*Heinz Kraus ist Geschäftsführer der Pointsec Mobile Technologies GmbH in Düsseldorf. Zuvor war Kraus CTO bei SmartForce PROKODA und als Executive Vice President der M2S Group verantwortlich für R&D und Produktion in Europa. Darüber hinaus verfügt er über langjährige Erfahrungen im Bereich Web Based Training in einer Vielzahl national und international tätiger Großunternehmen.
In sensiblen Einsatzbereichen wie Banken und Versicherungen und mehr noch im staatlichen und militärischen Sektor spielen Vertraulichkeit, Verfügbarkeit und Integrität von Hard- und Software schon immer eine große Rolle.
Vor diesem Hintergrund ist es verständlich, dass Evaluierungsorganisationen typischerweise auf amtliche Stellen zurückgehen, die ursprünglich für eine Bewertung militärischer oder staatlicher Rechnersysteme zuständig waren. Dazu zählt speziell in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Historisch betrachtet spielen in der Sicherheitsdiskussion zwei internationale Gremien eine herausragende Rolle, deren Arbeiten heute in den Common Criteria zusammengefasst sind.
TCSEC und ITSEC
Die Trusted Computer System Evaluation Criteria (TCSEC, "Orange Book") entstanden 1980 im Auftrag des US-Verteidigungsministeriums am National Computer Security Center der NSA. Einige Jahre später wurden sie um die Trusted Network Interpretation zur Einbeziehung vernetzter Systeme erweitert.
Die referenzierten Kriterien orientieren sich stark an den Sicherheitsanforderungen militärischer Systeme und eignen sich daher nur eingeschränkt zur Beurteilung kommerzieller Systeme. Dennoch spielt TCSEC noch immer für solche Anbieter eine wichtige Rolle, zu deren Kunden das amerikanische Justiz- oder Verteidigungsministerium gehören.
Das europäische Gegenstück zu TCSEC stellen die Information Technology Security Evaluation Criteria (ITSEC) dar. In ihnen fassten 1991 Deutschland, Frankreich, die Niederlande und Großbritannien ihre nationalen IT-Sicherheitskriterien zusammen.
Während TCSEC einen klaren Fokus auf die Vertrauenswürdigkeit legt, ergänzt ITSEC die Betrachtungsweise um die Funktionalität. Zudem differenziert ITSEC bei der Vertrauenswürdigkeit zwischen Korrektheit und Wirksamkeit. Bei der Evaluierung kommerzieller Software ist ITSEC daher im Vorteil.