Common Criteria: Version 3.0 in Kürze

Ordnungsmerkmale

erschienen in: <kes> 2004#4, Seite 39

Rubrik: BSI-Forum

Schlagwort: Common Criteria

Zusammenfassung: Die CCIMB-Arbeitsgruppe und die ISO arbeiten zur Zeit intensiv an der Weiterentwicklung der Common Criteria (CC). Die Veröffentlichung der neuen Version 3.0 ist für das Jahr 2005 geplant. Ziel dieser Überarbeitung ist es, die Attraktivität und Wirtschaftlichkeit von CC-Zertifizierungen zu erhöhen. Der aktuelle Stand der Überarbeitung wird auch auf der 5. internationalen Common Criteria Konferenz (ICCC) in Berlin zentrales Thema sein.

Autor: Von Dr. Markus Mackenbrock, BSI

Die Zertifizierung von IT-Produkten und -Systemen auf Basis von formalen Kriterien ist eine wichtige Aufgabe des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Entwicklung von IT-Sicherheitskriterien für die Zertifizierung ist im BSI-Errichtungsgesetz geregelt. Deutsche wie ausländische Firmen können auf dieser Basis in einem verlässlichen Rahmen die Sicherheitseigenschaften ihrer Produkte von einer neutralen und unabhängigen Instanz zertifizieren lassen.

Die Einführung der CC Version 2.1 in Deutschland hat gezeigt, dass die CC-Zertifizierung der deutschen Wirtschaft die Möglichkeit eröffnet, IT-Sicherheitszertifikate auf der Basis dieser weltweit einheitlichen Kriterien zu erhalten und damit am internationalen Wettbewerb teilzunehmen.

Unterstützung finden die CC bei der Mehrzahl der Mitgliedstaaten der EU, insbesondere in den Staaten, die die CC entweder selbst entwickelt haben oder sie im Rahmen der Anerkennung von Zertifikaten anwenden. Auch bei internationalen Organisationen wie NATO, WEU, Internationale Atomenergiebehörde, Eurosmart und so weiter gewinnen die CC mehr und mehr an Bedeutung.

----------Anfang Textkasten----------

Hintergrund der Common Criteria

Jede vergleichbare Zertifizierung muss auf Basis anerkannter Kriterien erfolgen. IT-Sicherheitskriterien formulieren einerseits Anforderungen an informationsverarbeitende Produkte und Systeme im Hinblick auf das Sicherheitsziel, andererseits aber auch Anforderungen an den Prüfvorgang selbst (Methodologie).

Für die Prüfung und Bewertung der Sicherheit von Informationstechnik (IT) gibt es den Internationalen Standard ISO/IEC 15408 (Common Criteria, CC), der zum 1. Dezember 1999 von der Internationalen Standardisierungsorganisation (ISO) veröffentlicht worden ist. Diese Kriterien sind nicht nur Grundlage für die systematische Prüfung (Evaluation) von IT-Sicherheit, sondern bieten den IT-Herstellern auch einen Maßstab für mögliche Sicherheitsmaßnahmen in ihren Produkten. Durch die Evaluierung und Zertifizierung auf der Grundlage der international anerkannten Sicherheitskriterien CC wird festgestellt, ob diese Produkte tatsächlich über angemessene Sicherheitseigenschaften verfügen. Das CC-Zertifikat unterstützt den Anwender bei der Entscheidung zur Auswahl eines IT-Produkts in einer bestimmten Einsatzumgebung. Für den Hersteller bedeutet ein Zertifikat die Bestätigung einer bestimmten Sicherheitsfunktionalität seines Produktes durch eine unabhängige neutrale Stelle.

Im Mai 2000 wurde zwischen verschiedenen nationalen Zertifizierungsstellen ein Abkommen zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten auf Basis der CC geschlossen. Dieses Abkommen (CCRA) betrifft Zertifikate für Schutzprofile und Produkte bis zu einer Prüftiefe EAL4. Beteiligt sind die Länder: Australien/Neuseeland, Deutschland, Frankreich, Japan, Kanada, USA und Großbritannien.

