common criteria for information technology security evaluation

Von Hannah Hartmann technology 9 Min. Lesezeit
common criteria for information technology security evaluation

Sicherheit in der Informationstechnik ist kein Zustand, sondern ein Prozess, der oft hinter verschlossenen Türen stattfindet. Wenn du dich fragst, ob die Firewall in deinem Rechenzentrum oder das Betriebssystem auf deinem Laptop wirklich halten, was die Hochglanzbroschüre verspricht, landest du unweigerlich beim ISO/IEC 15408 Standard. Die Common Criteria For Information Technology Security Evaluation bilden das Rückgrat für das Vertrauen in digitale Produkte weltweit. Es geht hierbei nicht um ein bloßes Häkchen auf einer Checkliste, sondern um eine tiefgreifende Prüfung von Sicherheitsfunktionen und deren Implementierung. Wer heute kritische Infrastrukturen betreibt oder sensible Daten verwaltet, kommt an dieser Zertifizierung kaum vorbei. Sie bietet einen Rahmen, in dem Hersteller ihre Sicherheitsbehauptungen präzise formulieren und unabhängige Labore diese Behauptungen auf Herz und Nieren prüfen.

Die harte Realität hinter der Zertifizierung

Ich habe in der Vergangenheit oft erlebt, wie Projektleiter die Hände über dem Kopf zusammenschlugen, wenn das Wort Zertifizierung fiel. Der Prozess wirkt auf den ersten Blick wie ein Monster aus Papier und Bürokratie. Aber schauen wir uns die Sache mal genauer an. Ohne einen einheitlichen Standard könnte jeder Hersteller behaupten, sein Produkt sei sicher. Die Prüfung nach diesem internationalen Standard sorgt dafür, dass wir Äpfel mit Äpfeln vergleichen können. Ein Produkt wird gegen ein sogenanntes Schutzprofil (Protection Profile) oder ein Security Target geprüft. Das ist im Grunde der Vertrag, in dem steht: "Dieses Gerät schützt gegen genau diese Angriffe unter diesen Bedingungen."

Warum Vertrauen alleine nicht ausreicht

In der IT-Sicherheit ist Vertrauen eine gefährliche Währung. Wenn eine Bank eine neue Hardware-Sicherheitslösung kauft, verlässt sie sich nicht auf das Wort des Verkäufers. Sie verlangt Belege. Hier greift das Konzept der Vertrauenswürdigkeit durch Transparenz. Ein zertifiziertes Produkt hat eine dokumentierte Entwicklungshistorie hinter sich. Das bedeutet, dass nicht nur der fertige Code angeschaut wurde, sondern auch, wie dieser Code entstanden ist. Gab es Code-Reviews? Wurden Tests durchgeführt? Diese Fragen klärt das Verfahren im Detail.

Die Rolle des BSI in Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spielt hierzulande eine zentrale Rolle. Es ist die nationale Zertifizierungsstelle. Wenn du ein Produkt in Deutschland zertifizieren lassen willst, führt dein Weg fast immer über das BSI oder eine von ihm anerkannte Prüfstelle. Das gibt der ganzen Sache eine staatliche Autorität, die besonders im Behördenumfeld oder bei Betreibern kritischer Infrastrukturen (KRITIS) Gewicht hat.

Common Criteria For Information Technology Security Evaluation als strategisches Werkzeug

Viele Unternehmen sehen die Prüfung als lästige Pflicht an, dabei ist sie eigentlich ein mächtiger Hebel für die Produktqualität. Wer seine Software oder Hardware nach der Common Criteria For Information Technology Security Evaluation prüfen lässt, zwingt seine Entwickler dazu, Security by Design von Anfang an ernst zu nehmen. Man kann Sicherheit nicht einfach am Ende wie eine Schicht Lack drüberstreichen. Sie muss im Fundament sitzen.

Die Bedeutung der Evaluation Assurance Levels

Ein zentraler Begriff, den du kennen musst, ist der EAL – der Evaluation Assurance Level. Es gibt sieben Stufen, von EAL1 bis EAL7.

  • EAL1 bedeutet im Grunde: Das Produkt wurde funktionell getestet.
  • EAL4 ist oft der "Sweet Spot" für kommerzielle Produkte. Hier wird der Quellcode methodisch untersucht und getestet.
  • EAL7 ist die Königsklasse. Das ist für Produkte gedacht, bei denen es um Leben und Tod oder nationale Sicherheit geht. Hier kommen formale mathematische Beweise zum Einsatz.

