Common Criteria

Die Common Criteria for Information Technology Security Evaluation (kurz auch Common Criteria oder CC) ist ein internationaler Standard zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten.

Common Criteria Historie

Gegründet würde das Common Criteria Editorial Board (CCEB) mit Mitgliedern aus Kanada, Frankreich, Deutschland, Grossbritannien und den Vereinigten Staaten zur Ausarbeitung der Common Criteria.

Das Vorgehen bestand darin, aus den unterschiedlichen Standards (Kanada CTCPE, Europa ITSEC und amerikanisch TCSEC) eine gemeinsame Grundlage für die Bewertung der Datensicherheit zu schaffen. Dieses Vorgehen hatte zum Ziel, Komponenten nicht mehrfach und unterschiedlich bewerten zu müssen. Der erste Standard wurde 1996 veröffentlicht, in der Version 1.0, und befindet sich aktuell in der Version 3.1.

Common Criteria Mitgliedstaaten

Bezüglich Mitgliedstaaten werden hier zwischen den Arten Certificate Authorizing Members (Australien, Kanada, Frankreich, Deutschland, Indien, Italien, Japan, Malaysia, Niederlande, Neuseeland, Norwegen, Korea, Singapur, Spanien, Schweden, Türkei, England, USA) und Certificate Consuming Members (Österreich, Tschechien, Dänemark, Äthiopien, Finnland, Griechenland, Ungarn, Indonesien, Israel, Pakistan, Polen, Katar) unterschieden.

Anbieter und Hersteller können somit ihre Produkte nach Common Criteria analysieren und bewerten lassen.

Bestandteil des Verfahrens ist die technische Prüfung (Evaluierung) des Produktes gemäss der Common Criteria. Diese Anerkennung wird nach Abschluss eines erfolgreich durchlaufenen Anerkennungsverfahrens ausgesprochen. Jede Evaluierung wird mit dem Ziel, eine einheitliche Vorgehensweise und Methodik sicherzustellen, durch Mitarbeitenden der Zertifizierungsstelle begleitet. Die Prüfberichte der Prüfstellen werden von diesen Mitarbeitenden der Zertifizierungsstelle abgenommen. Es erfolgt hierbei ein Abgleich der Bewertungen mit denen aus anderen Zertifizierungsverfahren.

Common Criteria Zertifizierung

Das Ergebnis des Zertifizierungsverfahrens wird in einem Zertifizierungsreport festgehalten. Darin enthalten sind unter anderem das Sicherheitszertifikat (zusammenfassende Bewertung) und der detaillierte Zertifizierungsbericht.

Der Zertifizierungsbericht enthält die sicherheitstechnische Beschreibung des zertifizierten Produktes, die Einzelheiten der Bewertung und Hinweise für den Anwender, die Anwenderin. Die erteilten Zertifikate und Zertifizierungsreporte werden – sofern der Hersteller dem zustimmt – durch die Zertifizierungsstelle veröffentlicht.

Anträge für die Zertifizierung können bei den oben genannten Certificate Authorizing Members gestellt werden, in Deutschland wäre dies das Bundesamt für Informationssicherheit (BSI), das dann entsprechend anerkannte Prüfunternehmen beauftragt wie z.B. Tüv-Nord.

Dabei bestehen Common Criteria aus folgenden Bereichen:

Einführung und allgemeines Modell:

Hier werden die Grundlagen der IT-Sicherheitsevaluation und der allgemeine Geltungsbereich der CC erläutert. In den Anhängen werden Schutzprofile (Protection Profile) und Sicherheitsvorgaben (Security Target) für den zu prüfenden Evaluationsgegenstand (EVG) beschrieben.

Funktionale Sicherheitsanforderungen

Dieser Teil enthält einen umfangreichen Katalog von Funktionalitätsanforderungen. Er stellt ein empfohlenes Angebot für die Beschreibung der Funktionalität eines Evaluationsgegenstandes dar, von dem jedoch in begründeten Fällen abgewichen werden kann. Zusätzlich werden Zusammenhänge zwischen Bedrohungen, Sicherheitszielen und funktionalen Anforderungen aufgezeigt.

