Durch die wachsende Abhängigkeit der Wirtschaft und Verwaltung von dem einwandfreien Funktionieren und der uneingeschränkten Verfügbarkeit informationstechnischer Systeme nimmt die Vertraulichkeit, Verfügbarkeit und Integrität der Daten (IT-Sicherheit) einen immer höheren Stellenwert ein.

Um einen sicheren Umgang mit Daten und informationsverarbeitenden Systemen zu gewährleisten, ist es erforderlich, der jeweiligen Gefährdungslage entsprechende Sicherheitsstandards zu entwickeln und einzuhalten. Als einheitlicher Maßstab zur Beurteilung der Sicherheit informationstechnischer Systeme dienen Kriterien für die Prüfung und Bewertung der IT-Sicherheit.

Gemäß des BSI-Gesetz (BSIG) ist es eine der übertragenen Aufgaben IT-Sicherheitskriterien zu erstellen. Daher arbeitet das BSI seit Jahren auf nationaler und internationaler Ebene in Arbeitskreisen und Standardisierungsgremien bei der Erstellung und Weiterentwicklung von IT-Sicherheitskriterien mit.

Ziel der Entwicklung von Sicherheitskriterien ist es:

• eine strukturierte Prüfung der IT-Sicherheitseigenschaften von IT-Produkten zu ermöglichen
• eine objektive Bewertung der Korrektheit und der Wirksamkeit der Sicherheitseigenschaften dieser IT-Produkte durch eine neutrale Instanz zur Evaluierung und zur Zertifizierung (im Gegensatz zur Herstellererklärung) zu ermöglichen,
• Herstellern eine Richtschnur für die Entwicklung sicherer, vertrauenswürdiger Systeme zu bieten eine objektive Bewertung dieser Systeme von einer neutralen und kompetenten Instanz (im Gegensatz zur Herstellererklärung) zu ermöglichen und
• die Anwender und Benutzerinnen insbesondere nach Anwendung der Sicherheitskriterien durch bereitgestellte Zertifizierungsergebnisse bei der Auswahl eines geeigneten IT-Sicherheitsprodukts zu unterstützen.

Die aktuell für Zertifizierungsverfahren zugelassenen Kriterienversionen finden Sie in der Dokumentationsübersicht des Zertifizierungsschemas im Dokument Verzeichnisse.

Historie der Entwicklung von IT-Sicherheitskriterien:

• 2022 Common Criteria Version CC:2022 Release 1 und Evaluation Methodology CEM:2022 Release 1
• 2022 Common Criteria ISO/IEC 15408-X:2022 und Evaluation Methodology ISO/IEC 18045:2022
• 2006 Common Criteria Version 3.1 und Evaluation Methodology CEM Version 3.1
• 2005 Common Criteria Version 2.3 und Evaluation Methodology CEM Version 2.3
• 1998/99 Common Criteria Version 2.0 und CEM Teil 2: Evaluation Methodology (Engl.), Version 1.0
• 1991 Information Technology Security Evaluation Criteria ITSEC und ITSEM
• 1989 Deutsche IT-Sicherheitskriterien (ITS)
• 1983 Trusted Computer Security Evaluation Criteria Orange Book – TCSEC