Es ist ein weit verbreiteter Irrtum, dass ein höheres EAL automatisch bedeutet, dass das Produkt "sicherer" ist. Das stimmt so nicht ganz. Ein höheres EAL bedeutet, dass die Sicherheit mit einer höheren Gewissheit geprüft wurde. Ein Produkt auf EAL2 kann theoretisch bessere Sicherheitsfunktionen haben als eines auf EAL4. Aber beim EAL4-Produkt wissen wir viel genauer, dass diese Funktionen auch wirklich so arbeiten, wie sie sollen.

Das Problem mit der Aktualität

Ein großer Kritikpunkt an diesem Verfahren war jahrelang die Dauer. Es dauerte teilweise zwei bis drei Jahre, bis ein Zertifikat ausgestellt wurde. In der IT-Welt ist das eine Ewigkeit. Bis das Papier fertig war, gab es schon drei neue Versionen der Software. Deshalb hat sich das System weiterentwickelt. Heute wird verstärkt mit gemeinschaftlich entwickelten Schutzprofilen gearbeitet. Diese Profile sind spezifischer und erlauben eine schnellere Prüfung für Standardprodukte wie Netzwerkkarten oder Betriebssysteme.

Der Prozess der Evaluierung im Detail

Stell dir vor, du bist ein Entwickler eines neuen Verschlüsselungsmoduls. Zuerst musst du festlegen, was genau geprüft werden soll. Das ist der Evaluationsgegenstand, oft TOE (Target of Evaluation) genannt. Dann schreibst du das Sicherheitsvorgabedokument. Hier listest du alle Bedrohungen auf, denen dein Modul standhalten muss.

Die Zusammenarbeit mit dem Prüflabor

Du arbeitest nun mit einem unabhängigen Labor zusammen. Die Prüfer dort sind wie Detektive. Sie schauen sich deine Designdokumente an. Sie prüfen, ob deine Architektur logische Lücken hat. In höheren Stufen führen sie eigene Penetrationstests durch. Sie versuchen aktiv, dein Produkt zu knacken. Das ist der Moment, in dem die meisten Fehler gefunden werden. Oft sind es Kleinigkeiten in der Speicherverwaltung oder bei der Initialisierung von Zufallszahlen. Diese Fehler im Labor zu finden ist billig. Sie erst zu finden, wenn das Produkt bei Millionen Kunden im Einsatz ist, ist teuer und ruiniert den Ruf.

Gegenseitige Anerkennung durch das CCRA

Ein riesiger Vorteil dieses Rahmens ist das CCRA (Common Criteria Recognition Arrangement). Das ist ein internationales Abkommen. Wenn ein Produkt in Deutschland vom BSI zertifiziert wurde, wird dieses Zertifikat in vielen anderen Ländern anerkannt – zum Beispiel in den USA, Frankreich oder Japan. Das spart Herstellern enorme Kosten, da sie nicht in jedem Land den gesamten Prozess von vorne beginnen müssen. Informationen zu den beteiligten Ländern findest du auf der offiziellen Seite der Common Criteria Organisation.

Typische Fallstricke und wie man sie vermeidet

Ich habe oft gesehen, dass Firmen den Aufwand für die Dokumentation unterschätzen. Es reicht nicht, dass der Code sicher ist. Du musst beweisen können, dass er sicher ist. Das bedeutet: Jede Anforderung aus dem Sicherheitsvorgabedokument muss zu einer Funktion im Code führen, und jede Funktion muss durch einen Test abgedeckt sein. Diese Rückverfolgbarkeit ist das Herzstück der Prüfung.

Die Falle der falsch gewählten Sicherheitsvorgaben

Ein häufiger Fehler ist es, die Sicherheitsziele zu eng oder zu weit zu fassen. Wenn du sagst: "Mein Produkt ist gegen alle Angreifer geschützt", wirst du die Prüfung niemals bestehen. Du musst realistisch sein. Ein typisches Szenario wäre: "Das Produkt schützt die Vertraulichkeit der Daten gegen Angreifer mit mittlerem Angriffspotenzial, die physischen Zugriff auf das Gehäuse haben." Das ist konkret. Das kann man prüfen. Wer hier zu schwammig bleibt, verliert Monate in der Abstimmung mit den Prüfern.

Kosten versus Nutzen

Ja, eine Zertifizierung kostet Geld. Wir reden hier oft über sechsstellige Beträge für die Prüfgebühren und die interne Vorbereitung. Aber was kostet ein Sicherheitsvorfall? Wenn eine Sicherheitslücke in einem weit verbreiteten Router entdeckt wird, liegen die Kosten für Patches, Support und rechtliche Auseinandersetzungen schnell im Millionenbereich. Die Evaluierung wirkt hier wie eine Versicherung. Sie reduziert das Restrisiko drastisch.

