Informationen

Was sind Common Criteria?

Eine der effektivsten Möglichkeiten, Cybersicherheits- und Compliance-Anforderungen zu erfüllen, ist der Einsatz eines Produkts mit der weltweit anerkannten Common-Criteria-Zertifizierung.

Das wussten Sie nicht? Erlauben Sie uns, das zu erklären.

Im Folgenden werden wir die Grundlagen der Common Criteria-Bewertung erläutern – was sie ist, warum sie wichtig ist und wie Zertifizierungen Unternehmen dabei helfen, das Vertrauen in ihre Sicherheitslage zu stärken.

Was ist die Common-Criteria-Zertifizierung?

Die Common Criteria for Information Technology Security Evaluation – oft einfach als „Common Criteria“ oder „CC“ bezeichnet – sind ein internationaler Standard für die Zertifizierung von Computersicherheit. Auf der Grundlage der ISO/IEC 15408 soll der Standard bestätigen, dass die Sicherheitseigenschaften eines Produkts von unabhängiger Seite in einem strengen und wiederholbaren Verfahren im Hinblick auf den vorgesehenen Anwendungsfall getestet und verifiziert wurden.

Ursprünglich wurden die Common Criteria geschaffen, um die nationalen Zertifizierungssysteme aus Ländern wie den Vereinigten Staaten, Kanada, Deutschland, dem Vereinigten Königreich, Frankreich, Australien und Neuseeland zu vereinheitlichen. Heute bilden sie ein umfassendes globales Rahmenwerk, das die weltweit umfassendste gegenseitige Anerkennung von Zertifizierungen für sichere IT-Produkte bietet.

Übersicht

Regierungen, Unternehmen und Dienstleister auf der ganzen Welt verlassen sich auf gemäß Common Criteria zertifizierte Lösungen, um ihre geschäftskritischen Infrastrukturen zu schützen.

In der Tat ist dies oft eine Voraussetzung für viele Lösungen, einschließlich qualifizierte digitale Signaturen gemäß der Verordnung der Europäischen Union über elektronische Identifizierung und Vertrauensdienste, besser bekannt als eIDAS (bzw. nach einer Aktualisierung im Jahr 2024 nun als eIDAS 2 bezeichnet). Außerdem verlangen Kunden aus der US-Regierung häufig sichere IT-Produkte, die in der Initiative >National Information Assurance Partnership aufgeführt sind, was eine Evaluierung gemäß Common Criteria erfordert.

Der Common-Criteria-Standard bietet die Gewähr, dass wichtige Aspekte der Produktsicherheit gründlich entwickelt, implementiert, getestet, gewartet und unabhängig überprüft wurden. Zu den Hauptschwerpunkten gehören:

  • Entwicklung des Produkts und der zugehörigen Sicherheitsfunktionen, insbesondere High-Level-Design, Architektur und Implementierung,
  • Leitfaden für die sichere Produktbereitstellung und -vorbereitung,
  • Lebenszyklusmanagement für Dokumente und Prozesse im Zusammenhang mit der Produktkonfiguration, ‑auslieferung und -ausmusterung,
  • Testen von Sicherheitsfunktionen gemäß ihren grundlegenden Anforderungen.

Zertifizierungsstellen

Als internationaler Standard werden die Common Criteria von den teilnehmenden Ländern über unabhängige Zertifizierungsstellen verwaltet. Jede Stelle ist für die Bewertung und Zertifizierung von Produkten nach den Common-Criteria-Anforderungen zuständig und stellt sicher, dass die Zertifizierungen einheitliche, weltweit anerkannte Maßstäbe für die Sicherheit erfüllen.

