Das BSI möchte Mitglieder im deutschen Zertifizierungsschema und Anwender über aktuelle Themen informieren.

BSI bietet Zertifizierungen nach neustem Common-Criteria-Prüfstandard an (CC:2022)

Die Zertifizierung von IT-Produkten leistet einen wichtigen Beitrag zur Erhöhung des Cyber-Sicherheitsniveaus in Deutschland. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet seit 2023 Zertifizierungen nach dem neuesten Common-Criteria-Prüfstandard an. Die neue Version des Standards erweitert die Möglichkeit, Anforderungen detaillierter zu definieren. Hierzu werden neue Konzepte wie „Multi-Assurance“, eine erweiterte Modularisierung oder die Möglichkeit von „Composition of assurance“ eingeführt, die im neuen Standard ausführlich beschrieben werden.
Das BSI empfiehlt Herstellen von IT-Produkten ausdrücklich die Nutzung des neuen Standards um neben fachlichen Aspekten auch auf das zukünftige Europäische Zertifizierungsschema EUCC vorbereitet zu sein. Neben der Weiterentwicklung der Prüfstandards legt die BSI-Zertifizierungsstelle daher einen starken Fokus auf schlanke und effiziente Prozesse im Zertifizierungsablauf.
Die neue Version dieser Kriterien wurde durch die internationale Standardisierungsorganisation (ISO) (ISO/IEC 15408-X:2022 und ISO/IEC 18045:2022) und anschließend im Common-Criteria-Anerkennungsabkommen (CCRA) adaptiert und veröffentlicht (CC:2022 Release 1 und CEM:2022 Release 1). Dies ermöglicht dem BSI nun, Zertifizierungsverfahren nach dem neuen Standard anzubieten. Gleichzeitig fallen diese neu erteilen Zertifikate auch unter die Anerkennungsabkommen CCRA und SOGIS-MRA. Überarbeitete CC-Antragsformulare finden Sie hier.
Die bisherige Version des Standards kann noch befristet weiterverwendet werden. Details zu den international abgestimmten Übergangsregelungen finden sich hier.
Zur Vorbereitung auf den neuen Standard hat das BSI seine CC-Schulung weiterentwickelt und die Neuerungen bereits integriert.

Stellungnahme zum SOG-IS MRA in Relation zum aktualisierten CCRA (July 2015)

Das deutsche Common Criteria Zertifizierungsschema des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat vor dem Hintergrund des aktualisierten CCRA die Grundsätze zur Anwendung von collaborative Protection Profiles (cPPs) im europäischen und deutschen Zusammenhang beschlossen. Internationale gegenseitige Anerkennung von Zertifikaten unter den Bedingungen des CCRA ist einerseits gebunden an Konformität zu CPPs oder erstreckt sich auf die Vetrauenswürdigkeitsstufen (Evaluation Assurance Level, EAL) 1 bis 2. Mitglieder des SOG IS-MRA erkennen Zertifikate bis inklusive EAL 4 oder höher in speziellen technischen Domänen an.

Die Rolle des SOG-IS MRA im Kontext der EU

Kompetente Stellen der Nationen kooperieren innerhalb des SOG-IS MRA auf europäischer Ebene. Daher ist SOG-IS MRA der Ansprechpartner für alle Interessengruppen, auch etwa der europäischen Kommission. Durch diesen Kreis wird eine neutrale und objektive Plattform geschaffen, die es ermöglicht, den aktuellen Vertrauensherausforderungen auf eine pragmatische Weise ergebnisorientiert zu begegnen. Im Speziellen empfiehlt das SOG-IS MRA sogenannte recommended Protection Profiles, die im Interesse aller Mitglieder sind und von der EU verpflichtend vorgeschrieben werden können. Diese sind werden von allen Mitgliedern durch einen Bestätigungsprozess harmonisiert und stärken nachhaltig das Vertrauen in eine digitale Wirtschaft und eine digitale Gesellschaft.