Aktuelle Trends in der Informationssicherheit

Die Welt der Sicherheit bleibt nicht stehen. Wir sehen heute eine Verschiebung hin zu Cloud-Services und agiler Entwicklung. Das verträgt sich auf den ersten Blick schlecht mit starren Zertifizierungsprozessen. Doch auch hier gibt es Bewegung. Es gibt Bestrebungen, die Evaluierung modularer zu gestalten. Wenn sich nur ein kleiner Teil der Software ändert, soll nicht das ganze Produkt neu zertifiziert werden müssen.

Der Einfluss von Quantencomputern

Ein Thema, das derzeit viele Experten umtreibt, ist die Post-Quanten-Kryptografie. Aktuelle Verschlüsselungsverfahren könnten bald wertlos sein. In den neuen Schutzprofilen wird bereits darauf geachtet, dass Produkte agil genug sind, um kryptografische Algorithmen auszutauschen. Das wird in den kommenden Jahren ein zentraler Bestandteil jeder ernsthaften Prüfung sein.

Nicht verpassen: check running processes in

EU Cybersecurity Act

In Europa gibt es mit dem EU Cybersecurity Act eine neue Verordnung, die den Rahmen für europäische Cybersicherheitszertifikate stärkt. Die Common Criteria bilden hier die technische Basis für viele der neuen Schemata. Das Ziel ist ein einheitlicher digitaler Binnenmarkt, in dem Sicherheit garantiert ist. Das Europäische Parlament hat hiermit den Weg für ein höheres Sicherheitsniveau in der gesamten Union geebnet.

Praktische Umsetzung in deinem Unternehmen

Wenn du nun vor der Aufgabe stehst, ein Produkt auszuwählen oder selbst eines zertifizieren zu lassen, geh planvoll vor. Es bringt nichts, blindlings loszustürmen. Sicherheit ist ein Handwerk, das Präzision erfordert.

  1. Bedarfsanalyse machen. Brauchst du wirklich eine Zertifizierung nach der Common Criteria For Information Technology Security Evaluation oder reicht ein einfacherer Standard wie ISO 27001 für das Management? Wenn es um das Produkt selbst geht, ist CC die richtige Wahl.
  2. Schutzprofile suchen. Schau nach, ob es für deine Produktkategorie bereits bestehende Profile gibt. Das spart extrem viel Zeit bei der Erstellung der Dokumentation.
  3. Prüfstelle frühzeitig einbinden. Geh nicht erst zum Labor, wenn das Produkt fertig ist. Die Berater dort können dir schon in der Designphase sagen, ob dein Ansatz Aussicht auf Erfolg hat.
  4. Ressourcen planen. Du brauchst Leute, die nichts anderes tun, als die Dokumentation und die Tests für die Evaluierung vorzubereiten. Das ist kein Job, den man mal eben nebenher macht.
  5. Langfristig denken. Ein Zertifikat hat ein Ablaufdatum. Du musst planen, wie du die Sicherheit über den gesamten Lebenszyklus des Produkts aufrechterhältst.

Letztlich ist dieses System der beste Weg, um echte Qualität von Marketing-Versprechen zu trennen. Es ist anstrengend, es ist teuer, aber es ist alternativlos, wenn wir eine digitale Infrastruktur wollen, auf die wir uns wirklich verlassen können. In einer Zeit, in der Cyberangriffe zum Alltag gehören, ist ein neutral geprüftes Produkt kein Luxus mehr. Es ist die Basis für alles Weitere. Wer das versteht, nutzt die Standards nicht als Bremse, sondern als Motor für bessere Technik. Es geht darum, Verantwortung für die Daten der Nutzer zu übernehmen. Wer diesen Weg geht, zeigt, dass er Sicherheit ernst nimmt. Und das ist in der heutigen Geschäftswelt ein unschätzbarer Vorteil. Du gewinnst dadurch nicht nur ein Zertifikat, sondern das Vertrauen deiner Kunden. Und Vertrauen ist am Ende das, was zählt. Genauso wie eine saubere Architektur und ein gut durchdachter Plan. Pack es an. Es lohnt sich.

HH

Hannah Hartmann

Mit faktenbasierter Arbeitsweise liefert Hannah Hartmann Beiträge, die Leserinnen und Lesern Orientierung im Nachrichtengeschehen geben.

Ähnliche Artikel

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen
Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält

Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält
Das Flüstern der fernen Giganten oder was A39 uns verschweigt

Das Flüstern der fernen Giganten oder was A39 uns verschweigt
Das Flüstern der unsichtbaren Netze von Sap

Das Flüstern der unsichtbaren Netze von Sap