Wie sicher ist eine Firewall, ein Smartcard-Chip oder ein Betriebssystem wirklich? Herstellerangaben beantworten das nur bedingt, denn Marketing und geprüfte Eigenschaften sind zweierlei. Common Criteria schließt diese Lücke: Der Standard lässt Sicherheitsaussagen zu IT-Produkten von unabhängigen Prüfstellen nach einheitlicher Methodik verifizieren. Für Beschaffungen in sensiblen Bereichen ist das Zertifikat vielfach Pflicht, für alle anderen ein belastbares Auswahlkriterium.
Was ist Common Criteria?
Common Criteria for Information Technology Security Evaluation, kurz CC, ist ein internationaler Standard zur Bewertung der Sicherheitseigenschaften von IT-Produkten, genormt als ISO/IEC 15408. Er entstand in den 1990er Jahren aus der Zusammenführung europäischer und nordamerikanischer Prüfkataloge und wird seither international gepflegt.
Drei Begriffe strukturieren jede Prüfung: Der Evaluationsgegenstand (Target of Evaluation) ist das Produkt in einer definierten Version und Konfiguration. Das Security Target beschreibt, welche Sicherheitsfunktionen das Produkt unter welchen Annahmen erbringen soll. Schutzprofile (Protection Profiles) definieren herstellerübergreifende Anforderungskataloge für ganze Produktklassen, etwa Firewalls oder Signaturkarten, und machen Zertifikate dadurch vergleichbar.
Dank gegenseitiger Anerkennungsabkommen gelten Zertifikate über Ländergrenzen hinweg. In Deutschland zertifiziert das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Basis der Prüfberichte akkreditierter Prüfstellen. Auf europäischer Ebene führt das Zertifizierungsschema EUCC die CC-Methodik im Rahmen des Cybersecurity Act fort.
Wie funktioniert eine Common-Criteria-Zertifizierung?
Der Weg zum Zertifikat folgt einem klar geregelten Ablauf:
- Sicherheitsvorgaben festlegen: Der Hersteller beschreibt im Security Target den Funktionsumfang, die Einsatzumgebung und die Bedrohungen, gegen die das Produkt schützt. Häufig dient ein anerkanntes Schutzprofil als Grundlage.
- Prüftiefe wählen: Die Evaluation Assurance Levels EAL1 bis EAL7 legen fest, wie tief geprüft wird. EAL1 bestätigt grundlegende Funktionstests, mittlere Stufen verlangen Einblick in Entwurf und Entwicklungsprozesse, die höchsten Stufen fordern teils formale, mathematisch gestützte Nachweise. Für kommerzielle Software ist EAL4 eine gängige Obergrenze, Chipkarten und Sicherheitsmodule erreichen regelmäßig höhere Stufen.
- Evaluierung durch die Prüfstelle: Eine akkreditierte, unabhängige Prüfstelle testet das Produkt gegen die Vorgaben. Geprüft werden neben der Funktion auch Dokumentation, Auslieferungswege und die Widerstandsfähigkeit gegen Angriffe mit definiertem Aufwand, inklusive Penetrationstests.
- Zertifizierung durch die nationale Stelle: Die Zertifizierungsstelle, in Deutschland das BSI, bewertet den Prüfbericht und stellt das Zertifikat aus. Es gilt ausschließlich für die geprüfte Version in der geprüften Konfiguration.
- Pflege des Zertifikats: Updates und neue Versionen erfordern eine Neubewertung oder ein geregeltes Verfahren zur Fortschreibung. Ohne Pflege veraltet ein Zertifikat mit dem Produkt.
Warum es wichtig ist
- Objektive Vergleichbarkeit: Zertifikate auf Basis desselben Schutzprofils machen Produkte verschiedener Hersteller nach einheitlichem Maßstab vergleichbar, statt Datenblätter gegeneinander abzuwägen.
- Zugang zu regulierten Märkten: Behörden und Betreiber sensibler Infrastrukturen verlangen für bestimmte Produktklassen zertifizierte Komponenten, etwa bei Signaturtechnik, Smart Metering oder Komponenten für Verschlusssachen.
- Vertrauen in die Lieferkette: Die Evaluierung umfasst Entwicklungsumgebung und Auslieferung. Das senkt das Risiko manipulierter oder schlampig gebauter Produkte.
- Reduzierter Eigenaufwand: Was eine akkreditierte Prüfstelle bereits verifiziert hat, muss die eigene Organisation im Auswahlprozess nicht erneut in dieser Tiefe testen.
- Grenzen kennen: Das Zertifikat bewertet ein Produkt, den sicheren Betrieb muss die einsetzende Organisation selbst gewährleisten. Eine falsch konfigurierte zertifizierte Firewall schützt nicht besser als eine unzertifizierte.
Typische Szenarien
Eine Bundesbehörde beschafft VPN-Gateways für die Anbindung von Außenstellen. Die Ausschreibung verlangt eine Zertifizierung nach einem bestimmten Schutzprofil, wodurch sich der Bieterkreis auf geprüfte Produkte verengt und die Vergabe rechtssicher begründbar wird.
Ein Hersteller von Smartcard-Chips lässt seine Plattform auf hoher EAL-Stufe evaluieren, weil Bankkarten und hoheitliche Dokumente ohne dieses Fundament keine Zulassung erhalten. Die Zertifizierung läuft über Monate parallel zur Entwicklung.
Ein Unternehmen nutzt CC-Zertifikate als Kriterium in der Produktauswahl: Bei zwei vergleichbaren Netzwerkkomponenten erhält das evaluierte Produkt den Vorzug, und die geprüfte Konfiguration dient gleich als Vorlage für die Härtung im eigenen Betrieb.
Common Criteria vs. ISO 27001
Die beiden Standards werden häufig verwechselt, prüfen aber Verschiedenes. Common Criteria bewertet ein Produkt: eine konkrete Version mit definierten Sicherheitsfunktionen zum Prüfzeitpunkt. ISO 27001 zertifiziert eine Organisation: ein Managementsystem für Informationssicherheit mit Prozessen, Rollen und kontinuierlicher Verbesserung.
Daraus folgt die Arbeitsteilung. Ein ISO-27001-Zertifikat sagt nichts über die Qualität einzelner eingesetzter Produkte, ein CC-Zertifikat nichts über die Reife des Betriebs. In der Praxis greifen beide ineinander: Ein ISMS nach ISO 27001 definiert Anforderungen an die Beschaffung, und CC-zertifizierte Komponenten liefern dafür belastbare Bausteine samt dokumentierter Sicherheitsannahmen.
Wie KAEMI unterstützt
KAEMI bewertet Zertifizierungen dort, wo sie Entscheidungen tragen: bei der Auswahl von Komponenten für sichere Unternehmensnetzwerke. Im Rahmen der Professional Services unterstützt KAEMI bei Ausschreibungskriterien, bei der Einordnung von Schutzprofilen und EAL-Stufen sowie beim Abgleich der zertifizierten Konfiguration mit dem geplanten Einsatz. So fließen geprüfte Produkte in eine Architektur ein, deren Betrieb die Sicherheitsannahmen auch einhält. Für eine Einschätzung Ihrer Anforderungen erreichen Sie uns über die Kontaktseite .