Common Criteria

Wie sicher ist eine Firewall, ein Smartcard-Chip oder ein Betriebssystem wirklich? Herstellerangaben beantworten das nur bedingt, denn Marketing und geprüfte Eigenschaften sind zweierlei. Common Criteria schließt diese Lücke: Der Standard lässt Sicherheitsaussagen zu IT-Produkten von unabhängigen Prüfstellen nach einheitlicher Methodik verifizieren. Für Beschaffungen in sensiblen Bereichen ist das Zertifikat vielfach Pflicht, für alle anderen ein belastbares Auswahlkriterium.

Was ist Common Criteria?

Common Criteria for Information Technology Security Evaluation, kurz CC, ist ein internationaler Standard zur Bewertung der Sicherheitseigenschaften von IT-Produkten, genormt als ISO/IEC 15408. Er entstand in den 1990er Jahren aus der Zusammenführung europäischer und nordamerikanischer Prüfkataloge und wird seither international gepflegt.

Drei Begriffe strukturieren jede Prüfung: Der Evaluationsgegenstand (Target of Evaluation) ist das Produkt in einer definierten Version und Konfiguration. Das Security Target beschreibt, welche Sicherheitsfunktionen das Produkt unter welchen Annahmen erbringen soll. Schutzprofile (Protection Profiles) definieren herstellerübergreifende Anforderungskataloge für ganze Produktklassen, etwa Firewalls oder Signaturkarten, und machen Zertifikate dadurch vergleichbar.

Dank gegenseitiger Anerkennungsabkommen gelten Zertifikate über Ländergrenzen hinweg. In Deutschland zertifiziert das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Basis der Prüfberichte akkreditierter Prüfstellen. Auf europäischer Ebene führt das Zertifizierungsschema EUCC die CC-Methodik im Rahmen des Cybersecurity Act fort.

Wie funktioniert eine Common-Criteria-Zertifizierung?

Der Weg zum Zertifikat folgt einem klar geregelten Ablauf:

  • Sicherheitsvorgaben festlegen: Der Hersteller beschreibt im Security Target den Funktionsumfang, die Einsatzumgebung und die Bedrohungen, gegen die das Produkt schützt. Häufig dient ein anerkanntes Schutzprofil als Grundlage.
  • Prüftiefe wählen: Die Evaluation Assurance Levels EAL1 bis EAL7 legen fest, wie tief geprüft wird. EAL1 bestätigt grundlegende Funktionstests, mittlere Stufen verlangen Einblick in Entwurf und Entwicklungsprozesse, die höchsten Stufen fordern teils formale, mathematisch gestützte Nachweise. Für kommerzielle Software ist EAL4 eine gängige Obergrenze, Chipkarten und Sicherheitsmodule erreichen regelmäßig höhere Stufen.
  • Evaluierung durch die Prüfstelle: Eine akkreditierte, unabhängige Prüfstelle testet das Produkt gegen die Vorgaben. Geprüft werden neben der Funktion auch Dokumentation, Auslieferungswege und die Widerstandsfähigkeit gegen Angriffe mit definiertem Aufwand, inklusive Penetrationstests.
  • Zertifizierung durch die nationale Stelle: Die Zertifizierungsstelle, in Deutschland das BSI, bewertet den Prüfbericht und stellt das Zertifikat aus. Es gilt ausschließlich für die geprüfte Version in der geprüften Konfiguration.
  • Pflege des Zertifikats: Updates und neue Versionen erfordern eine Neubewertung oder ein geregeltes Verfahren zur Fortschreibung. Ohne Pflege veraltet ein Zertifikat mit dem Produkt.

Warum es wichtig ist

  • Objektive Vergleichbarkeit: Zertifikate auf Basis desselben Schutzprofils machen Produkte verschiedener Hersteller nach einheitlichem Maßstab vergleichbar, statt Datenblätter gegeneinander abzuwägen.
  • Zugang zu regulierten Märkten: Behörden und Betreiber sensibler Infrastrukturen verlangen für bestimmte Produktklassen zertifizierte Komponenten, etwa bei Signaturtechnik, Smart Metering oder Komponenten für Verschlusssachen.
  • Vertrauen in die Lieferkette: Die Evaluierung umfasst Entwicklungsumgebung und Auslieferung. Das senkt das Risiko manipulierter oder schlampig gebauter Produkte.
  • Reduzierter Eigenaufwand: Was eine akkreditierte Prüfstelle bereits verifiziert hat, muss die eigene Organisation im Auswahlprozess nicht erneut in dieser Tiefe testen.
  • Grenzen kennen: Das Zertifikat bewertet ein Produkt, den sicheren Betrieb muss die einsetzende Organisation selbst gewährleisten. Eine falsch konfigurierte zertifizierte Firewall schützt nicht besser als eine unzertifizierte.

Typische Szenarien

Eine Bundesbehörde beschafft VPN-Gateways für die Anbindung von Außenstellen. Die Ausschreibung verlangt eine Zertifizierung nach einem bestimmten Schutzprofil, wodurch sich der Bieterkreis auf geprüfte Produkte verengt und die Vergabe rechtssicher begründbar wird.

