Common Criteria
Die Common Criteria for Information Technology Security Evaluation (kurz auch Common Criteria oder CC) ist ein internationaler Standard zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten.
Common Criteria Historie
Gegründet würde das Common Criteria Editorial Board (CCEB) mit Mitgliedern aus Kanada, Frankreich, Deutschland, Grossbritannien und den Vereinigten Staaten zur Ausarbeitung der Common Criteria.
Das Vorgehen bestand darin, aus den unterschiedlichen Standards (Kanada CTCPE, Europa ITSEC und amerikanisch TCSEC) eine gemeinsame Grundlage für die Bewertung der Datensicherheit zu schaffen. Dieses Vorgehen hatte zum Ziel, Komponenten nicht mehrfach und unterschiedlich bewerten zu müssen. Der erste Standard wurde 1996 veröffentlicht, in der Version 1.0, und befindet sich aktuell in der Version 3.1.
Common Criteria Mitgliedstaaten
Bezüglich Mitgliedstaaten werden hier zwischen den Arten Certificate Authorizing Members (Australien, Kanada, Frankreich, Deutschland, Indien, Italien, Japan, Malaysia, Niederlande, Neuseeland, Norwegen, Korea, Singapur, Spanien, Schweden, Türkei, England, USA) und Certificate Consuming Members (Österreich, Tschechien, Dänemark, Äthiopien, Finnland, Griechenland, Ungarn, Indonesien, Israel, Pakistan, Polen, Katar) unterschieden.
Anbieter und Hersteller können somit ihre Produkte nach Common Criteria analysieren und bewerten lassen.
Bestandteil des Verfahrens ist die technische Prüfung (Evaluierung) des Produktes gemäss der Common Criteria. Diese Anerkennung wird nach Abschluss eines erfolgreich durchlaufenen Anerkennungsverfahrens ausgesprochen. Jede Evaluierung wird mit dem Ziel, eine einheitliche Vorgehensweise und Methodik sicherzustellen, durch Mitarbeitenden der Zertifizierungsstelle begleitet. Die Prüfberichte der Prüfstellen werden von diesen Mitarbeitenden der Zertifizierungsstelle abgenommen. Es erfolgt hierbei ein Abgleich der Bewertungen mit denen aus anderen Zertifizierungsverfahren.
Common Criteria Zertifizierung
Das Ergebnis des Zertifizierungsverfahrens wird in einem Zertifizierungsreport festgehalten. Darin enthalten sind unter anderem das Sicherheitszertifikat (zusammenfassende Bewertung) und der detaillierte Zertifizierungsbericht.
Der Zertifizierungsbericht enthält die sicherheitstechnische Beschreibung des zertifizierten Produktes, die Einzelheiten der Bewertung und Hinweise für den Anwender, die Anwenderin. Die erteilten Zertifikate und Zertifizierungsreporte werden – sofern der Hersteller dem zustimmt – durch die Zertifizierungsstelle veröffentlicht.
Anträge für die Zertifizierung können bei den oben genannten Certificate Authorizing Members gestellt werden, in Deutschland wäre dies das Bundesamt für Informationssicherheit (BSI), das dann entsprechend anerkannte Prüfunternehmen beauftragt wie z.B. Tüv-Nord.
Dabei bestehen Common Criteria aus folgenden Bereichen:
Einführung und allgemeines Modell:
Hier werden die Grundlagen der IT-Sicherheitsevaluation und der allgemeine Geltungsbereich der CC erläutert. In den Anhängen werden Schutzprofile (Protection Profile) und Sicherheitsvorgaben (Security Target) für den zu prüfenden Evaluationsgegenstand (EVG) beschrieben.
Funktionale Sicherheitsanforderungen
Dieser Teil enthält einen umfangreichen Katalog von Funktionalitätsanforderungen. Er stellt ein empfohlenes Angebot für die Beschreibung der Funktionalität eines Evaluationsgegenstandes dar, von dem jedoch in begründeten Fällen abgewichen werden kann. Zusätzlich werden Zusammenhänge zwischen Bedrohungen, Sicherheitszielen und funktionalen Anforderungen aufgezeigt.