Zertifizierung mit hoher Vertrauenswürdigkeit

Sicherheit von IT-Produkten ist grundlegend für das Vertrauen von Bürgern, Wirtschaft und öffentlicher Verwaltung in die digitale Gesellschaft. Insbesondere der Schutz der Vertraulichkeit von Daten im Internet ist hierbei in der EU ein Anliegen. Mehrere EU Gesetzgebungen schreiben aktuell Zertifizierungen von Produkten mit hoher Vertrauenswürdigkeit vor. Die unterstützenden Protection Profiles werden von europäischen Standardisierungsorganisationen oder anderen Institutionen entwickelt, als SOG-IS MRA empfohlen veröffentlicht und von den SOG-IS MRA Mitgliedern angewandt.
Während sich das CCRA zum Ziel setzt, Evaluierungen vollständig vergleichbar und wiederholbar zu gestalten, erkennt das SOG-IS MRA an, dass speziell zum Erreichen hoher Vertrauenswürdigkeitsstufen eine Evaluierung aufwändiger ist und sich stärker der Kenntnisse und Fähigkeiten der Evaluatoren bedienen muss. Diese Expertise und Erfahrung innerhalb bestimmter Produkt Kategorien oder technischer Domänen wird in Zusammenarbeit mit der Industrie in technischen Arbeitsgruppen etabliert und wird regelmäßig durch fachliche Überwachung gewissenhaft unter den SOG-IS MRA Mitgliedern gegenseitig geprüft.
Entgegen dem CCRA erlaubt das SOG-IS MRA die gegenseitiger Anerkennung einer größeren Bandbreite von Vertrauenswürdigkeitsstufen und ermöglicht damit, wenn nötig, dass auch mittlere oder sogar hohe Vertrauenswürdigkeit erreicht werden kann. Das SOG-IS MRA ist daher dem internationalen Handel nicht nur für die Industrie aus der EU, sondern auch für nicht in der EU ansässige Hersteller von Vorteil.

Fazit

Das BSI wird selbst internationale collaborative Protection Profiles einsetzen, so diese die Anforderungen der spezifischen nationalen Beteiligten oder der europäischen Gemeinschaft (öffentliche Verwaltung, Märkte und Industrie) erfüllen. Dies kann explizit beinhalten, dass zusätzliche Sicherheitsfunktionalität oder Anpassung im Sinne höherer Vertrauenswürdigkeit benötigt werden.
Unter dem aktualisierten CCRA können Produktzertifikate gemäß einem cPP nur in exakt dem Umfang dieser PPs ausgestellt werden. Dies ergibt sich aus Anhang K.3 des CCRA. Das bedeutet, dass ein CCRA Produktzertifikat keine zusätzlichen Sicherheitsfunktionalitäten oder höhere Vertrauenswürdigkeit als vom cPP beschrieben für sich in Anspruch nehmen kann. In diesen Fällen erteilt das BSI zwei Zertifikate, basierend auf einem Evaluationsverfahren für ein Produkt. Eines ist das CCRA-Zertifikat konform zu dem cPP, das zweite, ergänzende, ist ein SOG-IS MRA-Zertifikat, welches die zusätzlichen Sicherheitsanforderungen abdeckt.
Für Evaluierungen, die nicht konform zu einem cPP sind, wird das BSI weiterhin wie zuvor gemäß des SOG-IS MRA Zertifikate oberhalb von EAL 2 wenn angemessen ausstellen und solche bis EAL 4 oder höher in definierten technischen Domänen anerkennen. Diese Zertifikate werden von den CCRA-Nationen bis EAL 2 gegenseitig anerkannt. Im Falle des Bedarfs höherer Vertrauenswürdigkeitsstufen aufgrund regulatorischer Sicherheitsanforderungen oder ähnlich starker Gründe erteilt das BSI auch Zertifikate jenseits gegenseitiger internationaler Anerkennung.