lila Hexagonmuster
Informationen

Was sind Common Criteria?

Eine der besten Möglichkeiten, Ihre Cybersicherheits- und Compliance-Anforderungen zu erfüllen, ist der Einsatz eines Produkts mit der weltweit anerkannten Common-Criteria-Zertifizierung.

Das wussten Sie nicht? Erlauben Sie uns, das zu erklären.

Im Folgenden erläutern wir Ihnen die Grundlagen der Common-Criteria-Bewertung. Was das ist, warum es wichtig ist und wie ein zertifiziertes Produkt Ihrem Unternehmen helfen kann, erfahren Sie im Folgenden.

Was ist die Common-Criteria-Zertifizierung?

Die Common Criteria for Information Technology Security Evaluation (abgekürzt als „Common Criteria“ oder „CC“) ist eine internationale Norm für die Zertifizierung von Computersicherheit. Auf der Grundlage von ISO/IEC 15408 besteht das Hauptziel darin, zu gewährleisten, dass IT-Sicherheitsprodukte auf strenge und wiederholbare Weise evaluiert wurden. Genauer gesagt wird sichergestellt, dass jedes Produkt einen Testprozess durchläuft, der dem vorgesehenen Anwendungsfall entspricht.

Ursprünglich wurde das CC-Zertifizierungsverfahren entwickelt, um die Sicherheitszertifizierungssysteme verschiedener Länder zu vereinheitlichen und abzulösen. Dazu gehörten die Vereinigten Staaten, Kanada, Deutschland, das Vereinigte Königreich, Frankreich, Australien und Neuseeland. Als umfassender Rahmen für die Cybersicherheit bietet er nun die weltweit größte gegenseitige Anerkennung von sicheren IT-Produkten.

Übersicht

Gemäß Common Criteria zertifizierte Lösungen sind für Regierungen und Unternehmen auf der ganzen Welt erforderlich, um deren geschäftskritische Infrastrukturen zu schützen.

In der Tat ist dies oft eine Voraussetzung für qualifizierte digitale Signaturen gemäß der Verordnung der Europäischen Union über elektronische Identifizierung und Vertrauensdienste, besser bekannt als eIDAS. Außerdem verlangen die Kunden US-Regierung häufig sichere IT-Produkte, die in der Initiative National Information Assurance Partnership (NIAP) aufgeführt sind, was eine Evaluierung gemäß Common Criteria erfordert.

Warum? Denn die Common-Criteria-Norm bietet die Gewähr, dass bestimmte Aspekte der Produktsicherheit gründlich implementiert, getestet, gewartet und unabhängig überprüft wurden. Zu den Sicherheitsanforderungen der CC-Zertifizierung gehören:

  • Entwicklung des Produkts und der zugehörigen Sicherheitsfunktionen, insbesondere High-Level-Design, Architektur und Implementierung
  • Leitfaden für die sichere Produktbereitstellung und -vorbereitung
  • Lebenszyklusmanagement für Dokumente und Prozesse im Zusammenhang mit der Produktkonfiguration, -auslieferung und -ausmusterung
  • Testen von Sicherheitsfunktionen gemäß ihren grundlegenden Anforderungen

Zertifizierungsstellen

Als internationale Norm werden die Common Criteria von einer Partnerschaft verschiedener Länder über Organisationen, die sogenannten Zertifizierungsstellen, verwaltet. Jede Zertifizierungsstelle ist für die unabhängige Bewertung und Zertifizierung von Produkten nach den Sicherheitsanforderungen der Common Criteria verantwortlich.

Einführung in Common Criteria: Wichtige Konzepte

Es gibt mehrere Begriffe und Formulierungen, die nur in der Common-Criteria-Norm vorkommen. Hier ist eine kurze Aufschlüsselung der einzelnen Punkte und warum sie wichtig sind:

