Wenn du ein sicheres IT-Produkt kaufst – sagen wir eine Firewall, eine Smartcard oder ein verschlüsseltes Speichersystem – gehst du wahrscheinlich davon aus, dass es getestet und verifiziert wurde. Aber woher weißt du das wirklich? Wer bestätigt, dass ein Produkt seine Sicherheitsversprechen auch einhält? Hier kommt Common Criteria (ISO/IEC 15408) ins Spiel.
Dieser internationale Standard definiert ein Rahmenwerk zur Bewertung und Zertifizierung von Sicherheitsmerkmalen in IT-Produkten. Es ist so etwas wie ein Qualitätssiegel – aber für Cybersicherheit.
In diesem Artikel entmystifizieren wir Common Criteria. Was steckt dahinter? Warum ist es wichtig? Und wie kannst du es in der Praxis anwenden – ob als Produktentwickler, Sicherheitsberater oder Beschaffungsverantwortlicher?
Was sind die Common Criteria?
Common Criteria (CC) nach ISO/IEC 15402 ist der internationale Standard zur Evaluierung von IT-Sicherheit. Der vollständige Titel lautet:
ISO/IEC 15408: Informationstechnologie – Sicherheitsverfahren – Bewertungskriterien für IT-Sicherheit.
Dieser Standard ist das Ergebnis internationaler Kooperationen, um nationale Sicherheitsbewertungssysteme zu vereinheitlichen. Ziel: Ein weltweit anerkanntes System schaffen, mit dem überprüft werden kann, ob IT-Produkte bestimmte Sicherheitsanforderungen erfüllen.
Man kann sich das vorstellen wie einen Sicherheitspass für IT-Produkte. Wenn ein Produkt „Common Criteria zertifiziert“ ist, wurde es durch ein unabhängiges Prüfverfahren anhand festgelegter Anforderungen geprüft.
Die Grundlagen: So funktioniert Common Criteria (ISO/IEC 15402)
Im Kern liefert Common Criteria:
Eine standardisierte Evaluierungsmethodik
Eine Reihe von Sicherheitsbewertungsstufen (EAL 1 bis EAL 7)
Ein Rahmenwerk zur Definition von funktionalen Sicherheitsanforderungen und Sicherheitsgarantien
Lass uns das genauer ansehen.
1. Schutzprofile und Sicherheitsziele
Zwei zentrale Konzepte im CC-Kontext:
Protection Profile (PP): Eine Art Schablone, die Sicherheitsanforderungen für einen bestimmten Produkttyp definiert, z. B. eine Firewall.
Security Target (ST): Ein produktspezifisches Dokument, das beschreibt, gegen welche Anforderungen ein Produkt geprüft werden soll.
2. Evaluation Assurance Levels (EALs)
Es gibt sieben Stufen, von EAL1 (niedrig) bis EAL7 (sehr hoch). Jede beschreibt den Aufwand und die Tiefe der Evaluierung:
EAL1: Funktionell getestet
EAL2: Strukturell getestet
EAL3: Methodisch getestet und geprüft
EAL4: Methodisch entworfen, getestet und überprüft (am häufigsten)
EAL5–7: Höchste Sicherheitsgarantie mit formalen Nachweisen
Wichtig: Höher ist nicht immer besser. Für kommerzielle Produkte ist EAL4 oft völlig ausreichend.
3. Zertifizierung und internationale Anerkennung
Common Criteria wird von einem Netzwerk aus Zertifizierungsstellen getragen. Die meisten teilnehmenden Länder sind Teil der Common Criteria Recognition Arrangement (CCRA).
Das bedeutet: Ein in Deutschland oder den USA zertifiziertes Produkt wird auch in vielen anderen Ländern anerkannt.
Warum Common Criteria wichtig ist
Braucht man das wirklich? Die Antwort lautet oft: Ja – wenn du in einem dieser Bereiche arbeitest:
Hersteller von Sicherheitsprodukten: Zertifizierung schafft Vertrauen und Marktchancen.
Behörden: Öffentliche Ausschreibungen erfordern häufig CC-zertifizierte Produkte.
IT-Security-Teams in Unternehmen: Hilft bei der Bewertung von Produktsicherheit.
Compliance-Verantwortliche: Zeigt regulatorische Konformität.
