ISO/IEC 15408 – Common Criteria

Die ISO/IEC 15408, besser bekannt als Common Criteria (CC), ist ein maßgeblicher internationaler Standard für die Evaluierung und Zertifizierung der Sicherheit von Informationstechnologie.

Dieser Standard bietet einen strukturierten und anerkannten Rahmen für die Bewertung der Sicherheitseigenschaften von IT-Produkten und -Systemen. Die Relevanz der Common Criteria wird durch ihre Integration in das EU Cybersecurity Certification Scheme on Common Criteria (EUCC) im Rahmen des EU Cybersecurity Acts unterstrichen. Dies verdeutlicht ihre zentrale Rolle bei der Harmonisierung und Stärkung der Cybersicherheit auf europäischer Ebene.

Dieser Artikel bietet einen umfassenden Einblick in die Common Criteria, ihre Struktur und praktische Anwendung. Wir untersuchen die jüngsten Änderungen, beleuchten die Beziehung zum EU Cybersecurity Act und erläutern zentrale Konzepte wie Protection Profiles, Security Targets und Evaluation Assurance Levels. Darüber hinaus werfen wir einen detaillierten Blick auf den Evaluationsprozess und die wichtige Rolle von Prüflaboren und Zertifizierungsstellen.

Der Zusammenhang zwischen ISO/IEC und Common Criteria

Das Verhältnis zwischen ISO/IEC 15408 und den Common Criteria (CC) ist ein Beispiel für die erfolgreiche Integration einer spezialisierten Norm in das internationale Normungssystem. Ursprünglich als eigenständiger Standard für die Evaluierung und Zertifizierung der Sicherheit von Informationstechnik entwickelt, wurden die Common Criteria 1999 in die ISO/IEC-Normenfamilie aufgenommen und als ISO/IEC 15408 veröffentlicht. Damit wurden die CC zu einem international anerkannten Standard und ihre weltweite Akzeptanz und Anwendbarkeit wurde erhöht. Seitdem wird die Norm häufig sowohl als „Common Criteria“ als auch als „ISO/IEC 15408“ bezeichnet, wobei sich beide Bezeichnungen auf denselben Inhalt beziehen und häufig synonym verwendet werden.

Die Verwaltung und Weiterentwicklung der CC erfolgt in einer einzigartigen Zusammenarbeit zwischen der internationalen Common Criteria Community und dem ISO/IEC JTC 1/SC 27 (IT Security Techniques). Änderungen und Updates werden in beiden Gemeinschaften abgestimmt, was zu einer kontinuierlichen Verbesserung des Standards führt. Neue Versionen werden sowohl als CC-Dokumente als auch als ISO/IEC-Standards veröffentlicht, wobei die ISO/IEC-Version kostenpflichtig ist, während die CC-Dokumente oft frei verfügbar sind. Ergänzend wurde die Common Evaluation Methodology (CEM) als ISO/IEC 18045 standardisiert, wodurch ein einheitlicher Rahmen für Evaluation und Zertifizierung geschaffen wurde.

Die aktuelle Version der Common Criteria kann kostenlos von der offiziellen Website des Common Criteria Portal heruntergeladen werden. Dort finden sich alle relevanten Dokumente, einschließlich der Hauptteile der CC und zugehöriger Methodologien. Die entsprechenden ISO/IEC-Normen können hier kostenlos bezogen werden, was den Zugang deutlich erleichtert.

Aufbau und Struktur der Common Criteria

Die fünf Teile der ISO/IEC 15408 bilden zusammen mit der ISO/IEC 18045 (CEM) ein umfassendes Rahmenwerk für die Spezifikation, Entwicklung und Evaluierung von IT-Sicherheitsprodukten. Während die Teile 1-5 der ISO/IEC 15408 die Anforderungen und Strukturen definieren, liefert die CEM die notwendige Methodik zur praktischen Durchführung der Evaluierungen.

ISO/IEC 15408-1: Einführung und allgemeines Modell
Dieser Teil gibt einen umfassenden Überblick über CC und definiert grundlegende Konzepte, Prinzipien und Terminologie. Er erläutert den Evaluierungsprozess und die Evaluierungsergebnisse sowie die Beziehungen zwischen den verschiedenen Teilen des CC.