Einführung in Common Criteria: Wichtige Konzepte

Die Common Criteria führen mehrere Schlüsselbegriffe ein, die den Bewertungsprozess definieren:

  • Evaluierungsgegenstand (EVG): Das zu zertifizierende Produkt oder System.
  • Sicherheitsvorgaben (ST): Ein Dokument, das die Sicherheitsmerkmale und -ziele des EVG definiert. Mithilfe der Sicherheitsvorgaben können Anbieter die Bewertung an die spezifischen Fähigkeiten ihres Produkts anpassen. Sie können sich auf ein oder mehrere Schutzprofile beziehen.
  • Schutzprofil (PP): Ein standardisierter Satz an Sicherheitsanforderungen für eine Produktkategorie (z. B. Hardware-Sicherheitsmodule oder Signaturaktivierungsmodule). Schutzprofile gewährleisten einheitliche, wiederholbare Bewertungskriterien.
  • Funktionale Sicherheitsanforderungen (SFRs): Die einzigartigen Sicherheitsfunktionen und -fähigkeiten des Produkts.
  • Anforderungen an die Vertrauenswürdigkeit (SARs): Die Maßnahmen, mit denen überprüft wird, ob ein Produkt die angegebenen Standards erfüllt.
  • Vertrauenswürdigkeitsstufe der Evaluierung (EAL): Eine numerische Bewertung, die die Tiefe und Strenge des Bewertungsprozesses beschreibt. Sie reicht von EAL1 (einfach) bis EAL7 (sehr streng).

Der Common-Criteria-Zertifizierungsprozess

Alle Common-Criteria-zertifizierten Produkte und Lösungen müssen von unabhängiger Seite nach einem bestimmten Bewertungsverfahren getestet und überprüft werden:

  1. Der Entwickler muss zunächst eine Beschreibung der Sicherheitsvorgaben ausfüllen und alle unterstützenden Dokumente einreichen, die das Produkt, seine Sicherheitsfunktionen und mögliche Schwachstellen beschreiben.
  2. Optional kann die Organisation ein Schutzprofil wählen, das während des gesamten CC-Zertifizierungsprozesses als Leitdokument dient. Die Wahl eines Schutzprofils zwar nicht vorgeschrieben, zeigt aber die Selbstverpflichtung zu einer gründlichen Evaluation und gewährleistet, dass der Evaluierungsgegenstand den standardisierten Sicherheitsanforderungen für den vorgesehenen Anwendungsfall entspricht.
  3. Als Nächstes muss ein unabhängiges zugelassenes Common-Criteria-Labor das Produkt bewerten, um festzustellen, ob es den Common-Criteria-Standard erfüllt. Nach Abschluss der Arbeiten fasst sie ihre Ergebnisse in einem Evaluierungsbericht zusammen.
  4. Wenn der Evaluierungsgegenstand die Mindestanforderungen erfüllt, stellt eine Zertifizierungsstelle ein Common-Criteria-Zertifikat aus.Nach der Verifizierung werden alle Common-Criteria-zertifizierten Produkte im Common-Criteria-Portal aufgeführt.

Wie funktionieren die Schutzprofile?

Grundsätzlich definiert ein Schutzprofil standardisierte Sicherheitsanforderungen für eine Produktkategorie, bestimmt in der Praxis aber auch, wie dieses Produkt bewertet wird. Jedes Schutzprofil umreißt die Sicherheitsziele, die potenziellen Bedrohungen und die Evaluierungsaktivitäten, die bei der Zertifizierung berücksichtigt werden müssen.

Qualified Signature Creation Devices (QSCDs) – Produkte für die Erstellung fortgeschrittener elektronischer Signaturen und Siegel – stützen sich in hohem Maße auf Schutzprofile nach Common Criteria, um eine sichere, vertrauenswürdige Signaturerstellung zu gewährleisten.

Anbieter können die Konformität mit einem bestehenden Schutzprofil – wie EN 419 221-5 für Hardware-Sicherheitsmodule (HSMs) oder EN 419 241-2 für Signaturaktivierungsmodule (SAMs) – geltend machen, um die Einhaltung genau definierter Industrienormen zu demonstrieren. Die Ausrichtung an einem Schutzprofil stellt sicher, dass das Produkt anhand einheitlicher und anerkannter Kriterien bewertet wird. Dies ermöglicht die gegenseitige Anerkennung in verschiedenen Rechtsordnungen und vereinfacht Prüfungen im Rahmen der eIDAS und anderen Rahmenwerken zur digitalen Vertrauenswürdigkeit.

