Pressemeldung
Unabhängige EUCC-Evaluierung eines Smartcard Controllers von Infineon unterstreicht die Rolle von TÜV Informationstechnik als etablierte Prüfstelle für komplexe IT-Sicherheitsprodukte.
Die TÜV Informationstechnik GmbH hat als unabhängige Prüfstelle einen zentralen Beitrag zur praktischen Umsetzung des neuen europäischen Zertifizierungsrahmens EUCC geleistet. Im Rahmen der ersten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilten EUCC-Zertifizierung wurde ein sicherheitskritischer Smartcard Controller der Infineon Technologies AG umfassend sicherheitstechnisch bewertet.
Mit EUCC etabliert die Europäische Union erstmals ein verbindliches, europaweit anerkanntes Zertifizierungsschema für IT-Produkte mit Sicherheitsfunktionalität. Für Hersteller, Anwender und öffentliche Auftraggeber entsteht damit ein konsistenter Bewertungsrahmen, der Transparenz schafft und die Vergleichbarkeit von Sicherheitsbewertungen deutlich erhöht.
Ein wesentliches Differenzierungsmerkmal des EUCC-Schemas ist das Multi-Assurance-Konzept. Dieses erlaubt es, neben einem übergreifenden Gesamt-Assurance-Level (EAL) für das gesamte Produkt auch die Sicherheitsniveaus einzelner Komponenten gesondert auszuweisen – etwa spezifischer Hardware-Module. Gerade bei komplexen und modular aufgebauten Systemen, wie sie beispielsweise in 5G-Infrastrukturen oder hochintegrierten Sicherheitslösungen zum Einsatz kommen, ermöglicht dieser Ansatz eine realitätsnahe und nachvollziehbare Bewertung.
Im Unterschied zu bisherigen Verfahren, bei denen häufig ein einzelner Evaluationsstufenwert (z. B. EAL4) im Vordergrund stand, wird nun vermehrt die Multi-Assurance in den EUCC Verfahren eingesetzt. Die Sicherheitsanforderungen sind in funktionale Untergruppen (Sub-TSFs) gegliedert. Jede dieser Untergruppen kann ein eigenes, detailliertes Vertrauensniveau erreichen, das im Zertifikat transparent ausgewiesen wird. Dadurch wird die Sicherheitsarchitektur eines Produkts differenziert abgebildet, anstatt sie auf eine einzige Stufe zu reduzieren.
Diese Weiterentwicklung der Bewertungslogik wird durch die aktuellen Common-Criteria-Standards (CC 2022) sowie die Einführung des EUCC-Schemas gezielt unterstützt. Ziel ist es, die Vertrauenswürdigkeit von ICT-Produkten granularer, nachvollziehbarer und damit belastbarer darzustellen – sowohl für regulatorische Entscheidungen als auch für Markt- und Beschaffungsprozesse.
„EUCC ermöglicht eine neue Qualität der IT-Sicherheitsbewertung in Europa“, erklärt Kartsen Herwig, Security Evaluation and Audit bei TÜVIT. „Als Prüfstelle bringen wir unsere langjährige Common-Criteria-Expertise ein und unterstützen Hersteller dabei, komplexe Produkte transparent und EU-weit anerkannt bewerten zu lassen.“
Mit der erfolgreichen Durchführung dieser ersten EUCC-Prüfung unterstreicht TÜVIT seine Position als kompetenter Partner für anspruchsvolle Zertifizierungsverfahren und leistet einen konkreten Beitrag zur Stärkung von Vertrauen und Sicherheit in der europäischen Digitalisierung.
Die TÜV Informationstechnik GmbH (Hauptsitz in Essen, Deutschland) ist ein renommierter IT-Sicherheitsdienstleister sowie ein unabhängiges Prüfinstitut und -labor für IT-Sicherheit und Cyber-Security in der Digitalisierung. Weltweit akkreditiert, seit 1995. TÜVIT schafft durch Schwachstellenanalysen, Audits und Evaluationen Vertrauen in Sicherheitsmaßnahmen auf der Ebene von Geschäftsprozessen, Daten, Applikationen und Technologien. In der Erkennung und Reaktion auf Cyberangriffe ist TÜVIT ein schlagkräftiger Partner und sorgt für eine schnelle Wiederherstellung der Geschäftsfähigkeit. Wirtschaft, Verwaltung und Betreiber kritischer Infrastrukturen stärken so ihre regulatorische Compliance in den Handlungsfeldern Vertraulichkeit, Integrität und Verfügbarkeit sowie ihre ganzheitliche Cyber-Resilienz und IT-Sicherheit in der Lieferkette.
Gemeinsam mit ALTER TECHNOLOGY bildet TÜVIT die Business Unit Digital & Semiconductor. Der Geschäftsbereich ist eine tragende Säule im Wissensunternehmen TÜV NORD GROUP, die seit über 150 Jahren weltweit für Sicherheit und Vertrauen steht. Ingenieur:innen und IT-Security-Expert:innen sorgen in mehr als 100 Ländern dafür, dass Unternehmen in der vernetzten Welt noch erfolgreicher werden.
