ISO 9001 Certificate
Compliance

Common Criteria (CC)

Der Zertifizierungsstandard Common Criteria (CC) reduziert die Notwendigkeit von Mehrfachevaluierungen auf internationalen Märkten. Dadurch werden die Kosten und der Aufwand für die Zertifizierungsprozesse begrenzt.

Indem sie zertifizierte, hochwertige Produkte verwenden, können Unternehmen dafür sorgen, dass sie die sichersten möglichen Lösungen einsetzen.

Der CryptoServer Se-Serie Gen2 von Utimaco ist das erste Hardware-Sicherheitsmodul auf dem Markt, das die CC-Zertifizierung nach dem Schutzprofil EN 419221-5 erhalten hat. Die u.trust Anchor-Plattform ist nun auch nach EAL4+ CC-zertifiziert.

Weitere Informationen finden Sie hier:

CryptoServer Se-Serie Gen2u.trust Anchor
ZertifizierungsberichtZertifizierungsbericht (NSCIB)
 Zertifizierungsbericht (CSA)

 

Utimaco-Zertifizierung

Die Bedeutung von Common Criteria als international anerkannter Bewertungsstandard für IT-Sicherheitsprodukte und Komponenten wie HSM

Die Common Criteria for Information Technology Security Evaluation (CC) ist ein international anerkannter Zertifizierungsstandard für die Sicherheit von IT-Produkten und -Systemen. Es wurde Mitte der 90er Jahre von Kanada, Frankreich, Deutschland, den Niederlanden, Großbritannien und den USA entwickelt.

Ziel dieser Regierungen war es, drei wichtige Standards für die Sicherheitsbewertung und ihre Kriterien zu vereinheitlichen: Die europäische ITSEC, die US-amerikanische TCSEC und die kanadische CTCPEC. Auf diese Weise müssen Produkte, die auf den internationalen Märkten verkauft werden, nicht mehr im Voraus neu bewertet werden.

Common Criteria

 

Das im Jahr 2000 unterzeichnete Common Criteria Recognition Agreement (CCRA) regelt die gegenseitige Anerkennung von CC-Zertifizierungen in verschiedenen Ländern. Die Teilnehmer verpflichten sich zu strengen und standardisierten Bewertungsprozessen, um das hohe Maß an Vertrauen in zertifizierte Produkte zu unterstützen. Sie sind bestrebt, den Bedarf an Mehrfachbewertungen und dadurch Kosten und Aufwand für Zertifizierungsprozesse zu reduzieren. Die Anzahl der bewerteten IT-Produkte ist seitdem gestiegen.

Regierungen und Unternehmen des privaten Sektors verlangen häufig eine Bewertung der gemeinsamen Kriterien. Durch das Vertrauen auf zertifizierte, hochwertige Produkte können sie sicherstellen, dass sie die sichersten Lösungen einsetzen. Dadurch können sie IT-Infrastrukturen möglichst effektiv absichern und geschäftskritische Daten schützen.

Common Criteria und eIDAS

Die US-Regierung stützt sich oft auf Produkte, die von der National Information Assurance Partnership (NIAP) gelistet werden. Die Aufnahme in die Liste erfordert eine Common Criteria-Zertifizierung. Ebenso erfordert die europäische eIDAS-Verordnung eine CC-Bewertung für elektronische Signaturen, um als „qualifizierte digitale Signaturen“ eingestuft zu werden.

Die Verordnung Nr. 910/2014 (eIDAS-Verordnung) des Europäischen Parlaments und des Rates hat die Definition eines neuen Schutzprofils ausgelöst. Das PP „Cryptographic Module for Trust Services“ wird als offizielle Norm EN 419221-5 veröffentlicht und definiert Sicherheitsanforderungen auf dem Sicherheitsniveau EAL4+.

Die Hardware-Sicherheitsmodule von Utimaco sind die ersten HSM auf dem Markt, die die CC-Zertifizierung erhalten haben

Anwendungen wie Authentifizierung, elektronische Signaturen und Verschlüsselung erfordern starke und sicher verwaltete kryptografische Schlüssel. HSMs bieten höchste Sicherheit beim Erzeugen, Speicherung, Verwaltung und Außerbetriebnahme hochwertiger kryptographischer Schlüssel.

Der Utimaco CryptoServer Se-Series Gen2 ist das erste Hardware-Sicherheitsmodul, das nach dem Schutzprofil EN 419 221-5 CC-zertifiziert wurde. Mit dieser Evaluierung wollen wir sicherstellen, dass Trust Service Provider (TSP) ihren Kunden eIDAS-konforme Lösungen anbieten können. Mit der aktuellen CC-Zertifizierung bescheinigt Utimaco die solide Sicherheitsarchitektur der u.trust Anchor-Plattform und die starke Trennung zwischen containerisierten HSM.