ISO/IEC 15408-2: Funktionale Sicherheitsanforderungen
Dieser Teil enthält einen detaillierten Katalog standardisierter funktionaler Sicherheitsanforderungen. Er dient der genauen Spezifikation von Sicherheitsfunktionen in Schutzprofilen (PP) und Sicherheitsvorgaben (ST). Die Anforderungen sind in Klassen, Familien und Komponenten gegliedert und ermöglichen eine Anpassung und Erweiterung für spezifische Produkte oder Systeme.

ISO/IEC 15408-3: Anforderungen an die Vertrauenswürdigkeit
Dieser Teil enthält einen umfassenden Katalog von Anforderungen an die Vertrauenswürdigkeit. Er definiert Maßnahmen zur Bewertung der korrekten Implementierung von Sicherheitsfunktionen und spezifiziert Anforderungen an Entwicklungs-, Test- und Lieferprozesse.

ISO/IEC 15408-4: Rahmenwerk für die Spezifikation von Evaluationsmethoden
Dieser Abschnitt legt die Grundlagen für die Entwicklung konsistenter und reproduzierbarer Evaluationsmethoden fest. Er definiert deren Struktur und Inhalt und ermöglicht die Entwicklung spezifischer Methoden für verschiedene Technologiebereiche.

ISO/IEC 15408-5: Vordefinierte Pakete von Sicherheitsanforderungen
Dieser Teil enthält vorgefertigte Sammlungen von Sicherheitsanforderungen. Hier werden auch die Evaluationsstufen (EAL1 bis EAL7) definiert, die unterschiedliche Grade der Prüftiefe darstellen. Diese Pakete und EALs erleichtern die Erstellung von Schutzprofilen und Sicherheitsvorgaben, indem sie häufig benötigte Kombinationen von Anforderungen bereitstellen und standardisierte Vertrauenswürdigkeitsstufen definieren.

Zusammenhang zwischen Common Criteria und der Common Evaluation Methodology

Die ISO/IEC 18045, auch als Common Evaluation Methodology (CEM) bekannt, ergänzt die fünf Teile der Common Criteria, indem sie die konkrete Durchführung der Evaluierungen beschreibt. Hier der Zusammenhang im Detail:

  • Die CEM baut direkt auf den in Teil 1 definierten Konzepten und Prinzipien auf und konkretisiert diese für die praktische Anwendung.
  • Für die in Teil 2 und 3 spezifizierten funktionalen und Vertrauenswürdigkeitsanforderungen liefert die CEM detaillierte Prüfverfahren und -techniken. Sie gibt Evaluatoren Anleitung, wie diese Anforderungen in der Praxis zu überprüfen sind.
  • Die CEM setzt das in Teil 4 definierte Rahmenwerk für Evaluationsmethoden um, indem sie eine standardisierte Methodik für CC-Evaluierungen bereitstellt.
  • Bei der Evaluierung von Produkten, die die in Teil 5 vordefinierten Pakete verwenden, bietet die CEM spezifische Anleitungen zur effizienten Durchführung der Prüfungen.

Insgesamt bildet die CEM die Brücke zwischen der theoretischen Spezifikation der Sicherheitsanforderungen in den Common Criteria und deren praktischer Überprüfung. Sie gewährleistet, dass Evaluierungen nach den CC konsistent, nachvollziehbar und vergleichbar durchgeführt werden.

Änderungen in der neusten Version von 2022

Die Aktualisierung der Common Criteria (CC) bzw. ISO/IEC 15408 und ISO/IEC 18045 (CEM) im Jahr 2022 hat einige wesentliche Änderungen mit sich gebracht. Hier die wichtigsten Neuerungen gegenüber der Vorgängerversion:

