäftigen sich mit den Common Criteria: Rund 50 Prüfer bewerten und untersuchen die Sicherheit von Software und Hardware seit 1991 nach den internationalen Standards. Außerdem erarbeiten unsere Experten für IT-Sicherheit Schutzprofile für ganz unterschiedliche Bereiche – dazu zählen zum Beispiel biometrische Systeme, eHealth, SmartMetering oder Datenbankmanagementsysteme. Das passiert im Auftrag des BSI oder anderer Interessengruppen. Darüber hinaus bietet TÜViT auch Workshops für IT-Unternehmen an und unterstützt sie bei der Erstellung von Sicherheitsvorgaben und Herstellerdokumenten.

ZUR PERSON

Markus Wagner ist seit 2012 bei TÜViT als Projektleiter für IT-Sicherheitsevaluationen zuständig. Das Spezialgebiet des Diplom-Wirtschaftsinformatikers: die Common Criteria. Neben seinen Schwerpunktthemen „digitale Signaturen“, „Smart Meter Gateways“ und „Datenbankmanagementsystemen“ arbeitet Wagner auch an technischen Richtlinien im Auftrag des BSI. Außerdem berät er verschiedene Hersteller, wie die funktionalen Sicherheitsanforderungen der CC umzusetzen sind und unterstützt Hersteller beratend in Zusammenhang mit der Durchführung von Sicherheitsevaluationen.