Im Rahmen der eIDAS 2-Verordnung besteht ein QSCD aus einem HSM mit einer CC-Zertifizierung von EAL4+, das Konformität mit dem Schutzprofil EN 419 221-5 geltend macht, und einem SAM mit einer CC-Zertifizierung von EAL4+, das Konformität mit dem Schutzprofil EN 419 241-2 geltend macht.

Neues zu den Common Criteria: Entrust erreicht EAL4+-Zertifizierung

Die Common Criteria werden ständig weiterentwickelt, um den Anforderungen moderner Rahmenwerke für Cybersicherheit und digitale Vertrauenswürdigkeit gerecht zu werden. Dazu zählt auch eine engere Abstimmung mit dem EU-Rechtsakt für Cybersicherheit und dem noch im Entstehen begriffenen EU Cybersecurity Certification Scheme. Bei diesen Entwicklungen stehen kontinuierliche Sicherheit, Schwachstellenmanagement und Sicherheit über den gesamten Lebenszyklus von zertifizierten Produkten im Mittelpunkt.

Als Teil dieser Weiterentwicklungen hat das Entrust Signature Activation Module 1.1.1 eine Common-Criteria-Zertifizierung von EAL4+ erreicht, ergänzt um ALC_FLR.2 (Fehlerbehebung) und AVA_VAN.5 (fortgeschrittene Schwachstellenanalyse), und macht eine Konformität mit dem Schutzprofil EN 419 241-2 geltend.

Diese Zertifizierung bietet ein hohes Maß an Sicherheit für die Entwicklung, das Testen und die fortlaufende Sicherheitswartung des SAM. Dies unterstützt die Einhaltung der europäischen Vorschriften zur Cybersicherheit und zu Verordnungen zur digitalen Vertrauenswürdigkeit, einschließlich der eIDAS. Die Ergänzungen bestätigen die ausgereiften Schwachstellenmanagement-Prozesse von Entrust und die Fähigkeit des Unternehmens, fortschrittliche Angriffsszenarien zu identifizieren, zu beheben und abzuwehren.

Digitale Vertrauenswürdigkeit schaffen mit zertifizierten Lösungen

Die nShield HSMs von Entrust bieten eine sichere Root of Trust, getestet und zertifiziert nach dem strengen Schutzprofil EN 419 221-5 gemäß den Common Criteria, und helfen Unternehmen, die Konformität aufrecht zu erhalten und das Vertrauen in ihre kryptografischen Operationen zu stärken.

Unsere Modelle Solo XC, Connect XC, nShield 5c und nShield 5s bieten manipulationssicheren Schutz für Schlüsselerstellung, Verschlüsselung und Signierung. Sie sind in verschiedenen Formfaktoren und als Service erhältlich und unterstützen verschiedene Bereitstellungsanforderungen.

Für Unternehmen, die Remote Signing Services einsetzen, bietet Entrust das Signature Activation Module 1.1.1 an, das jetzt auf Stufe EAL4+ zertifiziert ist. In Kombination mit einem Entrust HSM stellt es ein eIDAS-konformes Qualified Signature Creation Device dar und ermöglicht vertrauenswürdige, standardbasierte elektronische Signaturen und Siegel in regulierten Branchen.

Abschnitte erkunden

Abschnitte erkunden

Erfüllen Sie globale Standards mit validierten Sicherheitslösungen
Standardisierung von Sicherheitslösungen

Sie möchten mehr über unsere nShield HSMs erfahren? Laden Sie noch heute unser aktuelles E-Book über Hardware-Sicherheitsmodule herunter.

Herunterladen