Common Criteria Certification Lab
Prüfbegleitung bei CC-Zertifizierungsverfahren
Um der wachsenden Anzahl an Zertifizierungsverfahren für IT-Sicherheitsprodukten gerecht zu werden, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2010 Fraunhofer FOKUS mit der Begleitung der Prüfstellen bei den Evaluierungsverfahren betraut. Das CertLab übernimmt die Begleitung der Prüfstellen bei der Evaluierung von Software- und Hardware-Produkten und ist die einzige Einrichtung, die diese verantwortungsvolle Aufgabe außerhalb des BSI durchführt. Während des gesamten Zertifizierungsverfahrens liegt die Verfahrenshoheit beim BSI.
Als nationale IT-Sicherheitsbehörde ist es das Ziel des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die IT-Sicherheit in Deutschland voran zu bringen. Dabei ist das BSI der zentrale IT-Dienstleister des Bundes, wendet sich auch an Hersteller sowie die privaten und gewerblichen Nutzer und Anbieter von Informationstechnik.
Das BSI erteilt Sicherheitszertifikate für informationstechnische Produkte wie Smart Cards, Smart Meters, Betriebssysteme, Datenbanken und Firewalls. Die Erteilung eines solchen Zertifikates erfolgt nach erfolgreicher Prüfung und Bewertung des IT-Produktes im sogenannten Zertifizierungsverfahren. Dieses Verfahren setzt sich aus drei Phasen zusammen: Antragstellung, Evaluierung und Zertifizierung. Die Herstellerfirma stellen einen Antrag auf Zertifizierung ihres Produktes und beauftragt eine vom BSI anerkannte, externe Prüfstelle mit der Evaluierung, ob das Produkt den in den CC festgelegten Sicherheitskriterien entspricht.
Die »Common Criteria for Information Technology Security Evaluation«
Die »Common Criteria for Information Technology Security Evaluation« (CC, ISO/IEC 15408) ist ein international anerkanntes Prüfkriterienwerk zur Bewertung von IT-Sicherheitsprodukten. Die Common Criteria (CC) geben Hinweise und stellen Anforderungen auf für eine geeignete Darstellung der IT-Sicherheitsleistung (Security Target) des Produktes, geben Funktionsblöcke (SFRs, Security Functional Components) zur Formulierung der Sicherheitsfunktionen vor und beschreiben Vertrauenswürdigkeitsfamilien und -klassen zur Darstellung der Prüfanforderungen und -tiefe. Die »Common Methodology for Information Security Evaluation« (CEM) stellen Anforderungen an den Evaluierungsprozess und an die Tätigkeiten der Evaluatoren auf.
Im Rahmen des CC Recognition Arrangement haben die nationalen Zertifizierungsstellen ein Abkommen zur gegenseitigen Anerkennung der Prüfungsergebnisse bis EAL4 abgeschlossen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) begleitet als nationale Zertifizierungsinstanz (gemäß BSI-Gesetz) die Evaluierung durch vom BSI anerkannte Prüfstellen und sorgt dadurch für eine Vergleichbarkeit der Evaluierungsergebnisse und vertritt diese international. Der von nationalen Zertifizierungsstellen durchgeführte Prozess ist international abgestimmt; die ausgestellten Zertifikate international anerkannt.