  • Die Struktur der Norm wurde grundlegend überarbeitet. Statt der bisherigen drei Teile besteht die ISO/IEC 15408 nun aus fünf Teilen. Der neue Teil 4 führt ein Rahmenwerk für die Spezifikation von Evaluationsmethoden ein, während Teil 5 vordefinierte Pakete von Sicherheitsanforderungen enthält. Diese Erweiterung soll die Anwendbarkeit und Flexibilität der Norm verbessern.
  • Ein wesentlicher Schwerpunkt der Überarbeitung war die Modernisierung und Anpassung an aktuelle Technologien und Bedrohungsszenarien. Dies spiegelt sich in aktualisierten und neuen funktionalen Sicherheitsanforderungen wider, die moderne IT-Umgebungen besser berücksichtigen.
  • Die Anforderungen an die Vertrauenswürdigkeit wurden ebenfalls überarbeitet, um den Bewertungsprozess effizienter zu gestalten und den Bedürfnissen der verschiedenen Interessengruppen besser gerecht zu werden. Dies beinhaltet die Vereinfachung einiger Anforderungen und die Einführung neuer Konzepte zur besseren Bewertung der Sicherheit komplexer Systeme.
  • Ein wichtiger Aspekt der Aktualisierung war die verstärkte Praxisorientierung. Die neuen Versionen legen mehr Wert auf die praktische Anwendbarkeit und die Effizienz bei der Durchführung von Bewertungen. Dies zeigt sich unter anderem in der Einführung von vordefinierten Paketen von Sicherheitsanforderungen in Teil 5, die die Erstellung von Schutzprofilen und Sicherheitsvorgaben erleichtern sollen.
  • Die in ISO/IEC 18045 (CEM) beschriebene Evaluationsmethodik wurde entsprechend angepasst, um mit den Änderungen in ISO/IEC 15408 Schritt zu halten. Dies gewährleistet eine konsistente Anwendung der neuen Anforderungen und Konzepte während des Evaluierungsprozesses.
  • Darüber hinaus wurde die Kompatibilität mit anderen relevanten Normen und Vorschriften verbessert, um eine bessere Integration in bestehende Zertifizierungsrahmen wie das EUCC-Schema zu ermöglichen.

Insgesamt zielen die Änderungen darauf ab, den Standard flexibler, effizienter und relevanter für moderne IT-Sicherheitsherausforderungen zu machen, während gleichzeitig die Grundprinzipien der Common Criteria beibehalten werden. Die Überarbeitung reflektiert das Bestreben, mit der schnellen Entwicklung in der IT-Sicherheitslandschaft Schritt zu halten und den Standard als wertvolles Werkzeug für die Evaluierung und Zertifizierung von IT-Sicherheitsprodukten zu erhalten.

Common Criteria und das EUCC-Schema nach dem EU Cybersecurity Act

Das EUCC-Schema (European Cybersecurity Certification Scheme) ist ein Zertifizierungsschema, das im Rahmen des EU Cybersecurity Acts entwickelt wurde. Es basiert auf den Common Criteria und zielt darauf ab, eine einheitliche Zertifizierung von IT-Produkten, -Diensten und -Prozessen in der EU zu ermöglichen.

Hauptaspekte der Verbindung:

  • Harmonisierung: Das EUCC-Schema nutzt die CC als Grundlage, um eine EU-weit einheitliche Zertifizierung zu etablieren.
  • Anpassung: Es passt die CC an die spezifischen Anforderungen und Ziele der EU an.
  • Vereinfachung: Das Schema strebt eine Vereinfachung des Zertifizierungsprozesses an, um ihn zugänglicher und effizienter zu gestalten.
  • Gegenseitige Anerkennung: Es fördert die gegenseitige Anerkennung von Zertifizierungen innerhalb der EU.
  • Vertrauensstufen: Das EUCC-Schema definiert Vertrauensstufen (Basic, Substantial, High), die mit den Evaluierungsstufen der CC korrespondieren.

Durch diese Verbindung wird die Common Criteria in den rechtlichen und regulatorischen Rahmen der EU integriert, um die Cybersicherheit in Europa zu stärken und zu vereinheitlichen.

Common Criteria Bausteine: Protection Profile, Security Target und Target of Evaluation

Im Zentrum des Common Criteria Evaluationsprozesses stehen drei wesentliche Konzepte: das Target of Evaluation (TOE), das Protection Profile (PP) und das Security Target (ST). Diese Bausteine bilden die Grundlage für eine strukturierte und vergleichbare Sicherheitsbewertung von IT-Produkten und -Systemen.

