Die deutschen IT-Sicherheitskriterien und deren Methodologie wurden zwischen 1989 und 1990 von der damaligen Zentralstelle für Sicherheit in der Informationstechnik (ZSI) entwickelt und veröffentlicht.

In den Kriterien sind 10 Funktionalitätsklassen beschrieben, wobei die ersten 5 denen des Orange-Book entsprechen. Die Kriterien sind für weitere Funktionalitätsklassen offen. Als ein Maß der Vertrauenswürdigkeit in die beschriebene Funktionalität wurden 8 hierarchische Qualitätsstufen Q0 – Q7 eingeführt. Die Qualitätsstufe Q0 stellt die niedrigste und Q7 die höchste Qualitätsstufe dar. Dieses in den deutschen IT-Sicherheitskriterien erstmals eingeführte Konzept der Trennung von Funktionalität und Prüftiefe (Qualitätsstufe) findet sich sowohl in ITSEC--Information Technology Security Evaluation Criteria als auch in Common Criteria wieder.

Die Deutschen IT-Sicherheitskriterien unterliegen keinerlei Aktualisierung und Pflege mehr und stehen für Zertifizierungsverfahren nicht mehr zur Verfügung.

• IT-Sicherheitskriterien auf deutsch (PDF)
• IT-Sicherheitskriterien auf englisch (PDF)
• Methodologie zu den IT-Sicherheitskriterien auf deutsch (PDF)
• Methodologie zu den IT-Sicherheitskriterien auf englisch (PDF)