Die Bedeutung der Common-Criteria-Zertifizierung
Noch nie waren der Schutz und die Sicherheit von IT-Systemen ein so dringliches Thema wie heute. Die Common-Criteria-Zertifizierung schafft hierfür gemeinsame und verlässliche Standards. So lassen sich Bedrohungen und Gefahren für die IT-Sicherheit besser einordnen und effektive Schutzmechanismen etablieren. Von zentraler Bedeutung ist dies auch für Technologien, die in explosionsgefährdeten Bereichen eingesetzt werden. Entsprechend zertifizierte Geräte wie das eigensichere Smartphone Smart-Ex 03 von Pepperl+Fuchs sind optimal vor Cyber-Bedrohungen geschützt und gewährleisten dadurch einen kontinuierlich reibungslosen Betrieb.
In einer zunehmend vernetzten und digitalisierten Welt erlangt die Sicherheit von IT-Systemen eine entscheidende Bedeutung. Sie ist unabdingbare Voraussetzung für die Kontinuität von Geschäftsprozessen und maximale Produktivität von Unternehmen. Allerdings hat sich die Bedrohungslage durch die starke Zunahme von Cyber-Angriffen in den vergangenen Jahren drastisch verschärft. Dies belegen auch die Ergebnisse einer repräsentativen Umfrage, die Bitkom Research im Auftrag des Branchenverbands der deutschen Informations- und Telekommunikationsbranche (Bitkom) im Frühjahr 2024 durchgeführt hat. Demnach haben 80 Prozent der befragten Unternehmen in den vorherigen zwölf Monaten eine Zunahme von Cyber-Attacken verzeichnet. Zu den größten Gefahren zählen dabei Datendiebstahl, Spionage und Sabotage. Zwei Drittel der befragten Firmen fühlen sich dadurch massiv in ihrer Existenz bedroht. Im Ergebnis verursachten die Cyber-Kriminellen im besagten Zeitraum einen Rekordschaden von rund 267 Milliarden Euro.
Gemeinsame Kriterien für die Bewertung der Sicherheit
Um die gravierenden Folgen für die Wirtschaft einzudämmen, bedarf es effektiver Schutzmechanismen. Dazu zählt beispielsweise auch die Common-Criteria-(CC)-Zertifizierung. Sie definiert gemeinsame und verbindliche Kriterien für die Bewertung der Sicherheit in der Informationstechnologie. Unternehmen können auf dieser Basis die Sicherheit von IT-Produkten anhand einer standardisierten Beschreibung relevanter Merkmale (Security Target) und einem Zertifizierungsschema realistisch beurteilen. Dabei besteht eine erweiterte Sicherheitsgarantie, da die CC-Zertifizierung auch eine Validierung durch Dritte vorsieht. Hierbei prüfen kompetente und unabhängig agierende, lizenzierte Institute sorgfältig, ob die entsprechenden Produkte die geforderten Sicherheitseigenschaften in vollem Umfang erfüllen.
Die Prüfungen werden von einer für Informationssicherheit zuständigen Behörde in einem am CC-Verfahren teilnehmenden Land begleitet. Einige der Cybersecurity-Tests werden dabei im direkten Beisein der Behörde durchgeführt, die nach bestandenen Tests auch das CC-Zertifikat ausstellt*. Dies gibt Unternehmen und deren Kunden die Gewissheit, dass ihre IT-Lösungen robust vor Cyber-Bedrohungen geschützt sind. Ein wichtiges Ziel beim Prüfprozess ist es auch, eventuelle Schwachstellen zu entdecken, zu analysieren und deren Ausnutzbarkeit realistisch zu beurteilen. Detailliert dokumentiert wird das Sicherheitsniveau eines geprüften Produkts im abschließenden Zertifizierungsreport.
Prinzipiell sieht die CC-Zertifizierung sieben verschiedene Stufen der Vertrauenswürdigkeit (Evaluation Assurance Level / EAL) vor. In der Norm ISO 15408 sind die Anforderungen der einzelnen EAL-Stufen an eine IT-Sicherheitsprüfung exakt beschrieben. Mit ansteigender EAL-Nummer werden die Kriterien hinsichtlich Umfang, Tiefe und Methoden der Prüfung zunehmend strenger. EAL1 definiert etwa, dass der Prüfgegenstand „funktional getestet“ wird. Die Anforderungen dieser Stufe sind dann erfüllt, wenn ein gewisses Vertrauen in den korrekten Betrieb erforderlich ist, die Sicherheitsbedrohungen jedoch nicht als schwerwiegend angesehen werden.