Evaluationsgegenstand

Der Evaluationsgegenstand (Target of Evaluation, TOE) bezeichnet das zu evaluierende IT-Produkt oder -System. Dabei kann es sich um Software, Hardware oder eine Kombination aus beidem handeln. Das TOE verkörpert die konkreten Sicherheitsfunktionen, die im Rahmen der Evaluation bewertet werden.

Schutzprofil

Ein Schutzprofil (Protection Profile, PP) ist eine implementierungsunabhängige Zusammenstellung von Sicherheitsanforderungen für eine bestimmte Kategorie von TOE. Es definiert allgemeine Sicherheitsziele und -anforderungen für einen Produkttyp, ohne sich auf ein bestimmtes Produkt zu beziehen. PPs werden häufig von Anwendergruppen oder Behörden erstellt, um standardisierte Sicherheitsanforderungen für bestimmte Produktklassen festzulegen. Sie dienen als Referenz für Entwickler und Evaluatoren und fördern die Vergleichbarkeit von Sicherheitsevaluationen.

Security Target

Das Security Target (ST) hingegen ist eine implementierungsspezifische Beschreibung der Sicherheitseigenschaften eines konkreten TOE. Es enthält detaillierte Sicherheitsziele, Anforderungen an die Funktionalität und Vertrauenswürdigkeit sowie eine Beschreibung der Sicherheitsfunktionen des TOE. Ein ST kann sich auf ein oder mehrere PPs beziehen und muss nachweisen, wie der TOE die im PP definierten Anforderungen erfüllt.

Zusammenspiel der Bausteine

Diese drei Bausteine sind eng miteinander verknüpft: Ein ST kann auf einem oder mehreren PPs basieren und konkretisiert deren allgemeine Anforderungen für den spezifischen TOE. Bei der Evaluierung wird geprüft, ob der TOE die im ST definierten Sicherheitsanforderungen erfüllt. Wenn der ST auf einem PP basiert, wird auch die Konformität mit dem PP überprüft.

Die Verwendung dieser Bausteine fördert die Standardisierung und Wiederverwendbarkeit von Sicherheitsanforderungen. PPs ermöglichen es Kunden, standardisierte Anforderungen an IT-Produkte zu stellen, während Hersteller ihre Produkte (TOEs) entsprechend entwickeln und dies in ihren STs dokumentieren können. Dieser strukturierte Ansatz unterstützt nicht nur den Evaluierungsprozess, sondern erleichtert auch den Vergleich und die Auswahl von IT-Sicherheitsprodukten auf dem Markt.

Sicherheitsanalyse und -spezifikation in den Common Criteria

Die Common Criteria bieten einen strukturierten Ansatz für die Sicherheitsanalyse und -spezifikation von IT-Produkten und -Systemen. Dieser Prozess folgt einer logischen Kette von der Problemdefinition bis zur konkreten Implementierung und Verifikation. Die Hauptelemente dieser Kette sind die Security Problem Definition (SPD), die Security Objectives, die Security Functional Requirements (SFRs) und die Security Assurance Requirements (SARs).

Zusammenhang zwischen der Definition des Sicherheitsproblems, den Sicherheitszielen und den Sicherheitsanforderungen

Definition des Sicherheitsproblems

Ausgangspunkt ist die Definition des Sicherheitsproblems (Security Problem Definition, SPD). Sie beschreibt das zu lösende Sicherheitsproblem, indem potenzielle Bedrohungen, relevante organisatorische Sicherheitspolitiken und Annahmen über die Einsatzumgebung identifiziert werden. Basierend auf dieser SPD werden die Security Objectives formuliert, die beschreiben, wie das identifizierte Sicherheitsproblem angegangen werden soll. Diese Ziele werden sowohl für das Target of Evaluation (TOE) selbst als auch für dessen Betriebsumgebung definiert.

