SQC Certification Lab 

Prüfbegleitung bei CC-Zertifizierungsverfahren

Um der wachsenden Anzahl der Zertifizierungsverfahren gerecht zu werden, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Begleitung der Prüfstellen bei den Evaluierungsverfahren teilweise an Fraunhofer-Institut FOKUS ausgelagert. Das Certification Lab (CertLab) von Fraunhofer Fokus übernimmt die Begleitung der Prüfstellen bei der Evaluierung eines Software-Produktes bis zum internationalen Standard EAL 4 (Evaluation Assurance Level). Während des gesamten Zertifizierungsverfahrens liegt die Verfahrenshoheit beim BSI.

Als nationale IT-Sicherheitsbehörde ist es das Ziel des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die IT-Sicherheit in Deutschland voran zu bringen. Dabei ist das BSI der zentrale IT-Dienstleister des Bundes, wendet sich auch an Hersteller sowie die privaten und gewerblichen Nutzer und Anbieter von Informationstechnik.

Das BSI erteilt Sicherheitszertifikate für informationstechnische Produkte wie Smart Cards, Smart Meters, Betriebssysteme, Datenbanken und Firewalls. Die Erteilung eines solchen Zertifikates erfolgt nach erfolgreicher Prüfung und Bewertung des IT-Produktes im sogenannten Zertifizierungsverfahren. Dieses Verfahren setzt sich aus drei Phasen zusammen: Antragstellung, Evaluierung und Zertifizierung. Der Hersteller stellt einen Antrag auf Zertifizierung seines Produktes und beauftragt eine vom BSI anerkannte, externe Prüfstelle mit der Evaluierung, ob das Produkt den in den CC festgelegten Sicherheitskriterien entspricht.

CertLab Infografik
Zertifizierungsprozess gemäß Common Criteria Fraunhofer FOKUS

Die "Common Criteria for Information Technology Security Evaluation"

Die "Common Criteria for Information Technology Security Evaluation" (CC, ISO/IEC 15408) ist ein international anerkanntes Prüfkriterienwerk zur Bewertung von IT-Sicherheitsprodukten. Die Common Criteria (CC) geben Hinweise und stellen Anforderungen auf für eine geeignete Darstellung der IT-Sicherheitsleistung (Security Target) des Produktes, geben Funktionsblöcke (SFRs, Security Functional Components) zur Formulierung der Sicherheitsfunktionen vor und beschreiben Vertrauenswürdigkeitsfamilien und -klassen zur Darstellung der Prüfanforderungen und Prüftiefe. Die "Common Methodology for Information Security Evaluation" (CEM) stellen Anforderungen an den Evaluierungsprozess und an die Tätigkeiten der Evaluatoren auf.

Im Rahmen des CC Recognition Arrangement haben die nationalen Zertifizierungsstellen ein Abkommen zur gegenseitigen Anerkennung der Prüfungsergebnisse bis EAL4 abgeschlossen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) begleitet als nationale Zertifizierungsinstanz (gemäß BSI-Gesetz) die Evaluierung durch vom BSI anerkannte Prüfstellen und sorgt dadurch für eine Vergleichbarkeit der Evaluierungsergebnisse und vertritt diese international. Der von nationalen Zertifizierungsstellen durchgeführte Prozess ist international abgestimmt; die ausgestellten Zertifikate international anerkannt.


Weiterführende Links: