Startseite » Blog DE » Common Criteria ISO/IEC 15408 verständlich erklärt

Common Criteria ISO/IEC 15408 verständlich erklärt

Wenn du ein sicheres IT-Produkt kaufst – sagen wir eine Firewall, eine Smartcard oder ein verschlüsseltes Speichersystem – gehst du wahrscheinlich davon aus, dass es getestet und verifiziert wurde. Aber woher weißt du das wirklich? Wer bestätigt, dass ein Produkt seine Sicherheitsversprechen auch einhält? Hier kommt Common Criteria (ISO/IEC 15408) ins Spiel.

Dieser internationale Standard definiert ein Rahmenwerk zur Bewertung und Zertifizierung von Sicherheitsmerkmalen in IT-Produkten. Es ist so etwas wie ein Qualitätssiegel – aber für Cybersicherheit.

In diesem Artikel entmystifizieren wir Common Criteria. Was steckt dahinter? Warum ist es wichtig? Und wie kannst du es in der Praxis anwenden – ob als Produktentwickler, Sicherheitsberater oder Beschaffungsverantwortlicher?

Common Criteria ISO-IEC 15408

Was sind die Common Criteria?

Common Criteria (CC) nach ISO/IEC 15402 ist der internationale Standard zur Evaluierung von IT-Sicherheit. Der vollständige Titel lautet:

ISO/IEC 15408: Informationstechnologie – Sicherheitsverfahren – Bewertungskriterien für IT-Sicherheit.

Dieser Standard ist das Ergebnis internationaler Kooperationen, um nationale Sicherheitsbewertungssysteme zu vereinheitlichen. Ziel: Ein weltweit anerkanntes System schaffen, mit dem überprüft werden kann, ob IT-Produkte bestimmte Sicherheitsanforderungen erfüllen.

Man kann sich das vorstellen wie einen Sicherheitspass für IT-Produkte. Wenn ein Produkt „Common Criteria zertifiziert“ ist, wurde es durch ein unabhängiges Prüfverfahren anhand festgelegter Anforderungen geprüft.

Die Grundlagen: So funktioniert Common Criteria (ISO/IEC 15402)

Im Kern liefert Common Criteria:

  • Eine standardisierte Evaluierungsmethodik

  • Eine Reihe von Sicherheitsbewertungsstufen (EAL 1 bis EAL 7)

  • Ein Rahmenwerk zur Definition von funktionalen Sicherheitsanforderungen und Sicherheitsgarantien

Lass uns das genauer ansehen.

1. Schutzprofile und Sicherheitsziele

Zwei zentrale Konzepte im CC-Kontext:

  • Protection Profile (PP): Eine Art Schablone, die Sicherheitsanforderungen für einen bestimmten Produkttyp definiert, z. B. eine Firewall.

  • Security Target (ST): Ein produktspezifisches Dokument, das beschreibt, gegen welche Anforderungen ein Produkt geprüft werden soll.

2. Evaluation Assurance Levels (EALs)

Es gibt sieben Stufen, von EAL1 (niedrig) bis EAL7 (sehr hoch). Jede beschreibt den Aufwand und die Tiefe der Evaluierung:

  • EAL1: Funktionell getestet

  • EAL2: Strukturell getestet

  • EAL3: Methodisch getestet und geprüft

  • EAL4: Methodisch entworfen, getestet und überprüft (am häufigsten)

  • EAL5–7: Höchste Sicherheitsgarantie mit formalen Nachweisen

Wichtig: Höher ist nicht immer besser. Für kommerzielle Produkte ist EAL4 oft völlig ausreichend.

3. Zertifizierung und internationale Anerkennung

Common Criteria wird von einem Netzwerk aus Zertifizierungsstellen getragen. Die meisten teilnehmenden Länder sind Teil der Common Criteria Recognition Arrangement (CCRA).

Das bedeutet: Ein in Deutschland oder den USA zertifiziertes Produkt wird auch in vielen anderen Ländern anerkannt.

Warum Common Criteria wichtig ist

Braucht man das wirklich? Die Antwort lautet oft: Ja – wenn du in einem dieser Bereiche arbeitest:

  • Hersteller von Sicherheitsprodukten: Zertifizierung schafft Vertrauen und Marktchancen.

  • Behörden: Öffentliche Ausschreibungen erfordern häufig CC-zertifizierte Produkte.

  • IT-Security-Teams in Unternehmen: Hilft bei der Bewertung von Produktsicherheit.