Security Functional Requirements

Die Security Functional Requirements (SFR) konkretisieren die Security Objectives durch spezifische funktionale Anforderungen an den TOE. Sie beschreiben konkret, was das Produkt in Bezug auf Sicherheit leisten muss. Die SFRs umfassen verschiedene Aspekte wie Zugriffskontrolle, Authentifizierung, Audit und Kryptographie. Im Security Target (ST) werden diese Anforderungen detailliert spezifiziert, wobei sie oft aus einem Protection Profile (PP) übernommen oder an die spezifischen Bedürfnisse des TOE angepasst werden.

Security Assurance Requirements

Ergänzend legen die Security Assurance Requirements (SAR) fest, mit welcher Tiefe und Genauigkeit die Implementierung der Sicherheitsfunktionen während der Evaluation geprüft wird. Sie definieren die Tiefe und den Umfang der Prüfung und beinhalten Anforderungen an die Entwicklungsdokumentation, Tests, Schwachstellenanalyse und den Support während des Lebenszyklus. SARs bestimmen somit den Grad des Vertrauens in die korrekte Implementierung der SFRs.

Evaluation Assurance Levels

Um die Auswahl und Anwendung von SARs zu erleichtern, wurden Evaluation Assurance Levels (EAL) eingeführt. EALs sind vordefinierte Pakete von SARs, die verschiedene Vertrauenswürdigkeitsstufen repräsentieren. Sie reichen von EAL1 (funktional getestet) bis EAL7 (formal verifiziert und getestet). Höhere EALs erfordern umfangreichere und strengere Evaluierungen, sind aber auch mit höheren Kosten und Aufwand verbunden. EAL-Pakete bieten konsistente Anforderungssätze für verschiedene Vertrauenswürdigkeitsstufen und erleichtern so die Vergleichbarkeit von Evaluierungen.

Zusammenhänge der Elemente

Die Komponenten sind dabei eng miteinander verknüpft: SFRs und SARs werden im ST spezifiziert und bilden die Grundlage für die Evaluation des TOE. Die Wahl des EAL beeinflusst den Umfang und die Tiefe der Überprüfung der SFRs. Bei der Evaluation wird geprüft, ob der TOE die SFRs erfüllt und ob dies gemäß den SARs nachgewiesen wurde.

Bei der Evaluation wird geprüft, ob der TOE die SFRs erfüllt und ob dies gemäß den SARs nachgewiesen wurde.

Durch diesen strukturierten Ansatz ermöglichen die Common Criteria ein flexibles und dennoch standardisiertes Vorgehen bei der Evaluation von IT-Sicherheit. SFRs definieren die geforderte Funktionalität, SARs legen die Prüftiefe fest und EALs bieten standardisierte Vertrauenswürdigkeitsstufen. Dies ermöglicht eine umfassende und vergleichbare Bewertung der Sicherheit von IT-Produkten und -Systemen.

Der Evaluationsablauf in den Common Criteria

Der klassische Evaluationsablauf beginnt mit der Erstellung eines Security Targets (ST) durch den Hersteller des zu evaluierenden Produkts (Target of Evaluation, TOE). Das ST definiert die Sicherheitsziele und -funktionen des TOE. Optional kann das ST auf einem oder mehreren Protection Profiles (PPs) basieren, die allgemeine Sicherheitsanforderungen für eine Produktklasse festlegen. PPs sind nicht zwingend erforderlich, können aber die Vergleichbarkeit und Standardisierung fördern.

Der Evaluator prüft zunächst das ST auf Vollständigkeit und Konsistenz. Anschließend wird der TOE gegen die im ST definierten Anforderungen evaluiert. Dies umfasst die Überprüfung der Dokumentation, Tests der Sicherheitsfunktionen und die Bewertung der Entwicklungs- und Lieferprozesse. Der Evaluator erstellt einen Evaluierungsbericht, der von einer Zertifizierungsstelle geprüft wird.

Bei einer Composite Evaluation wird ein komplexes Produkt evaluiert, das aus mehreren Komponenten besteht, von denen einige bereits separat zertifiziert wurden. Der Prozess ähnelt dem klassischen Ablauf, berücksichtigt aber zusätzlich die Wechselwirkungen zwischen den Komponenten und nutzt die Ergebnisse vorheriger Evaluierungen. Dies reduziert den Aufwand und vermeidet Doppelarbeit.