Des Weiteren verpflichten sich zahlreiche Länder CC-Zertifikate der oben genannten Stellen einseitig anzuerkennen: Finnland, Griechenland, Israel, Italien, Niederlande, Norwegen, Österreich, Schweden, Spanien, Ungarn, Türkei.

----------Ende Textkasten----------

Fortentwicklung der Common Criteria

Zur Fortentwicklung der CC wurde von den auf Basis der CC zertifizierenden nationalen Stellen die CCIMB-Arbeitsgruppe gegründet (Common Criteria Interpretations Management Board), die in Zusammenarbeit mit der ISO die CC überarbeitet. Grundlage dieser Überarbeitungen ist eine Vielzahl von Interpretationsanfragen von Anwendern der CC, insbesondere von Prüfstellen. Diese Anfragen und Anregungen resultieren weitestgehend aus den bei Zertifizierungsverfahren gewonnenen Erfahrungen. War es das Ziel der CC Version 2.1 eine hohe Flexibilität bei der Kriterienanwendung sowie eine Kompatibilität zu den Vorläuferkriterien (TCSEC, ITSEC, CTCPEC) zu garantieren, so zielt die jetzige Überarbeitung einerseits auf eine eindeutige und optimale Anwendung der CC hin, andererseits werden aber auch verstärkt wirtschaftliche Aspekte berücksichtigt wie zum Beispiel der Verzicht auf redundante Anforderungen. Schließlich haben sich in den letzten Jahren auch die Anwendungsgebiete (Produkttypen) der CC-Zertifizierungen geändert.

Insbesondere in Deutschland und Frankreich werden in hohem Maße Smartcards evaluiert (z. B. zur elektronischen Signatur, zum digitalen Tachographen oder aus dem Bankenbereich). Diese Produktgruppe unterscheidet sich von bis dahin üblichen Zertifizierungen für Betriebssysteme und Applikationen und weist Besonderheiten auf, sowohl bei ihrer Herstellung als auch bei der Anwendung. Um bei Smartcardzertifizierungen die konsistente Anwendung der CC bei verschiedenen Prüf- und Zertifizierungsstellen zu gewährleisten, haben die europäischen Zertifizierungsstellen abgestimmte Interpretationen entwickelt und veröffentlicht. In diese Interpretationen und Richtlinien sind auch Vorstellungen interessierter Hersteller und Prüfstellen (organisiert in eEurope- bzw. Nachfolge-Arbeitsgruppen) mit eingeflossen. Diese so genannten CC Supporting Documents sind auf den Websites der nationalen Stellen sowie auf der internationalen CC-Website [1] veröffentlicht. Sie bilden eine zusätzliche Basis für die Überarbeitung der CC.

An der CC-Fortentwicklung beteiligt Stellen

Politische und wirtschaftliche Bedeutung

Die am internationalen Abkommen zur gegenseitigen Anerkennung beteiligten Stellen arbeiten in der Regel konstruktiv zusammen, vertreten aber grundsätzlich ihre eigenen politischen und wirtschaftlichen Interessen. Dies wirkt sich auch auf die Zertifizierung von IT-Sicherheitsprodukten aus. Da die Prüfkriterien die gemeinsame Basis für die Zertifizierung bilden, kann an dieser Stelle von den an der Entwicklung der Kriterien Beteiligten der größte Einfluss auf die Zertifizierung und damit auf den internationalen IT-Sicherheitsmarkt ausgeübt werden. Im Extremfall können dabei ganze Firmen und Wirtschaftszweige in ihrer Existenz betroffen sein. Dies gilt insbesondere auch für die Abstimmung von Interpretationen und Richtlinien für bestimmte Produktgruppen (z. B. der EU-Direktive zum digitalen Tachographen oder bei Zertifizierungen für die NATO). Infolgedessen ist die Abstimmung mit den internationalen Partnern nicht immer einfach und es wird viel Verhandlungsgeschick verlangt, einerseits die Interessen der nationalen Zertifizierungsstelle zu wahren und andererseits die eigenen nationalen Prüfstellen und Hersteller zu schützen.