Im Gegensatz zu anderen Normen sind die Funktionalitätsklassen nicht hierarchisch gegliedert. Stattdessen beschreibt jede Klasse eine bestimmte Grundfunktion der Sicherheitsarchitektur, die getrennt bewertet werden muss. Wichtige Funktionalitätsklassen sind:

FAU (Sicherheitsprotokollierung)
FCO (Kommunikation)
FCS (Kryptographische Unterstützung)
FDP (Schutz der Benutzerdaten)
FIA (Identifikation und Authentisierung)
FMT (Sicherheitsmanagement)
FPR (Privatsphäre)
FPT (Schutz der Sicherheitsfunktionen)
FRU (Betriebsmittelnutzung)
FTA (Schnittstelle)
FTP (vertrauenswürdiger Pfad/Kanal)

Grundsätzlich obliegt die Auswahl der Funktionalität, die ein zu prüfendes System bereitstellen soll dem Hersteller. Es fällt in seinen Verantwortungsbereich, diese Funktionalität mit den anderen beteiligten Parteien – insbesondere dem Kunden, der Kundin – abzustimmen.

Anforderungen an die Vertrauenswürdigkeit

Hier sind die Anforderungen an die Vertrauenswürdigkeit aufgelistet. Zu beachten ist, dass ein Evaluationsergebnis immer auf einer Vertrauenswürdigkeitsstufe (Evaluation Assurance Level, EAL1-7) basieren sollte, eventuell ergänzt durch weitere Anforderungen. Die Common Criteria geben sieben hierarchische EAL-Stufen vor

CC EAL	Bedeutung
EAL1	funktionell getestet
EAL2	strukturell getestet
EAL3	methodisch getestet und überprüft
EAL4	methodisch entwickelt, getestet und durchgesehen
EAL5	semiformal entworfen und getestet
EAL6	semiformal verifizierter Entwurf und getestet
EAL7	formal verifizierter Entwurf und getestet

Aktuell sind 2561 Produkte (mit einer Gültigkeitsdauer von 5 Jahren) zertifiziert und 1312 archiviert (abgelaufene Zertifizierung).

Category	Products	Archived
Access Control Devices and Systems	69	64
Biometric Systems and Devices	3	0
Boundary Protection Devices and Systems	77	124
Data Protection	73	96
Databases	31	53
Detection Devices and Systems	14	57
ICs, Smart Cards and Smart Card-Related Devices and Systems	1213	33
Key Management Systems	22	28
Mobility	32	23
Multi-Function Devices	208	182
Network and Network-Related Devices and Systems	278	238
Operating Systems	108	75
Other Devices and Systems	290	331
Products for Digital Signatures	105	8
Trusted Computing	38	0
Totals:	2561	1312
Grand Total:	3873

Neben der Zertifizierung von Produkten gibt es auch die Möglichkeit einer Standortzertifizierung nach Common Criteria. Der Betreiber eines solchen Standortes kann einen Antrag auf Zertifizierung eines Standortes nach Common Criteria stellen. Ziel einer solchen Standortzertifizierung ist i.d.R. die Wiederverwendung des Ergebnisses in späteren Zertifizierungsverfahrens für IT-Produkte, die in diesem Standort entwickelt oder produziert werden. Mit der Standortzertifizierung können Synergieeffekte bei Produktzertifizierungen erreicht werden, z. B. wenn verschiedene Produkte gleichen Typs und möglicherweise von verschiedenen Entwicklerfirmen in einem Standort produziert werden.

Quellen:

https://de.wikipedia.org
https://www.commoncriteriaportal.org/cc/
https://www.bsi.bund.de
https://www.tuev-nord.de
https://www.secupedia.info

Autor: Jousry Abdel-Khalek

---

Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.

Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.

FAQ zum CAS Cybersecurity und Information Risk Management:

1. Starttermin: Jeweils im Frühjahr.
2. Location: 7 Minuten zu Fuss vom Bahnhof SBB, Basel.
3. Intensität: 100% berufsbegleitend.
4. Dozierende: Experten aus der Praxis.
5. Modelle: BSI Grundschutz, ISO, CISSP
6. Vorbereitung auf die Prüfung zum CISSP: Zugang zu Testplattform
7. Didaktik: Framework, Vorlagen, Checklisten, Show Cases, Networking.
8. Fokus: Management von Cybersecurity und Risikomanagement.
9. Leistungsnachweis 1: Computerbasierter Test, Teil 1 der BSI Prüfung.
10. Leistungsnachweis 2: Security Framework erstellen (Dokument).
11. Leistungsnachweis 3: Blogbeitrag zu einem Security-Thema.
12. Leistungsnachweis 4: ISMS-Pitch vor der Geschäftsleitung.
13. Support: Persönliche Begleitung durch Martina Dalla Vecchia.