  • Evaluierungsgegenstand (EVG): Dies bezieht sich einfach auf das Produkt, das den CC-Evaluierungsprozess durchläuft.
  • Sicherheitsvorgaben (ST): Die Sicherheitsvorgaben sind ein Dokument, das die Sicherheitsmerkmale und -eigenschaften des EVG definiert. Mithilfe der Sicherheitsvorgaben können Anbieter die Bewertung an die spezifischen Fähigkeiten ihrer Lösung anpassen. Gleichzeitig können Kunden leichter erkennen, welche Sicherheitsmerkmale getestet wurden. Sie können sich auf ein oder mehrere Schutzprofile (PPs) beziehen.
  • Schutzprofil (PP): Dies ist ein Dokument, das erstellt wurde, um die Sicherheitsanforderungen für einen bestimmten Produkttyp, wie z. B. eine qualifizierte Signaturerstellungseinheit, zu ermitteln. Anbieter verwenden häufig ein Schutzprofil als Grundlage für die Erstellung ihrer eigenen Sicherheitsvorgaben.
  • Funktionale Sicherheitsanforderungen (SFRs): Dies bezieht sich auf alle einzigartigen Sicherheitsfunktionen und -fähigkeiten eines Produkts.
  • Anforderungen an die Vertrauenswürdigkeit (SARs): Eine SAR-Liste wird verwendet, um die Schritte zu beschreiben, die erforderlich sind, um sicherzustellen, dass ein Produkt die angegebenen Standards erfüllt.
  • Vertrauenswürdigkeitsstufe der Evaluierung (EAL): Eine EAL ist eine numerische Bewertung, die die Tiefe und Strenge des Bewertungsprozesses beschreibt. Einfacher ausgedrückt: Sie zeigt den Kunden, wie intensiv ein Produkt gemäß seinen Anforderungen an die Vertrauenswürdigkeit getestet wurde. EALs gibt es in einer Bandbreite von 1 (die einfachste Stufe) bis 7 (die strengste Stufe).

Der Common-Criteria-Zertifizierungsprozess

Alle Common-Criteria-zertifizierten Produkte und Lösungen müssen von unabhängiger Seite nach einem bestimmten Bewertungsverfahren getestet und überprüft werden:

  1. Der Entwickler muss zunächst eine Beschreibung der Sicherheitsvorgaben ausfüllen und alle unterstützenden Dokumente einreichen, die einen Überblick über das Produkt, seine Sicherheitsfunktionen und mögliche Schwachstellen geben.
  2. Optional kann die Organisation ein Schutzprofil wählen, das während des gesamten CC-Zertifizierungsprozesses als Leitdokument dient. Die Wahl eines Schutzprofils ist vielleicht nicht notwendig, bedeutet aber eine Verpflichtung zu einer gründlichen Evaluierung, die sicherstellt, dass der Evaluierungsgegenstand mit dem beabsichtigten Anwendungsfall übereinstimmt.
  3. Als Nächstes muss eine unabhängig zugelassene Zertifizierungsstelle das Produkt bewerten, um festzustellen, ob es die Common-Criteria-Norm erfüllt. Nach Abschluss der Arbeiten fasst sie ihre Ergebnisse in einem Evaluierungsbericht zusammen.
  4. Wenn der Evaluierungsgegenstand die Mindestanforderungen erfüllt, stellt eine Zertifizierungsstelle ein Common-Criteria-Zertifikat aus.

Nach der Verifizierung werden alle Common-Criteria-zertifizierten Produkte im Common-Criteria-Portal aufgeführt.

Nutzen Sie Common Criteria mit Entrust nShield HSMs und dem Signature Activation Module für Ihre digitalen Signierprojekte

Entrust nShield-Hardware-Sicherheitsmodule (HSMs) bieten eine sichere Root of Trust, die nach dem strengen Common-Criteria-Standard getestet und zertifiziert wurde. Das hilft Ihnen bei der Einhaltung von Vorschriften und gibt Ihnen gleichzeitig die Gewissheit, die Sie für Ihre Sicherheitslösung benötigen.

Mit einer CC-Zertifizierung sind unsere Solo XC-, Connect X- und nShield 5HSMs verifiziert, um die Anforderungen des Common-Criteria-Schutzprofils EN 419 221-5 zu erfüllen, also des Branchenstandards für alle Hardware-Sicherheitsmodule. Unsere Lösungen tragen dazu bei, Ihnen ein hohes Maß an Sicherheit zu bieten, indem sie Ihnen ermöglichen, eIDAS-konforme kryptografische Daten zu erzeugen.

Diese HSMs bieten eine sicherheitsgehärtete, manipulationssichere Umgebung für sichere kryptographische Verarbeitung, Schlüsselerstellung und -schutz, Verschlüsselung und vieles mehr. Entrust nShield HSMs sind in drei Formfaktoren erhältlich und unterstützen eine Vielzahl von Einsatzszenarien.

Wenn Sie einen eIDAS-konformen Remote Signing Service einsetzen möchten, bietet Entrust auch ein Signature Activation Module (SAM) an, das nach Common Criteria CEN EN 419 241-2 zertifiziert ist. Sie können es mit einem unserer CC-zertifizierten HSMs kombinieren, um eine eIDAS-konforme Qualifizierte Signaturerstellungseinheit (QSCD) einzusetzen.

Sie möchten mehr über unsere nShield HSMs erfahren? Laden Sie noch heute unser aktuelles E-Book über Hardware-Sicherheitsmodule herunter.

Herunterladen