Benötigt Ihre Anwendung ein CC-zertifiziertes HSM? Kontaktieren Sie uns unter .

Wir freuen uns darauf, Ihre Bedürfnisse zu erfahren und die passende Lösung zu finden.

Common Criteria-Schlüsselbegriffe und Abkürzungen, die Sie kennen sollten

  • Das Ziel der Bewertung (TOE) ist das Produkt oder System, das anhand der CC-Anforderungen bewertet wird.
  • Die allgemeine Funktionalität und insbesondere die Sicherheitsfunktionsanforderungen (SFR) des TOE sind in einem Sicherheitsziel (ST) beschrieben. Dieses Sicherheitsziel basiert vorzugsweise auf einem anerkannten Protection Profile (PP) oder kann alternativ vom TOE-Hersteller frei definiert werden.
  • PPs fassen Funktions- und Sicherheitsanforderungen für einen bestimmten Produkttyp zusammen, wie etwa eine Smartcard oder ein Hardware-Sicherheitsmodul (HSM). Oder alternativ für ein Gerät mit einer Funktionalität speziell für den Anwendungsfall, wie etwa ein Gerät für Sicherheit bei der Post. Ziel ist es, mehrere Produkte und deren Zertifizierungen miteinander vergleichbar zu machen.

Eine CC-Bewertung überprüft die Sicherheitsmerkmale des Ziels, um die Angaben über das Ziel der Bewertung im Sicherheitsziel zu bestätigen. Zur Qualifizierung und Bewertung des Vertrauens, das man in die Sicherheitsmerkmale eines Produkts setzen kann:

  • Sicherheitsanforderungen (Security Assurance Requirements, SARs) beschreiben die Maßnahmen, die ergriffen werden, um die Übereinstimmung eines IT-Produkts mit den beanspruchten Sicherheitsmerkmalen oder -niveaus zu gewährleisten.
  • Sicherungsstufen der Bewertung (EALs) entsprechen einer Gruppe von SARs. Sie gehen von EAL 1 bis EAL 7 und geben Einblick, wie umfangreich und rigoros eine Bewertung durchgeführt wurde.
  • EAL 1 ist das grundlegendste und am billigsten durchzuführende Niveau.
  • EAL 7 ist die strengste und anspruchsvollste Ebene und mit höheren Kosten und mehr Input verbunden.

Die CCRA legt unter anderem fest, dass Bewertungen mit Sicherungsniveau bis EAL4 in allen teilnehmenden Ländern gegenseitig anerkannt werden. In den meisten Fällen führen höhere EAL dazu, dass die bestimmten Anforderungen des jeweiligen Staates berücksichtigt werden müssen.

Kontakt

Ihre Fragen beantworten wir sehr gerne.

Wie können wir Ihnen helfen?

Sprechen Sie mit einem unserer Spezialisten und erfahren Sie, wie Utimaco Sie unterstützen kann.
Sie haben zwei verschiedene Arten von Downloads ausgewählt, so dass Sie verschiedene Formulare absenden müssen, die Sie über die beiden Tabs auswählen können.

Ihre Download-Sammlung:

    Direkt nach dem Absenden des Formulars erhalten Sie die Links zu den von Ihnen ausgewählten Downloads.

    Ihre Download-Sammlung:

      Für diese Art von Dokumenten muss Ihre E-Mail Adresse verifiziert werden. Sie erhalten die Links für die von Ihnen ausgewählten Downloads per E-Mail, nachdem Sie das unten stehende Formular abgeschickt haben.

      Downloads von Utimaco

      Besuchen Sie unseren Download-Bereich und wählen Sie aus: Broschüren, Datenblätter, White-Papers und vieles mehr. 

      Fast alle können Sie direkt ansehen und speichern (indem Sie auf den Download-Button klicken).

      Für einige Dokumente muss zunächst Ihre E-Mail-Adresse verifiziert werden. Der Button enthält dann ein E-Mail-Symbol.

      Download via e-mail

       

      Der Klick auf einen solchen Button öffnet ein Online-Formular, das Sie bitte ausfüllen und abschicken. Sie können mehrere Downloads dieser Art sammeln und die Links per E-Mail erhalten, indem Sie nur ein Formular für alle gewählten Downloads ausfüllen. Ihre aktuelle Sammlung ist leer.