Ein Hersteller von Smartcard-Chips lässt seine Plattform auf hoher EAL-Stufe evaluieren, weil Bankkarten und hoheitliche Dokumente ohne dieses Fundament keine Zulassung erhalten. Die Zertifizierung läuft über Monate parallel zur Entwicklung.

Ein Unternehmen nutzt CC-Zertifikate als Kriterium in der Produktauswahl: Bei zwei vergleichbaren Netzwerkkomponenten erhält das evaluierte Produkt den Vorzug, und die geprüfte Konfiguration dient gleich als Vorlage für die Härtung im eigenen Betrieb.

Common Criteria vs. ISO 27001

Die beiden Standards werden häufig verwechselt, prüfen aber Verschiedenes. Common Criteria bewertet ein Produkt: eine konkrete Version mit definierten Sicherheitsfunktionen zum Prüfzeitpunkt. ISO 27001 zertifiziert eine Organisation: ein Managementsystem für Informationssicherheit mit Prozessen, Rollen und kontinuierlicher Verbesserung.

Daraus folgt die Arbeitsteilung. Ein ISO-27001-Zertifikat sagt nichts über die Qualität einzelner eingesetzter Produkte, ein CC-Zertifikat nichts über die Reife des Betriebs. In der Praxis greifen beide ineinander: Ein ISMS nach ISO 27001 definiert Anforderungen an die Beschaffung, und CC-zertifizierte Komponenten liefern dafür belastbare Bausteine samt dokumentierter Sicherheitsannahmen.

Wie KAEMI unterstützt

KAEMI bewertet Zertifizierungen dort, wo sie Entscheidungen tragen: bei der Auswahl von Komponenten für sichere Unternehmensnetzwerke. Im Rahmen der Professional Services unterstützt KAEMI bei Ausschreibungskriterien, bei der Einordnung von Schutzprofilen und EAL-Stufen sowie beim Abgleich der zertifizierten Konfiguration mit dem geplanten Einsatz. So fließen geprüfte Produkte in eine Architektur ein, deren Betrieb die Sicherheitsannahmen auch einhält. Für eine Einschätzung Ihrer Anforderungen erreichen Sie uns über die Kontaktseite .

Häufige Fragen zu Common Criteria

Was bedeuten die EAL-Stufen konkret?

Die Evaluation Assurance Levels beschreiben die Prüftiefe, von EAL1 mit grundlegenden Funktionstests bis EAL7 mit formal verifiziertem Entwurf. Mit jeder Stufe steigen die Anforderungen an Entwicklungsdokumentation, Testabdeckung und Angriffsresistenz. Kommerzielle Software erreicht üblicherweise bis EAL4, höhere Stufen sind die Domäne von Chipkarten, Sicherheitsmodulen und speziell entwickelten Hochsicherheitskomponenten.

Ist ein Produkt mit höherer EAL-Stufe automatisch sicherer?

Nein. Die EAL-Stufe misst die Tiefe der Prüfung, der Funktionsumfang steht im Security Target. Ein Produkt kann auf EAL2 einen breiten Schutzumfang belegen, während ein anderes auf EAL5 nur wenige Funktionen geprüft hat. Aussagekräftig ist erst die Kombination aus Schutzprofil, geprüften Funktionen und Stufe, bezogen auf den eigenen Einsatzzweck.

Wer vergibt Common-Criteria-Zertifikate in Deutschland?

Die Zertifikate stellt das Bundesamt für Sicherheit in der Informationstechnik aus. Die technische Evaluierung übernehmen vom BSI anerkannte, unabhängige Prüfstellen, deren Berichte das BSI bewertet. Über internationale Anerkennungsabkommen und das europäische Schema EUCC werden deutsche Zertifikate in vielen weiteren Staaten akzeptiert, was Doppelprüfungen für Hersteller vermeidet.

Für welche Produkte ist Common Criteria üblich?

Typisch sind Produktklassen mit hohem Schutzbedarf: Smartcards und Sicherheitschips, Hardware-Sicherheitsmodule, Signatur- und Ausweistechnik, Firewalls und VPN-Gateways, Betriebssysteme sowie Komponenten für Behörden und kritische Infrastrukturen. Für gewöhnliche Geschäftsanwendungen lohnt der Aufwand selten, dort genügen in der Regel andere Prüfverfahren wie Penetrationstests oder Herstelleraudits.

Brauchen Unternehmen Common Criteria für ISO 27001?

Nein, die Norm verlangt keine zertifizierten Produkte. Sie fordert einen geregelten Beschaffungsprozess, der Sicherheitsanforderungen an Lieferanten und Produkte definiert. CC-Zertifikate sind dafür ein starkes Hilfsmittel: Sie belegen geprüfte Eigenschaften durch unabhängige Stellen und erleichtern die Begründung von Auswahlentscheidungen gegenüber Auditoren, Kunden und der eigenen Leitungsebene.

Sie möchten das Thema im eigenen Netzwerk angehen? Sprechen Sie mit KAEMI, anforderungsorientiert und mit Betrieb aus einer Hand.