In beiden Fällen dient das ST als Referenz für die Evaluation, während PPs, falls verwendet, als Grundlage für das ST dienen und die Konformität mit den Interessen der Ersteller der PP sicherstellen. Die Evaluation prüft letztlich, ob der TOE die im ST (und indirekt in den referenzierten PPs) definierten Sicherheitsanforderungen erfüllt.

Evaluationslabore und Zertifizierungsstellen: Schlüsselakteure der Common Criteria

Prüf- und Zertifizierungsstellen spielen im Common Criteria (CC) Prozess eine zentrale Rolle und sind für die Durchführung und Validierung von Sicherheitsevaluationen entscheidend. Ihre Zusammenarbeit gewährleistet eine unabhängige, gründliche und standardisierte Evaluierung von IT-Produkten und -Systemen.

Die Prüfstellen sind für die eigentliche Evaluation des Target of Evaluation (TOE) verantwortlich. Sie prüfen das Security Target (ST) und die Dokumentation des Herstellers, testen die Sicherheitsfunktionen des TOE und erstellen den Evaluierungsbericht. Dabei arbeiten sie eng mit dem Hersteller zusammen, um Fragen zu klären und zusätzliche Informationen zu erhalten. Um ihre Unabhängigkeit und Kompetenz zu gewährleisten, müssen die Prüfstellen akkreditiert sein.

Beispiele für solche Prüfstellen sind:

Die Zertifizierungsstellen übernehmen die Rolle der Aufsicht und Qualitätssicherung im CC-Prozess. Sie überwachen den Evaluierungsprozess, überprüfen die Arbeit der Prüfstellen und stellen das endgültige Zertifikat aus. Darüber hinaus stellen sie die Einhaltung nationaler und internationaler Standards sicher und vertreten ihr Land im Common Criteria Recognition Arrangement (CCRA). In einigen Fällen sind sie auch für die Akkreditierung von Prüfstellen zuständig.

Bekannte Zertifizierungsstellen sind:

Das Zusammenspiel zwischen Prüfstellen und Zertifizierungsstellen ist für den CC-Prozess entscheidend. Während die Labore die technische Detailarbeit leisten, überwachen die Zertifizierungsstellen den Prozess und sichern die Qualität.

Ein typischer Ablauf sieht wie folgt aus: Ein Hersteller beauftragt eine akkreditierte Prüfstelle, sein Produkt zu bewerten. Die Prüfstelle führt die Prüfung durch und legt den Bericht der Zertifizierungsstelle vor. Die Zertifizierungsstelle prüft den Bericht, kann Rückfragen stellen oder zusätzliche Tests anfordern und stellt bei erfolgreicher Prüfung das CC-Zertifikat aus.

Dieses System gewährleistet eine unabhängige, gründliche und standardisierte Bewertung der Sicherheit von IT-Produkten und -Systemen. Es trägt dazu bei, das Vertrauen in die evaluierten Produkte zu stärken und ermöglicht eine internationale Anerkennung der Zertifizierungen im Rahmen des CCRA.

Unterstützung bei der Umsetzung und Zertifizierung

Die Common Criteria (ISO/IEC 15408) sind ein international anerkanntes Rahmenwerk zur Bewertung der Sicherheit von IT-Produkten – insbesondere dort, wo eine formale Zertifizierung gefordert oder strategisch sinnvoll ist. Der Weg dorthin ist oft aufwendig: von der Definition des Sicherheitsziels bis zur erfolgreichen Evaluierung durch eine Prüfstelle.

Secuvise unterstützt Hersteller bei der Umsetzung der Common Criteria – von der Auswahl geeigneter Schutzprofile über die Erstellung der erforderlichen Dokumentation bis hin zur Koordination des Evaluierungsprozesses. Dabei legen wir Wert auf eine Umsetzung, die sowohl den regulatorischen Anforderungen entspricht als auch mit den internen Entwicklungsprozessen vereinbar ist.

Wenn Sie überlegen, eine CC-Zertifizierung durchzuführen oder vorbereiten zu lassen, stehen wir Ihnen mit fachlicher und methodischer Unterstützung zur Seite.

Weitere Informationen finden Sie unter: secuvise.com