EAL4 beispielsweise schreibt die umfassende Evaluierung des Sourcecodes vor, sodass hierfür spezifische Entwicklungskenntnisse des Produkts erforderlich sind. EAL5 verlangt zudem formale Spezifikations- und Verifikationsprozesse, die sich mit konventionellen Entwicklungsmethoden nicht mehr realisieren lassen. EAL7 ist schließlich anwendbar auf die Entwicklung von sicherheitsrelevanten Produkten, die für den Einsatz in Situationen mit extrem hohem Risiko vorgesehen sind.
Weltweit anerkannte Zertifizierung
Ein besonderer Vorteil der CC-Zertifizierung besteht darin, dass sie internationale Wirkung entfaltet und von mehr als 30 Ländern anerkannt wird. Dies sorgt für hohe einheitliche Standards, verbessert die Akzeptanz von IT-Produkten und steigert das Vertrauen im Hinblick auf die Sicherheit in verschiedenen globalen Märkten entscheidend. Dabei bildet der CC-Normensatz die technische Grundlage für ein internationales Abkommen, das Common Criteria Recognition Arrangement (CCRA). Dessen Mitglieder haben sich zum Ziel gesetzt, die Verfügbarkeit von evaluierten, sicherheitsoptimierten IT-Lösungen und entsprechenden Schutzprofilen deutlich zu verbessern. Zudem soll der Aufwand durch die komplette Eliminierung doppelter Bewertungen der Produkte gesenkt werden. Im Ergebnis verbessern sich dadurch die Effizienz und Wirtschaftlichkeit des gesamten Evaluierungs- und Zertifizierungsprozesses für relevante IT-Produkte und Schutzprofile deutlich.
Da die Vorteile auf der Hand liegen, entscheiden sich immer mehr Unternehmen für eine CC-Zertifizierung ihrer IT-Lösungen. Besonders empfehlenswert ist dies für Produkte, die in anspruchsvollen industriellen Umgebungen wie etwa in explosionsgefährdeten Zonen zum Einsatz kommen. Auch Pepperl+Fuchs ist diesen Weg gegangen und hat sein eigensicheres 5G-Smartphone Smart-Ex 03 entsprechend zertifizieren lassen. Erreicht wird hierbei die Sicherheitsstufe EAL2, die für ein mobiles Gerät einen vergleichsweise hohen Standard bedeutet. Nur für eine hochsichere behördliche Kommunikation wären EAL3 und eine Zertifizierung nach einem entsprechend standardisierten Schutzprofil erforderlich. Die meisten namhaften Smartphone-Hersteller verfügen für ihre Produkte lediglich über eine EAL1-Zertifizierung.
Kunden profitieren von hoher Qualität und maximaler Sicherheit
Primäre Nutznießer der CC-Zertifizierung sind vor allem die Kunden. Sie können darauf vertrauen, dass das Smart-Ex 03 die Sicherheitsanforderungen gemäß EAL2 erfüllt und auch den entsprechenden Schutz vor Bedrohungen und Angriffen aus dem Cyberspace bietet. Zudem profitieren die Kunden von einer höheren Produktqualität: So führt der strenge, für die Zertifizierung erforderliche Bewertungsprozess zu deutlichen Verbesserungen in der Design-, Entwicklungs- und Testphase und somit zu einem maximal sicheren Smartphone.
Aber auch Pepperl+Fuchs selbst profitiert von der CC-Zertifizierung: Der Hersteller kann dadurch die Einhaltung international anerkannter Sicherheitsstandards nachweisen und somit das Risiko von Sicherheitsverletzungen und der damit verbundenen Haftung minimieren. Dazu kommt: Viele Branchen, insbesondere Behörden und kritische Infrastrukturen, verlangen zwingend nach Common-Criteria-zertifizierten Produkten für die Beschaffung. Die Zertifizierung belegt die Erfüllung gesetzlicher Anforderungen und Compliance-Standards, was den Zugang zu diesen Märkte erleichtert.
Fazit
Aufgrund der weltweiten Akzeptanz der Common-Criteria-Zertifizierung ist dieser Standard ein absolutes Muss für alle Unternehmen, die sicherheitsrelevante IT-Lösungen anbieten. Hersteller erhöhen die Glaubwürdigkeit ihrer Produkte, verschaffen sich Wettbewerbsvorteile und sichern das Vertrauen ihrer Kunden. Zudem schützen sie ihre Marke, reduzieren Risiken und verbessern ihre Marktposition.
