Die »Common Criteria for Information Technology Security Evaluation« (CC, ISO/IEC 15408) ist ein international anerkanntes Prüfkriterienwerk zur Bewertung von IT-Sicherheitsprodukten. Die CC geben Hinweise und stellen Anforderungen auf für eine geeignete Darstellung der IT-Sicherheitsleistung (Security Target) des Produktes, geben Funktionsblöcke (SFRs, Security Functional Components) zur Formulierung der Sicherheitsfunktionen vor und beschreiben Vertrauenswürdigkeits-familien und -klassen zur Darstellung der Prüfanforderungen und Prüftiefe.

Prüfbegleitung bei CC-Zertifizierungsverfahren

Um der wachsenden Anzahl an Zertifizierungsverfahren für IT-Sicherheitsprodukten gerecht zu werden, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2010 Fraunhofer FOKUS mit der Begleitung der Prüfstellen bei den Evaluierungsverfahren betraut. Das CertLab übernimmt die Begleitung der Prüfstellen bei der Evaluierung von Software- und Hardware-Produkten und ist die einzige Einrichtung, die diese verantwortungsvolle Aufgabe außerhalb des BSI durchführt. Während des gesamten Zertifizierungsverfahrens liegt die Verfahrenshoheit beim BSI.

Das BSI erteilt Sicherheitszertifikate für informationstechnische Produkte wie Smart Cards, Smart Meters, Betriebssysteme, Datenbanken und Firewalls. Die Erteilung eines solchen Zertifikates erfolgt nach erfolgreicher Prüfung und Bewertung des IT-Produktes im sogenannten Zertifizierungsverfahren. Dieses Verfahren setzt sich aus drei Phasen zusammen: Antragstellung, Evaluierung und Zertifizierung. Im Rahmen des CC Recognition Arrangement haben die nationalen Zertifizierungsstellen ein Abkommen zur gegenseitigen Anerkennung der Prüfungsergebnisse bis EAL4 abgeschlossen.

Die »Common Criteria for Information Technology Security Evaluation« (CC, ISO/IEC 15408) ist ein international anerkanntes Prüfkriterienwerk zur Bewertung von IT-Sicherheitsprodukten. Die Common Criteria (CC) geben Hinweise und stellen Anforderungen auf für eine geeignete Darstellung der IT-Sicherheitsleistung (Security Target) des Produktes, geben Funktionsblöcke (SFRs, Security Functional Components) zur Formulierung der Sicherheitsfunktionen vor und beschreiben Vertrauenswürdigkeitsfamilien und -klassen zur Darstellung der Prüfanforderungen und -tiefe. Die »Common Methodology for Information Security Evaluation« (CEM) stellen Anforderungen an den Evaluierungsprozess und an die Tätigkeiten der Evaluatoren auf.

Im Rahmen des CC Recognition Arrangement haben die nationalen Zertifizierungsstellen ein Abkommen zur gegenseitigen Anerkennung der Prüfungsergebnisse abgeschlossen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) begleitet als nationale Zertifizierungsinstanz (gemäß BSI-Gesetz) die Evaluierung durch vom BSI anerkannte Prüfstellen und sorgt dadurch für eine Vergleichbarkeit der Evaluierungsergebnisse und vertritt diese international. Der von nationalen Zertifizierungsstellen durchgeführte Prozess ist international abgestimmt; die ausgestellten Zertifikate international anerkannt.