  • Compliance-Verantwortliche: Zeigt regulatorische Konformität.

1. Klare, nachvollziehbare Sicherheitszusagen

Mit CC muss ein Hersteller explizit angeben, was sein Produkt schützt. Das schafft Transparenz und Vergleichbarkeit.

2. Unabhängige Prüfung durch akkreditierte Labore

Vertraue nicht blind – CC schreibt vor, dass ein unabhängiges Prüflabor die Sicherheitsfunktionen überprüft.

3. Strukturierte Dokumentation und klare Methodik

Der Prozess erfordert saubere Dokumentation und definierte Prüfpfade – Fehler und Lücken werden dadurch minimiert.

Common Criteria (ISO/IEC 15402) in der Praxis: Ein Überblick

Hier siehst du den Ablauf einer typischen CC-Zertifizierung:

Schritt 1: Erstellen des Security Target

Hersteller beginnen mit einem Security Target (ST), das folgende Inhalte enthält:

  • Produktbeschreibung

  • Umweltannahmen

  • Bedrohungsmodell und Schutzbedarf

  • Sicherheitsziele und Maßnahmen

  • Zuordnung zu CC-Anforderungen

Schritt 2: Wahl des EAL

Kommerzielle Hersteller wählen meist EAL2 bis EAL4, um Aufwand und Nutzen auszubalancieren. Hier solltest du darauf achten, dass du für dich das relevante EAL wählst.

Schritt 3: Evaluierung im Labor

Nach Einreichung des ST prüft ein akkreditiertes Labor:

  • Design und Quellcode

  • Funktionstests

  • Penetrationstests

  • Entwicklungs- und Konfigurationsprozesse

Schritt 4: Zertifizierung

Erfüllt das Produkt die Anforderungen, erstellt das Labor einen Bericht für die nationale Zertifizierungsstelle. Diese stellt das Zertifikat aus – veröffentlicht auf dem Common Criteria Portal.

Herausforderungen und Grenzen

Trotz vieler Vorteile gibt es auch Kritikpunkte:

1. Kosten und Dauer

Evaluierungen auf hohem Niveau dauern 6–18 Monate und kosten sehr viel Geld. Für Startups oft nicht machbar.

2. Statische Betrachtung

Geprüft wird der Produktstand zum Zeitpunkt der Evaluierung. Änderungen müssen ggf. neu zertifiziert werden.

3. Fokus auf Dokumentation statt Innovation

Manche sagen, CC fördere eher Formalismus als echte Sicherheit. Nur dokumentierte Features werden geprüft.

4. Hohe Komplexität

STs und PPs sind schwer zu schreiben und zu verstehen. Fachkundige Berater sind meist nötig.

Moderne Varianten und Alternativen

Um flexibler zu werden, gibt es modernisierte Ansätze:

  • NIAP Profiles (USA): Vereinfachte Schutzprofile für kommerzielle Produkte

  • EUCC (Europa): Europäische Variante im Aufbau

  • CSA STAR: Alternative für Cloud-Dienste

Vergleich mit anderen Standards

Standard
Fokus
Typische Anwendung
Common Criteria (CC)
Produktsicherheit
Firewalls, Smartcards, HSMs
ISO/IEC 27001
Managementsysteme
Unternehmensweite Sicherheit
FIPS 140-3
Kryptografische Module
Hardware-Verschlüsselung
SOC 2
Betriebsprozesse und Kontrollen
SaaS-Anbieter und IT-Dienstleister

Einstieg in Common Criteria

Für Hersteller:

  1. Gap-Analyse durchführen
  2. EAL auswählen
  3. Experten einbinden (Beratung, Laborwahl)
  4. Dokumentation sauber aufbauen

Für Einkäufer:

  1. Zertifikate prüfen (Common Criteria Portal)
  2. Security Target lesen – nicht nur EAL beachten
  3. Relevanz des Schutzprofils sicherstellen

Fazit: Vertrauenswürdige, aber aufwendige Sicherheit

Common Criteria ist nicht für jede Organisation oder jedes Produkt sinnvoll – aber in sicherheitskritischen Umfeldern ein Goldstandard. Transparenz, Prüfqualität und internationale Anerkennung machen ihn wertvoll.

Wenn du in einer Branche arbeitest, in der Vertrauen in IT-Produkte entscheidend ist, ist CC ein starkes Werkzeug.

Nach oben scrollen
WordPress Cookie Plugin von Real Cookie Banner