In den USA werden seit Juli 2002 für den Einsatz von Produkten im Behördenbereich sowie des Militärs nur noch Produkte mit CC-Zertifikat beschafft; dies gilt sogar für Produkte, die typischerweise nicht unbedingt als IT-Sicherheitsprodukte bezeichnen werden, wie beispielsweise digitale Fotokopierer. Darüber hinaus fördert die Erstellung von Schutzprofilen (Protection Profiles, PP) die Nachfrage nach CC-Zertifikaten. Schutzprofile werden in den USA als Bestandteil des Lastenheftes bei öffentlichen Ausschreibungen geführt. Derzeit werden für die verschiedensten Produktklassen Sicherheitskonzepte auf Basis von Schutzprofilen geschrieben. Durch das große Engagement der USA bei der Erstellung von Schutzprofilen für ausgewählte Produktklassen im Behördenumfeld erhalten die amerikanischen Behörden eine einfache Orientierungshilfe über die entsprechende Sicherheitsleistung zu beschaffender Produkte. Es ist davon auszugehen, dass auch bei der Erstellung dieser Schutzprofile primär die Interessen der amerikanischen Hersteller berücksichtigt werden.

[Faksimile-Auszug: FACT SHEET NSTISSP No. 11 - 'By July 2002 - the acquisition of all COTS IA and IA-enabled IT products to be used on systems specified, shall be limited only to those which have been evaluated and validated...']
Anforderungen der amerikanischen Regierung zur Beschaffung von IT-Produkten

Diese Anforderungen haben zur Folge, dass Hersteller von IT-Produkten weltweit gezwungen werden, sofern sie auf dem amerikanischen Markt mitbieten möchten, sich einem Zertifizierungsverfahren zu unterziehen. Ansonsten ist in den USA mit Wettbewerbsnachteilen zu rechnen. Dabei haben die Europäer das Nachsehen, wenn sie sich nicht an der Erstellung von Schutzprofilen beteiligen und die CC-Zertifizierung vernachlässigen.

Für die Wahrung der deutschen Interessen bei der Kriterienentwicklung seien hier folgende Punkte genannt:

Grundsätzlich sollte Deutschland auf internationalem Parkett mit nur einer Stimme sprechen. Bei einer Zersplitterung würde Deutschland unter erheblichen Akzeptanzproblemen bei den internationalen Partnern und im globalen Wettbewerb leiden. Dadurch entstehen nicht hinnehmbare Nachteile für die deutsche Wirtschaft.

----------Anfang Textkasten----------

Internationale Common-Criteria-Konferenz in Berlin

Die am CC-Projekt beteiligten Länder führen seit dem Jahre 2000 jährlich eine mehrtägige internationale Konferenz durch, bei der die neuesten Entwicklungen zu den CC und zur Zertifizierung vorgestellt und diskutiert werden. Die diesjährige International Common Criteria Conference (ICCC [3]) findet vom 28.–30. September in Berlin statt. Sie wird mit einer weiteren internationalen Konferenz zum Thema IT-Sicherheit kombiniert, der Information Security Solutions Europe (ISSE, [4]). Beide Konferenzen finden zeitgleich statt und können mit nur einer Eintrittskarte besucht werden.

Schwerpunktthemen der 5. ICCC werden sein:

Geplant sind drei Tracks zu den Themen:

Technische Entwicklungen zu den Common Criteria (Track Chair: USA)

Dieser Track ist gedacht für alle Teilnehmer, die sich allgemein über die weitere Entwicklung der CC informieren wollen und behandelt die folgenden Themen:

Der wirtschaftliche Nutzen von Zertifizierungen (Track Chair: Großbritannien)

Dieser Track ist gedacht für das Management privater Firmen und Regierungsbehörden, Benutzern im Allgemeinen, Vertretern aus Forschung und Entwicklung und behandelt die folgenden Themen:

Neue Dimensionen/neue Vorgehensweisen bei der Zertifizierung (Track Chair: Niederlande)

Dieser Track ist gedacht für IT-Anwender, CC-Experten, Evaluatoren, Zertifizierer, Wissenschaftler und behandelt die folgenden Themen:

Weitere Informationen zur Registrierung sowie zum Programm sind zu finden auf der BSI-Website [2] beziehungsweise auf der entsprechenden Website zur Konferenz [3].

