Suchen

Safety und Security Zertifizierung von Sicherheitsprodukten nach Common Criteria

| Autor / Redakteur: Jaroslav Svacina* / Martina Hafner

Die Digitalisierung vieler gesellschaftlicher Bereiche schreitet mit enormer Geschwindigkeit voran. Neben den Vorteilen bietet die aktuelle Entwicklung jedoch neue vielfältige Angriffspotentiale, welche, wenn richtig ausgenutzt, zu enormen finanziellen oder Personenschäden führen können.

(Bild: ClipDealer)

Um das Vertrauen in die Sicherheit zu steigern, können Software- und Hardwareprodukte nach ISO/IEC 15408 (Common Criteria) zertifiziert werden. Dieser Beitrag gibt einen Überblick über die Zertifizierung von Sicherheitsprodukten nach Common Criteria und geht dabei gezielt auf einige Besonderheiten im Kontext der eingebetteten Systeme ein.

Die zunehmende Digitalisierung und Technologisierung verschiedenster Bereiche bringen viele Vorteile für den Endkunden. So ist es beispielsweise möglich, sein Eigenheim mit dem Smartphone zu steuern, aus dem vernetzten Fahrzeug auf Internetdienste zuzugreifen oder Daten über die ärztliche Behandlung digitalisiert und in der Telematikinfrastruktur des Gesundheitswesens sicher zu verwalten.

Der Einsatz neuer, komplexer und vernetzter Technologien bietet jedoch auch zusätzliches Missbrauchspotential durch neue Sicherheitslücken. Die böswillige Ausnutzung solcher Sicherheitslücken führt nicht selten zu erheblichen Schäden.

Bildergalerie

Ein hohes Sicherheitslevel und das entsprechende Vertrauen in die Sicherheitsprodukte spielen daher sowohl in der Wirtschaft als auch im privaten Bereich eine immer wichtigere Rolle. Gerade der Wunsch nach Vertrauen in IT Sicherheitsprodukte stellt den Kunden vor eine gewaltige Herausforderung.

Viele Kunden sind oftmals nicht in der Lage, zu erfassen, welche Sicherheitsfunktionalität ein Produkt bietet und inwieweit es die gewünschten Sicherheitsanforderungen erfüllt. Des Weiteren ist es für den Kunden ohne eine unabhängige Expertenbegutachtung nahezu unmöglich in Erfahrung zu bringen, inwieweit die angegebenen Mechanismen korrekt umgesetzt sind.

Mit den Common Criteria (ISO/IEC 15408, Common Criteria for Information Technology Security Evaluation, kurz CC) [2] wurde ein Standard zur Bewertung und Prüfung von Sicherheitsfunktionalitäten von IT Produkten nach gestaffelten Vertrauenswürdigkeitsstufen geschaffen.

Die Common Criteria bieten Mittel zur Spezifikation der Sicherheitsanforderungen und eine einheitliche Methodik zur Evaluierung und Bewertung der umgesetzten Sicherheitsfunktionalitäten. Im Rahmen spezieller Abkommen ist ein Common Criteria IT-Sicherheitszertifikat international anerkannt und ermöglicht die Gegenüberstellung der Sicherheitseigenschaften zertifizierter Produkte.

Ein CC-Zertifikat liefert klare Aussagen bezüglich der behaupteten Sicherheitseigenschaften: Korrektheit der Sicherheitsfunktionalität, Wirksamkeit der Sicherheitsfunktionalität gegen Angriffe, Analyse der potentiellen Schwachstellen sowie entsprechende Prüftiefe. Ausgehend von den Sicherheitsvorgaben (Security Target, ST), die dem Zertifikat zugrunde liegen, hat der Abnehmer des zertifizierten Produkts die Möglichkeit, die entsprechende Sicherheitsfunktionalität zu erfassen und zu entscheiden, inwieweit dieses Produkt für den geplanten Einsatzzweck und die vorgesehene Einsatzumgebung aus sicherheitstechnischer Sicht geeignet ist.

Bild 1 in der Bildergalerie zeigt die Entstehungsgeschichte der Common Criteria. Die ersten Kriterien zur methodischen Bewertung der Sicherheit in der Informationstechnik waren Trusted Computer System Evaluation Criteria (TCSEC) des amerikanischen Verteidigungsministeriums. Im gleichen Zeitraum entstanden in Großbritannien, Deutschland und Frankreich vergleichbare Kriterien, die dann 1991 zusammen mit den TCSEC in die gemeinsamen europäischen Kriterien eingeflossen sind.

Mit der voranschreitenden Globalisierung entstand der Wunsch nach einheitlichen und international anerkannten Kriterien, die in Form der Common Criteria entwickelt wurden. Die CC sind eine Weiterentwicklung und Harmonisierung der europäischen ITSEC-Kriterien, der TCSEC bzw. Federal Criteria der USA sowie der kanadischen Kriterien (CTCPEC) [1].

(ID:44290807)