ISO 9001 Certificate
Compliance

Common Criteria (CC)

Der Common Criteria (CC)-Zertifizierungsstandard macht mehrfache Bewertungen in internationalen Märkten überflüssig. In der Folge sinken Kosten und Aufwand für Zertifizierungsprozesse.

Unternehmen, die auf zertifizierte, hochwertige Produkte setzen, können sicher sein: Ihre Lösungen entsprechen dem höchsten Sicherheitsstandard. Der Utimaco CryptoServer Se-Serie Gen2 ist das einzige HSM das gemäß dem Schutzprofil EN 419221-5 evaluiert und CC-zertifiziert ist.

 


Utimaco Zertifizierung

Die Bedeutung von Common Criteria als international anerkannter Evaluierungsstandard für IT-Sicherheitsprodukte und -komponenten wie HSM

Die „Common Criteria for Information Technology Security Evaluation“ (kurz Common Criteria, CC) ist ein international anerkannter Zertifizierungsstandard zur Bewertung der Sicherheit von IT-Produkten und -Systemen. Entwickelt wurde der Standard Mitte der 1990er Jahre von Kanada, Frankreich, Deutschland, den Niederlanden, Großbritannien und den USA.

Ziel dieser Staaten war es, die drei wichtigsten Normen für Sicherheitsbewertungen und deren Kriterien zu vereinheitlichen: die europäische ITSEC, die US-amerikanische TCSEC und die kanadische CTCPEC. Auf diese Weise wollten sie erreichen, dass auf dem internationalen Markt angebotene Produkte nicht für jeden Markt neu evaluiert werden müssen.

Common Criteria

 

Das im Jahr 2000 unterzeichnete Common Criteria Recognition Agreement (CCRA) regelt die gegenseitig anerkannten CC-Zertifizierungen in verschiedenen Ländern. Die Teilnehmer verpflichten sich zu strengen und standardisierten Evaluierungsprozessen, um das hohe Maß an Vertrauen in zertifizierte Produkte zu stärken. Die Notwendigkeit mehrfacher Evaluationen soll verringert und dadurch die Kosten und den Aufwand für den Zertifizierungsprozess reduziert werden. Die Anzahl der evaluierten IT-Produkte ist seither stetig angestiegen.

Regierungen und Privatunternehmen verlangen häufig Common-Criteria-Evaluierungen. Mit zertifizierten, hochwertigen Produkten stellen sie sicher, dass sie Lösungen nach höchsten Sicherheitsstandards implementieren. Folglich können sie ihre IT-Infrastrukturen auf die effektivste Weise sichern und ihre geschäftskritischen Daten schützen.

Common Criteria und eIDAS

Die US-Regierung vertraut häufig auf Produkte, die bei National Information Assurance Partnership (NIAP) gelistet sind. Die Aufnahme setzt eine Common Criteria-Zertifizierung voraus. Auch die europäische eIDAS-Verordnung verlangt eine CC-Evaluierung, damit elektronische Signaturen als „qualifizierte digitale Signaturen“ eingestuft werden.

Die Verordnung Nr. 910/2014 (eIDAS-Verordnung) des Europäischen Parlaments und Rats hat die Definition eines neuen Schutzprofils angestoßen. Das Schutzprofil „Cryptographic Module for Trust Services“ (Sicherheitsmodul für Trust Services) wird als offizielle Norm EN 419221-5 veröffentlicht und definiert die Sicherheitsanforderungen auf Assurance Level EAL4+.

Utimaco Hardware-Sicherheitsmodul als einziges CC-zertifiziert

Anwendungen wie Authentifizierung, elektronische Signaturen und Verschlüsselung erfordern starke und sicher verwaltete kryptografische Schlüssel. HSM sorgen für ein Höchstmaß an Sicherheit: Sie generieren, speichern und verwalten hochwertige kryptografische Schlüssel und nehmen diese schließlich außer Betrieb.

Der Utimaco CryptoServer Se-Serie Gen2 ist das einzige HSM das gemäß dem Schutzprofil EN 419221-5 evaluiert und CC-zertifiziert ist. Alle weiteren Information im offziellen Common Criteria Portal. Mit dieser Evaluation möchten wir sicherstellen, dass Trust Service Provider (TSP) ihren Kunden eIDAS-konforme Lösungen anbieten können.

Erfordert Ihre Anwendung ein CC-zertifiziertes HSM? Kontaktieren Sie uns unter .

Wir freuen uns darauf, mehr über Ihre Anforderungen zu erfahren und die passende Lösung für Sie zu finden.

 

Common Criteria – Schlüsselbegriffe und Abkürzungen, die Sie kennen sollten

  •  Der Evaluationsgegenstand (EVG) oder engl. Target of Evaluation (TOE) ist das Produkt oder System, das anhand der CC-Anforderungen evaluiert wird.
  • Die allgemeine Funktionalität und insbesondere die funktionalen Sicherheitsanforderungen (engl. Security Functional Requirements, SFR) des EVG sind in den Sicherheitsvorgaben (engl. Security Target, ST) beschrieben. Diese Sicherheitsvorgaben basieren vorzugsweise auf einem anerkannten Schutzprofil (engl. Protection Profile, PP), können alternativ aber auch vom EVG-Hersteller frei definiert werden.
  • Das PP fasst die Funktions- und Sicherheitsanforderungen für einen bestimmten Produkttyp zusammen, z. B. eine Smartcard oder ein Hardware-Sicherheitsmodul (HSM), oder alternativ für ein Gerät mit anwendungsspezifischer Funktion, z. B. eine postalische Sicherheitsvorrichtung. Dies verfolgt den Zweck, mehrere Produkte und deren Zertifizierungen miteinander vergleichbar zu machen.

Die CC-Evaluierung prüft die Sicherheitsfunktionen des Evaluationsgegenstands, um die Angaben zum EVG in den Sicherheitsvorgaben zu bestätigen. Das Maß an Vertrauen in die Sicherheitsfunktionen eines Produkts  wird wie folgt bewertet:

  • Die erforderlichen Sicherheitsgarantien (engl. Security Assurance Requirement, SAR) beschreiben, welche Maßnahmen ergriffen wurden, um die Compliance eines IT-Produkts mit den angegebenen Sicherheitsfunktionen oder -stufen zu gewährleisten.

  • Die Prüftiefe (Evaluation Assurance Level, EAL) entspricht einer Gruppe von SARs. Sie reicht von EAL 1 bis EAL 7 und gibt Aufschluss darüber, wie umfassend und streng die Evaluation durchgeführt wurde.

  • EAL 1 ist die niedrigste Stufe und am günstigsten in der Umsetzung.

  • EAL 7 ist die strengste und anspruchsvollste Stufe, was mit höheren Kosten und mehr Aufwand einhergeht.

Das CCRA legt u. a. fest, dass Evaluierungen mit einer Prüftiefe bis EAL 4 von den teilnehmenden Ländern gegenseitig anerkannt werden. Höhere EALs erfordern meist die Einbeziehung der spezifischen nationalen Anforderungen.

Nehmen Sie Kontakt auf

Sprechen Sie mit einem unserer Spezialisten und erfahren Sie, wie Utimaco Ihnen helfen kann.