Common Criteria for Information Technology Security Evaluation
Die Common Criteria for Information Technology Security Evaluation (kurz auch Common Criteria oder CC; deutsch etwa Allgemeine Kriterien für die Bewertung der Sicherheit von Informationstechnologie) sind ein internationaler Standard über die Kriterien der Bewertung und Zertifizierung der Sicherheit von Computersystemen im Hinblick auf Datensicherheit. Für Laien gilt zu beachten, dass Datenschutz ein anderes Thema ist.
Inhaltsverzeichnis |
Historie[Bearbeiten]
Im Juni 1993 begann das Common Criteria Editorial Board (CCEB) mit Mitgliedern aus Kanada, Frankreich, Deutschland, Großbritannien und den Vereinigten Staaten mit der Ausarbeitung der Common Criteria. Dazu gleichte das CCEB die bisherigen Standards CTCPEC (kanadisch), ITSEC (europäisch) und TCSEC (amerikanisch) einander an. So wurde eine gemeinsam anerkannte Grundlage für Bewertungen der Datensicherheit geschaffen. Das soll vermeiden, dass Komponenten oder Systeme in verschiedenen Ländern mehrfach bewertet und zertifiziert werden müssen. Die erste Version (1.0) wurde im Januar 1996 veröffentlicht. Version 2.0 folgte nach einer langen Revisions-Phase durch das neu gegründete CC Implementation Board (CCIB) im Mai 1998. Zu den sogenannten Projektsponsoren gehörte seit dieser Version neben den bisher genannten Staaten auch die Niederlande.
ISO/IEC-Standard[Bearbeiten]
Seit 1994 war die International Organization for Standardization (ISO) gemeinsam mit dem CCEB bzw. dem Nachfolger CCIB bemüht, einen internationalen Standard zu entwickeln. Durch die Verabschiedung der Norm ISO/IEC 15408 am 1. Dezember 1999 in mehreren Teildokumenten [1] sind die Common Criteria ein allgemeiner und weltweit anerkannter Standard.[2][3] Die Norm unterliegt den üblichen Änderungsverfahren der ISO. Im Jahr 2005 folgte die Version 2.3, im September 2006 ein Versionssprung auf 3.1. Neue Projektsponsoren sind seitdem Australien, Neuseeland, Japan und Spanien.[4] Im September 2012 wurde die vierte Revision der Common Criteria 3.1 veröffentlicht.
Vorgehensmodell[Bearbeiten]
 |
DIN ISO/IEC 15408-1...3 |
|---|---|
| Bereich | IT-Sicherheit |
| Titel | Informationstechnik - IT-Sicherheitsverfahren - Evaluationskriterien für IT-Sicherheit |
| Letzte Ausgabe | 2007-11 |
| ISO | ISO/IEC 15408-1...3 |
Die Bewertung ist gegliedert, wie bereits bei ITSEC und dem älteren BSI-Standard ITS, in die Bewertung der Funktionalität (Funktionsumfang) des betrachteten Systems und der Vertrauenswürdigkeit (Qualität). Letztere muss nach den Gesichtspunkten der Wirksamkeit der verwendeten Methoden und der Korrektheit der Implementierung betrachtet werden. Das Vorgehen kann als rückgekoppeltes Wasserfallmodell verstanden werden[5]
Idealerweise wird zunächst eine von fertigen Produkten unabhängige Sicherheitsbetrachtung durchgeführt, die zur Erstellung eines allgemeinen Schutzprofils führt. Aus diesem Sicherheitskatalog können dann für bestimmte Produkte gezielt Sicherheitsvorgaben erarbeitet werden, gegen die dann die Evaluierung gemäß CC durchgeführt wird. Dabei wird die geforderte Vertrauenswürdigkeit, die Prüftiefe, im Allgemeinen gemäß EAL (Evaluation Assurance Level, s.u.) festgelegt. Eine Angabe der Prüftiefe ohne zugrunde liegende funktionale Sicherheitsanforderungen ist sinnlos. Vor allem die Nennung der EAL-Stufen ohne weitere Angaben hat sich durchgesetzt, was vielfach zu Irritationen und hitzigen Debatten führt.
Im Dezember 1999 sind die Common Criteria zum International Standard ISO/IEC 15408 erklärt worden. Der deutsche Anteil an dieser Arbeit wird u.a. vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.
Die CC umfassen drei Teile:
- Teil 1: Einführung und allgemeines Modell / Introduction and General Model
- Teil 2: Funktionale Sicherheitsanforderungen / Functional Requirements
- Teil 3: Anforderungen an die Vertrauenswürdigkeit / Assurance Requirements
In Deutschland sind die Normteile als DIN-Normen DIN ISO/IEC 15408-1...3 veröffentlicht.
Zertifizierung[Bearbeiten]
Das Produkt muss zuerst von einer akkreditierten Prüfstelle evaluiert werden und kann dann beim Bundesamt für Sicherheit in der Informationstechnik (BSI) bzw. den Partnerorganisationen der anderen Länder zertifiziert werden.
Internationale Anerkennung[Bearbeiten]
Eine Zertifizierung gemäß den Common Critiera ist international bis zum EAL4 (siehe unten) gegenseitig anerkannt. Höhere EALs müssen international nicht anerkannt werden, haben aber in der privaten Wirtschaft aufgrund ihrer enormen Komplexität ohnehin kaum praktische Bedeutung. Innerhalb von Europa sind innerhalb des so genannten SOGIS Abkommen und innerhalb bestimmter technischer Gebiete auch Zertifizierungen bis EAL 7 unter Umständen anerkannt.