----------Ende Textkasten----------

Technische Details

Das CCIMB hat in den letzten Jahren circa 260 Interpretationsanfragen (Request for Interpretation, RI) zu den CC erhalten und diskutiert. Dabei stellte sich heraus, dass es nicht immer sinnvoll ist, die einzelnen Anfragen getrennt voneinander zu beantworten. Pragmatischer ist es, diese Anfragen zu sortieren und themenweise abzuarbeiten. Hierbei wurden Schwerpunktthemen gebildet und von den internationalen Partnern im Rahmen eines "Lead Nation Concepts" übernommen.

Bei der Überarbeitung wurde immer darauf geachtet, dass das Vertrauens- und Sicherheitsniveau der angestrebten Stufen (Evaluation Assurance Level, EAL) nicht verändert wird. Zum besseren Verständnis der CC werden in der neuen Version mehr Erklärungen und Anwendungshinweise zu den Kriterien gegeben. Bei den europäischen Partnern haben insbesondere auch wirtschaftliche Aspekte bei der Durchführung einer Evaluation eine hohe Priorität. Ziele dieser Überarbeitungen sind unter anderem:

Die wichtigsten Überarbeitungen geordnet nach Themen und Klassen der CC sind:

Evaluierung von Schutzprofilen und Sicherheitsvorgaben (Lead Nation: Niederlande und Deutschland)

Neben den oben genannten Zielen wurde hier eine starke Vereinfachung der Sicherheitsvorgaben für EAL1-Prüfungen erreicht. Auf das Schreiben umfangreicher Begründungen und Erklärungen kann bei EAL1-Evaluierungen nun verzichtet werden. Auf diese Weise werden nun EAL1-Zertifizierungen erleichtert und gefördert.

Evaluierung des Konfigurationsmanagements, der Lebenszyklusunterstützung sowie der Handbücher (Lead Nation: Deutschland)

Die vier Klassen Konfigurationsmanagement, Lebenszyklus-Unterstützung, Auslieferung und Betrieb sowie Handbücher werden neu geordnet und strukturiert und in nur zwei Klassen – nämlich Lebenszyklus-Unterstützung und Handbücher – zusammengefasst. Hierbei fließen auch Erfahrungen aus dem Bereich des IT-Grundschutzhandbuchs mit ein, insbesondere zu Informationssicherheits-Managementaspekten (ISMS). Auch die deutschen und europäischen Vorstellungen zu Smartcardevaluierungen finden Berücksichtigung (z. B. zur Vertrauenswürdigkeit bei der Produktion bzw. bei Lieferungen zwischen verschiedenen Produktionsstätten).

Überarbeitung der Klasse Entwicklung (Lead Nation: USA)

Bei den Anforderungen dieser Klasse gibt es zahlreiche minimale Änderungen. Dabei werden innerhalb dieser Klasse Umstrukturierungen vorgenommen und es werden neue Familien eingeführt. Hier spielen insbesondere Fragen zur Architektur des Produktes eine Rolle und es werden Aspekte zusammengesetzter Produkte verstärkt berücksichtigt (z. B. das Zusammenspiel von Betriebssystemen und Applikationen). Auf die Komponente RCR (Übereinstimmung der Darstellung) wird bei EAL1-Prüfungen verzichtet.

Erhaltung der Vertrauenswürdigkeit (AMA, Lead Nation: Australien und andere)

Diese relativ unpraktikable Klasse der CC Version 2.1 wird abgelöst durch ein pragmatisches Konzept zur Erhaltung der Vertrauenswürdigkeit bei kleinen Änderungen des Produktes nach erfolgter Zertifizierung. Zur Erhaltung der Gültigkeit des Zertifikats muss in Zukunft nicht mehr der komplette Zertifizierungszyklus durchlaufen werden, stattdessen wird ein stark vereinfachtes und preiswerteres Verfahren angeboten. Dieses Verfahren ist insbesondere bei Bugfixes und Patches von großem Vorteil.

Literatur

[1]
Common Criteria portal, [externer Link] www.commoncriteriaportal.org
[2]
BSI, Zertifizierung-/IT-Sicherheitskriterien, [externer Link] www.bsi.bund.de/zertifiz/
[3]
The 5th International Common Criteria Conference, [externer Link] www.iccconference.com
[4]
ISSE 2004, The Independent European ICT Security Conference and Exhibition, [externer Link] www.eema.org/isse