Fraunhofer-Institut für Offene Kommunikationssysteme
Fraunhofer-Institut für Offene Kommunikationssysteme
Man paying with mobile phone in coffee shop.
© iStock / EXTREME-PHOTOGRAPHER

© iStock / EXTREME-PHOTOGRAPHER

CertLab – Prüfbegleitung bei CC-Zertifizierungsverfahren

CC-Zertifizierungsverfahren in Zusammenarbeit mit dem BSI

Die »Common Criteria for Information Technology Security Evaluation« (CC, ISO/IEC 15408) ist ein international anerkanntes Prüfkriterienwerk zur Bewertung von IT-Sicherheitsprodukten. Die CC geben Hinweise und stellen Anforderungen für eine geeignete Darstellung der IT-Sicherheitsleistung (Security Target) des Produktes, geben Funktionsblöcke (SFRs, Security Functional Components) zur Formulierung der Sicherheitsfunktionen vor und beschreiben Vertrauenswürdigkeitsfamilien und -klassen (SARs, Security Assurance Requirements) zur Darstellung der Prüfanforderungen und Prüftiefe. Die »Common Methodology for Information Security Evaluation« (CEM) stellt Anforderungen an den Evaluierungsprozess und an die Tätigkeiten der Evaluatoren auf.

Prüfbegleitung bei CC-Zertifizierungsverfahren

Um der wachsenden Anzahl an Zertifizierungsverfahren für IT-Sicherheitsprodukte gerecht zu werden, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2010 Fraunhofer FOKUS mit der Begleitung der Prüfstellen bei den Evaluierungsverfahren betraut. Das CertLab übernimmt die Begleitung der Prüfstellen bei der Evaluierung von Software-Produkten und ist die einzige Einrichtung, die diese verantwortungsvolle Aufgabe außerhalb des BSI durchführt. Während des gesamten Zertifizierungsverfahrens liegt die Verfahrenshoheit beim BSI.

Als nationale IT-Sicherheitsbehörde ist es das Ziel des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die IT-Sicherheit in Deutschland voran zu bringen. Dabei ist das BSI der zentrale IT-Dienstleister des Bundes, wendet sich auch an Hersteller sowie die privaten und gewerblichen Nutzer und Anbieter von Informationstechnik.

Das BSI erteilt Sicherheitszertifikate für informationstechnische Produkte wie Smart Cards, Smart Meters, Betriebssysteme, Datenbanken und Firewalls. Die Erteilung eines solchen Zertifikates erfolgt nach erfolgreicher Prüfung und Bewertung des IT-Produktes im sogenannten Zertifizierungsverfahren. Dieses Verfahren setzt sich aus drei Phasen zusammen: Antragstellung, Evaluierung und Zertifizierung. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) begleitet als nationale Zertifizierungsinstanz (gemäß BSI-Gesetz) die Evaluierung durch vom BSI anerkannte Prüfstellen und sorgt dadurch für eine Vergleichbarkeit der Evaluierungsergebnisse und vertritt diese international. Der von nationalen Zertifizierungsstellen durchgeführte Prozess ist international abgestimmt; die ausgestellten Zertifikate sind international anerkannt.