Paradigma der Kriterien[Bearbeiten]
Das grundsätzliche Paradigma der Common Criteria ist die Trennung der Betrachtung von Funktionalität und Vertrauenswürdigkeit. Grundsätzlich erfolgt durch die Kriterien keine Vorgabe, dass eine bestimmte Funktionalität umgesetzt werden muss oder dass diese mit einer bestimmten Vertrauenswürdigkeit geprüft werden muss. Beide Aspekte werden zu Beginn der Evaluation vom Hersteller des Produkts in einem Dokument, dem so genannten Security Target, definiert.
Funktionalitätsklassen[Bearbeiten]
Im Gegensatz zu den bisherigen Normen sind die Funktionalitätsklassen nicht hierarchisch gegliedert. Stattdessen beschreibt jede Klasse eine bestimmte Grundfunktion der Sicherheitsarchitektur, die getrennt bewertet werden muss. Wichtige Funktionalitätsklassen sind:
- FAU (Sicherheitsprotokollierung)
- FCO (Kommunikation)
- FCS (Kryptographische Unterstützung)
- FDP (Schutz der Benutzerdaten)
- FIA (Identifikation und Authentisierung)
- FMT (Sicherheitsmanagement)
- FPR (Privatsphäre)
- FPT (Schutz der Sicherheitsfunktionen)
- FRU (Betriebsmittelnutzung)
- FTA (Schnittstelle)
- FTP (vertrauenswürdiger Pfad/Kanal)
Funktionalitätsklassen werden zu Schutzprofilen zusammengefasst, die den typischen Funktionsumfang bestimmter Produkte (z. B. Firewalls, Smartcards etc.) beschreiben.
Vertrauenswürdigkeit[Bearbeiten]
Die Common Criteria definieren sieben Stufen der Vertrauenswürdigkeit (Evaluation Assurance Level, EAL1-7), die die Korrektheit der Implementierung des betrachteten Systems bzw. die Prüftiefe beschreiben. Mit steigender Stufe der Vertrauenswürdigkeit steigen die Anforderungen an die Tiefe, in der der Hersteller sein Produkt beschreiben muss und mit dem das Produkt geprüft wird. Die folgende Tabelle gibt eine Übersicht über die Evaluation Assurance Level und stellt diese auch Tiefen in anderen Kriterien gegenüber.
| CC EAL | ITSEC E | BSI ITS Q | Bedeutung | TCSEC |
|---|---|---|---|---|
| EAL1 | E0-E1 | Q0-Q1 | funktionell getestet | D-C1 |
| EAL2 | E1 | Q1 | strukturell getestet | C1 |
| EAL3 | E2 | Q2 | methodisch getestet und überprüft | C2 |
| EAL4 | E3 | Q3 | methodisch entwickelt, getestet und durchgesehen | B1 |
| EAL5 | E4 | Q4 | semiformal entworfen und getestet | B2 |
| EAL6 | E5 | Q5 | semiformal verifizierter Entwurf und getestet | B3 |
| EAL7 | E6 | Q6 | formal verifizierter Entwurf und getestet | A |
Methodik der Bewertung für die Zertifizierung[Bearbeiten]
Ergänzend zu den Common Criteria wurde von den beteiligten Gremien und Einrichtungen eine Zertifizierungsmethodik entwickelt, die die Ergebnisse von Zertifizierungen nachvollziehbar und vergleichbar machen soll. Aktuell sind sie für die Teile 1 und 2 ausgeführt und analog zu den EAL 1–4 aufgebaut.
Kritik[Bearbeiten]
Den Common Criteria liegt ein sehr formaler Ansatz zu Grunde, der für die internationale Anerkennung der Zertifikate als Basis erforderlich ist. Dies führt zu der häufigen Kritik, dass in Prüfungen nach Common Criteria zu viel Papier und zu wenig Produkt geprüft wird.
Die Evaluierung nach CC ist generell recht aufwändig und nimmt einige Zeit in Anspruch. Auch dies führt häufig zu Kritik an der Anwendung dieser Kriterien.
Einzelnachweise[Bearbeiten]
- ↑ Suchergebnis bei ISO zur ISO/IEC 15408
- ↑ Richard A. Kemmerer: Computer Security. 2001, abgerufen am 13. Juni 2013 (PDF; 135 KB, englisch).
- ↑ CCIB: Common Criteria for Information Technology Security Evaluation. Part 1: Introduction and general model. August 1999, abgerufen am 13. Juni 2013 (PDF; 260 KB, englisch).
- ↑ CCIB: Common Criteria for Information Technology Security Evaluation. Part 1: Introduction and general model. September 2006, abgerufen am 13. Juni 2013 (PDF; 561 KB, englisch).
- ↑ Vorgehensmodell
Weblinks[Bearbeiten]
- Überarbeitung im Rahmen der 7. CC-Konferenz
- CC beim Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Common Criteria Official Website
- Inhaltsverzeichnis der DIN ISO/IEC 15408-1:2007-11 beim Beuth-Verlag
- Inhaltsverzeichnis der DIN ISO/IEC 15408-2:2007-11 beim Beuth-Verlag
- Inhaltsverzeichnis der DIN ISO/IEC 15408-3:2007-11 beim Beuth-Verlag