1. Klare, nachvollziehbare Sicherheitszusagen
Mit CC muss ein Hersteller explizit angeben, was sein Produkt schützt. Das schafft Transparenz und Vergleichbarkeit.
2. Unabhängige Prüfung durch akkreditierte Labore
Vertraue nicht blind – CC schreibt vor, dass ein unabhängiges Prüflabor die Sicherheitsfunktionen überprüft.
3. Strukturierte Dokumentation und klare Methodik
Der Prozess erfordert saubere Dokumentation und definierte Prüfpfade – Fehler und Lücken werden dadurch minimiert.
Common Criteria (ISO/IEC 15402) in der Praxis: Ein Überblick
Hier siehst du den Ablauf einer typischen CC-Zertifizierung:
Schritt 1: Erstellen des Security Target
Hersteller beginnen mit einem Security Target (ST), das folgende Inhalte enthält:
Produktbeschreibung
Umweltannahmen
Bedrohungsmodell und Schutzbedarf
Sicherheitsziele und Maßnahmen
Zuordnung zu CC-Anforderungen
Schritt 2: Wahl des EAL
Kommerzielle Hersteller wählen meist EAL2 bis EAL4, um Aufwand und Nutzen auszubalancieren. Hier solltest du darauf achten, dass du für dich das relevante EAL wählst.
Schritt 3: Evaluierung im Labor
Nach Einreichung des ST prüft ein akkreditiertes Labor:
Design und Quellcode
Funktionstests
Entwicklungs- und Konfigurationsprozesse
Schritt 4: Zertifizierung
Erfüllt das Produkt die Anforderungen, erstellt das Labor einen Bericht für die nationale Zertifizierungsstelle. Diese stellt das Zertifikat aus – veröffentlicht auf dem Common Criteria Portal.
Herausforderungen und Grenzen
Trotz vieler Vorteile gibt es auch Kritikpunkte:
1. Kosten und Dauer
Evaluierungen auf hohem Niveau dauern 6–18 Monate und kosten sehr viel Geld. Für Startups oft nicht machbar.
2. Statische Betrachtung
Geprüft wird der Produktstand zum Zeitpunkt der Evaluierung. Änderungen müssen ggf. neu zertifiziert werden.
3. Fokus auf Dokumentation statt Innovation
Manche sagen, CC fördere eher Formalismus als echte Sicherheit. Nur dokumentierte Features werden geprüft.
4. Hohe Komplexität
STs und PPs sind schwer zu schreiben und zu verstehen. Fachkundige Berater sind meist nötig.
Moderne Varianten und Alternativen
Um flexibler zu werden, gibt es modernisierte Ansätze:
NIAP Profiles (USA): Vereinfachte Schutzprofile für kommerzielle Produkte
EUCC (Europa): Europäische Variante im Aufbau
CSA STAR: Alternative für Cloud-Dienste
Vergleich mit anderen Standards
|
Standard
|
Fokus
|
Typische Anwendung
|
|---|---|---|
|
Common Criteria (CC)
|
Produktsicherheit
|
Firewalls, Smartcards, HSMs
|
|
ISO/IEC 27001
|
Managementsysteme
|
Unternehmensweite Sicherheit
|
|
FIPS 140-3
|
Kryptografische Module
|
Hardware-Verschlüsselung
|
|
SOC 2
|
Betriebsprozesse und Kontrollen
|
SaaS-Anbieter und IT-Dienstleister
|
Einstieg in Common Criteria
Für Hersteller:
- Gap-Analyse durchführen
- EAL auswählen
- Experten einbinden (Beratung, Laborwahl)
- Dokumentation sauber aufbauen
Für Einkäufer:
- Zertifikate prüfen (Common Criteria Portal)
- Security Target lesen – nicht nur EAL beachten
- Relevanz des Schutzprofils sicherstellen
Fazit: Vertrauenswürdige, aber aufwendige Sicherheit
Common Criteria ist nicht für jede Organisation oder jedes Produkt sinnvoll – aber in sicherheitskritischen Umfeldern ein Goldstandard. Transparenz, Prüfqualität und internationale Anerkennung machen ihn wertvoll.
Wenn du in einer Branche arbeitest, in der Vertrauen in IT-Produkte entscheidend ist, ist CC ein starkes Werkzeug.
