Zertifizierte IT-Sicherheit zahlt sich aus
CC-Prüfung und Zertifizierung von IT-Produkten
von Andreas Dumont - 12.03.2015
Zur Zertifizierung von Hardware und Software im Bereich Datensicherheit sind die sogenannten Common Criteria eine weltweit anerkannte Norm. Sie definieren ISO-standardisierte Kriterien für skalierbare und unabhängige Sicherheitsprüfungen für IT-Produkte.
Common Criteria: Insgesamt sind mehr als 2500 Produkte aus den unterschiedlichsten Bereichen CC-zertifiziert.
Innerhalb der CC-Zertifizierung gibt es mehrere Stufen der Evaluierung, die Evaluation Assurance Level (EAL). Sie machen den Umfang und die Tiefe der jeweiligen Zertifizierung deutlich. Von den insgesamt sieben Zertifizierungsstufen von EAL 1 bis EAL 7 baut jede auf der vorherigen auf und fügt neue Komponenten hinzu oder erweitert vorherige. In der Praxis ist EAL 4+ das Maximum. Ab EAL 5 sind die Anforderungen so hoch, dass Aufwand und Ergebnis in keinem vernünftigen Verhältnis mehr stehen.
VPN-Router: Dieses Gerät ist BSI-zertifiziert und gilt damit als vertrauenswürdig und sicher.
Daraus ergeben sich im dritten Schritt die Sicherheitsfunktionen, mit denen das Erreichen der Ziele dennoch sichergestellt werden soll. Die Ziele, Bedrohungen und Sicherheitsfunktionen muss der Hersteller gemäß detaillierter Vorgaben schlüssig beschreiben.
Evaluation Assurance Level: EAL 4+ ist die prestigeträchtigste und auch die häufigste Common-Criteria-Zertifizierung.
Für den Level EAL 4 muss der Hersteller zudem den Quellcode des Produkts offenlegen. So können die Prüfer stichprobenartig feststellen, ob die vom Hersteller angeführten Mechanismen einwandfrei umgesetzt sind.
Anschließend muss sich das Produkt in der Praxis bewähren. Dabei werden alle Sicherheitsmechanismen ausführlich getestet. Die Anzahl der Tests kann in die Tausende gehen. Auch wird geprüft, ob die Entwicklungsumgebung beim Hersteller hochwertig abgesichert ist.
Bis zur Erteilung des Zertifikats entstehen so schnell Kosten im sechsstelligen Bereich und es vergehen meist mehrere Jahre.