Zum Inhalt springen

CC – entdeckt, erklärt

Common Criteria

Common Criteria (CC) ist ein staatlich geführtes Zertifizierungssystem, das in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Zertifizierungsstelle hat. Durch das Arrangement on the Recognition of Common Criteria Certificates (CCRA) sind die Zertifikate in 31 Ländern anerkannt.

Was sind die Common Criteria?

Die CC stellen eine Methodik sowie einen Katalog an funktionalen Sicherheitsanforderungen (SFRs) und Anforderungen an die Vertrauenswürdigkeit (SARs) zur Verfügung, anhand derer die Funktionalität und die Vertrauenswürdigkeit des zu prüfenden Produkts beschrieben werden. Die Vertrauenswürdigkeit wird in 7 verschiedenen Stufen, Evaluation Assurance Level (EAL) 1-7, beschrieben, die unter anderem die Verwundbarkeit gegenüber unterschiedlichen Angreiferfähigkeiten sowie entsprechender Prüftiefen wiedergeben. Dadurch ergibt sich auch eine Vergleichbarkeit der Zertifizierungen in den unterschiedlichen Schemata. 

Die CC wurden 2024 von der EU und ENISA auf europäischer Ebene als Cybersecurity-Zertifizierungssystem unter dem CSA als EUCC übernommen.

Funktionalität & Vertrauenswürdigkeit

Common Criteria: Evaluierung für erfolgreiche Zertifizierungen

Professionell geprüft

TÜVIT gehört zu den weltweit führenden Prüfdienstleistern für Common Criteria (CC) und darf Prüfungen nach insgesamt 5 verschiedenen Landeschemata durchführen. Mit unseren 60 lizenzierten Prüfern haben wir über 700 Evaluationsprojekte nach CC (von EAL1 bis zu EAL7) erfolgreich abgeschlossen. Wir begleiten Kunden bei der Evaluierung von IT-Komponenten, -Produkten und -Systemen seit 1991. So sind wir in der Lage, Ihnen den jeweils besten Evaluierungsansatz zu bieten.

Kompetenz und Erfahrung seit 1991

TÜVIT ist seit 1991 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als Prüfstelle für Sicherheitsevaluierungen nach dem internationalen Standard der Common Criteria (ISO 15408) anerkannt. Darüber hinaus entwickeln die TÜVIT-Sicherheitsexperten im Auftrag des BSI und anderer Interessengruppen Schutzprofile z.B. im Umfeld biometrischer Systeme, eHealth, Datenbankmanagementsysteme und SmartMetering.

Neben der CC-Zertifizierung in Deutschland durch das BSI bietet TÜVIT auch die Möglichkeit, eine CC-Zertifizierung in Japan (JISEC), Singapur (SCCS), Katar (QCCS) oder den Niederlanden (NSCIB) abzuschließen.

Offiziell anerkannt

Anerkennungsurkunden

DOWNLOAD
Bundesamt für Sicherheit in der Informationstechnik
PDF
74 KB
JISEC
PDF
286 KB
Das Wichtigste zusammengefasst

Common Criteria - Leistungen & Themen

Unsere Leistungen im Überblick

  • CC-Evaluationen von IT-Komponenten und -Produkten in allen Evaluationsstufen (von EAL1 bis EAL7)
  • Standort-Zertifizierungen
  • Entwicklung und Evaluierung von Schutzprofilen
  • Unterstützung bei der Erstellung von Sicherheitsvorgaben und Herstellerdokumenten
  • Workshops zu den Sicherheitskriterien und zum Umfang der Evaluation (Scoping)
  • Erörterung möglicher Evaluierungsverfahren
  • Trainings unter anderem bezüglich Kriterien oder Bedrohungen

Unsere Prüfstelle deckt folgende Themengebiete ab

  • Betriebssysteme
  • Bezahlsysteme (Smart Card-Komponenten), Software- und Hardware-Evaluationen
  • Datenbanksysteme
  • hoheitliche Anwendungen (z. B. Reisepass, Personalausweis, eHealth)
  • Kommunikationssysteme
  • mobile Systeme, z. B. Smartphones
  • Netzwerkgeräte (z. B. Firewalls, VPN-Lösungen, Router)
  • Security Controller
  • Sicherheitsmodule
  • Signaturkarten, Terminals und Anwendungen
  • Smart Card Betriebssysteme
  • Smart-Meter Gateways (mit Konformitätsprüfung zu TR-03109)
  • Terminals (Gesundheitswesen und Payment)
  • zusammengesetzte Systeme, z. B. Hardware-Plattformen sowie Betriebssysteme und Anwendungen

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin
Zu den Beratungsleistungen Kontakt aufnehmen
Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen
Zu den Prüfangeboten Kontakt aufnehmen

Ihre Vorteile auf einen Blick

Erfahrung & Experten

Wir verfügen über langjährige Erfahrung mit weltweit anerkannten Prüfungen von sicherheitskritischen IT-Produkten und -Systemen. Unsere Experten bieten den jeweils besten Evaluierungsansatz - u.a. auf Englisch, Spanisch, Chinesisch und Japanisch.

Workshop

Einzigartiges Workshop-Konzept zur Identifizierung von Geschäftszielen und deren Erreichung.

Prüftiefe

Evaluierung von Hardware- und Software-Produkten nach dem Prüfbaustein AVA_VAN.5, der höchsten Prüftiefe.

Minimierte Sicherheitsrisiken

Evaluierungen und Zertifizierungen tragen dazu bei, Sicherheitsrisiken zu minimieren.

Sicherheitsnachweise

Mit unseren Evaluationen nach Common Criteria weisen Sie die notwendigen Sicherheitseigenschaften Ihrer IT-Produkte und -Systeme nach.

Anerkannter Standard

Eine Evaluierung nach Common Criteria bringt Ihnen internationale Vorteile, da der Standard weltweit anerkannt ist.

Projektbeispiele

Wir haben über 600 Evaluationsprojekte nach CC (von EAL1 bis zu EAL7) erfolgreich abgeschlossen:

Microsoft Corporation, USA

  • SQL Server (EAL4+)
  • Exchange Server (EAL4+)

SAP AG, Deutschland

  • NetWeaver (EAL4+)
  • ABAP Application Server (EAL4+)
Europa im Fokus

European Union Common Criteria (EUCC)

Sichere IT-Projekte in Europa

EUCC steht für "European Union Common Criteria" und bezieht sich auf einen Rahmen für die Bewertung und Zertifizierung der Sicherheit von IT-Produkten. Die EUCC ist Teil der Bemühungen der Europäischen Union, einheitliche Sicherheitsstandards für IT-Produkte zu schaffen, die innerhalb der EU verwendet werden. Dies soll dazu beitragen, das Vertrauen in die Sicherheit von IT-Produkten zu stärken und die Interoperabilität zwischen verschiedenen Systemen zu verbessern. Die EUCC-Zertifizierung kann für Hersteller von IT-Produkten von Vorteil sein, da sie den Zugang zu Märkten innerhalb der EU erleichtert und das Vertrauen der Kunden in die Sicherheit ihrer Produkte erhöht.