Common-Criteria-Zertifizierung

Die Common-Criteria-Zertifizierung beschreibt einen internationalen Standard, nach dem IT-Produkte geprüft und bewertet werden. Die Arbeit an der ersten Version des Standards begann 1993 und wurde 1999 beendet. Die Veröffentlichung erfolgte als International Standard ISO/IEC 15408.

Seit 2007 gilt Version 3.1 des Standards. Im Frühjahr 2018 waren 17 Länder berechtigt, die Common-Criteria-Zertifizierung durchzuführen - darunter Deutschland, das zu den Gründungsmitgliedern zählt. Weitere 13 Staaten nutzten die Zertifizierung, durften die Zertifikate aber nicht selbst vergeben. Eine aktuelle Liste der beteiligten Staaten kann auf der Startseite der Webpräsenz von Common Criteria eingesehen werden. 


Die Aufsicht über die Common-Criteria-Zertifizierung wird in Deutschland vom BSI durchgeführt. Die tatsächliche Zertifikatsvergabe erfolgt über vom BSI anerkannte Prüfstellen. Dazu sind unterschiedliche Nachweise zu erbringen: 
- Belege über die Erfüllung zahlreicher Sicherheitskriterien (grundsätzlich: Vertraulichkeit, Verfügbarkeit, Integrität)
- Erfüllung bestimmter Auflagen des Supports 
- Umfassende Dokumentation der Datenübertragungen 
- Nachweise über die Behandlung von sicherheitsrelevanten Zwischenfällen 
- Belege über die Umsetzung der vorgeschriebenen Testverfahren 

Grundsätzlich werden die Zertifikate aufgrund einer Evaluierung vergeben, die in allen beteiligten Ländern auf einer einheitlichen Methodik beruht. Ein Mitarbeiter der Zertifizierungsstelle wird deshalb in jeden Schritt der Prüfung eingebunden, um dies sicherzustellen. Nach Ende des Prüfverfahrens wird ein Prüfbericht erstellt, der von diesem Mitarbeiter abgenommen wird. Jener vergleicht die Ergebnisse mit denen aus anderen Zertifizierungsverfahren und erstellt einen Zertifizierungsreport - auf dieser Grundlage entscheidet die Zertifizierungsstelle über die Zertifikatsvergabe. 

Der große Vorteil der Common-Criteria-Zertifizierung 
Die beteiligten Länder haben entschieden, Zertifikate nach Common-Criteria gegenseitig anzuerkennen. Mehrfach-Zertifizierungen, die Zeit und Geld kosten, werden auf diese Weise überflüssig. Insbesondere Betreiber von länderübergreifenden Online-Shops oder sonstigen Dienstleistungen, die über das Internet wahrgenommen werden können, profitieren auf diese Weise erheblich.

Weitere Informationen

  • Kategorie: Glossar
  • Thema: Cyber Security