Im Gegensatz zu anderen Normen sind die Funktionalitätsklassen nicht hierarchisch gegliedert. Stattdessen beschreibt jede Klasse eine bestimmte Grundfunktion der Sicherheitsarchitektur, die getrennt bewertet werden muss. Wichtige Funktionalitätsklassen sind:
FAU (Sicherheitsprotokollierung)
FCO (Kommunikation)
FCS (Kryptographische Unterstützung)
FDP (Schutz der Benutzerdaten)
FIA (Identifikation und Authentisierung)
FMT (Sicherheitsmanagement)
FPR (Privatsphäre)
FPT (Schutz der Sicherheitsfunktionen)
FRU (Betriebsmittelnutzung)
FTA (Schnittstelle)
FTP (vertrauenswürdiger Pfad/Kanal)
Grundsätzlich obliegt die Auswahl der Funktionalität, die ein zu prüfendes System bereitstellen soll dem Hersteller. Es fällt in seinen Verantwortungsbereich, diese Funktionalität mit den anderen beteiligten Parteien – insbesondere dem Kunden, der Kundin – abzustimmen.
Anforderungen an die Vertrauenswürdigkeit
Hier sind die Anforderungen an die Vertrauenswürdigkeit aufgelistet. Zu beachten ist, dass ein Evaluationsergebnis immer auf einer Vertrauenswürdigkeitsstufe (Evaluation Assurance Level, EAL1-7) basieren sollte, eventuell ergänzt durch weitere Anforderungen. Die Common Criteria geben sieben hierarchische EAL-Stufen vor
CC EAL | Bedeutung |
EAL1 | funktionell getestet |
EAL2 | strukturell getestet |
EAL3 | methodisch getestet und überprüft |
EAL4 | methodisch entwickelt, getestet und durchgesehen |
EAL5 | semiformal entworfen und getestet |
EAL6 | semiformal verifizierter Entwurf und getestet |
EAL7 | formal verifizierter Entwurf und getestet |
Aktuell sind 2561 Produkte (mit einer Gültigkeitsdauer von 5 Jahren) zertifiziert und 1312 archiviert (abgelaufene Zertifizierung).
Category | Products | Archived |
Access Control Devices and Systems | 69 | 64 |
Biometric Systems and Devices | 3 | 0 |
Boundary Protection Devices and Systems | 77 | 124 |
Data Protection | 73 | 96 |
Databases | 31 | 53 |
Detection Devices and Systems | 14 | 57 |
ICs, Smart Cards and Smart Card-Related Devices and Systems | 1213 | 33 |
Key Management Systems | 22 | 28 |
Mobility | 32 | 23 |
Multi-Function Devices | 208 | 182 |
Network and Network-Related Devices and Systems | 278 | 238 |
Operating Systems | 108 | 75 |
Other Devices and Systems | 290 | 331 |
Products for Digital Signatures | 105 | 8 |
Trusted Computing | 38 | 0 |
Totals: | 2561 | 1312 |
Grand Total: | 3873 |
Neben der Zertifizierung von Produkten gibt es auch die Möglichkeit einer Standortzertifizierung nach Common Criteria. Der Betreiber eines solchen Standortes kann einen Antrag auf Zertifizierung eines Standortes nach Common Criteria stellen. Ziel einer solchen Standortzertifizierung ist i.d.R. die Wiederverwendung des Ergebnisses in späteren Zertifizierungsverfahrens für IT-Produkte, die in diesem Standort entwickelt oder produziert werden. Mit der Standortzertifizierung können Synergieeffekte bei Produktzertifizierungen erreicht werden, z. B. wenn verschiedene Produkte gleichen Typs und möglicherweise von verschiedenen Entwicklerfirmen in einem Standort produziert werden.
Quellen:
https://de.wikipedia.org
https://www.commoncriteriaportal.org/cc/
https://www.bsi.bund.de
https://www.tuev-nord.de
https://www.secupedia.info
Autor: Jousry Abdel-Khalek
Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)
Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.
Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.
FAQ zum CAS Cybersecurity und Information Risk Management:
- Starttermin: Jeweils im Frühjahr.
- Location: 7 Minuten zu Fuss vom Bahnhof SBB, Basel.
- Intensität: 100% berufsbegleitend.
- Dozierende: Experten aus der Praxis.
- Modelle: BSI Grundschutz, ISO, CISSP
- Vorbereitung auf die Prüfung zum CISSP: Zugang zu Testplattform
- Didaktik: Framework, Vorlagen, Checklisten, Show Cases, Networking.
- Fokus: Management von Cybersecurity und Risikomanagement.
- Leistungsnachweis 1: Computerbasierter Test, Teil 1 der BSI Prüfung.
- Leistungsnachweis 2: Security Framework erstellen (Dokument).
- Leistungsnachweis 3: Blogbeitrag zu einem Security-Thema.
- Leistungsnachweis 4: ISMS-Pitch vor der Geschäftsleitung.
- Support: Persönliche Begleitung durch Martina Dalla Vecchia.