Die "Common Criteria for Information Technology Security Evaluation" (Common Criteria) entstanden 1999 aus einer evolutionären Fortschreibung von TCSEC und ITSEC. An der Definition beteiligt waren neben den europäischen Staaten Deutschland, Frankreich, den Niederlanden und Großbritannien auch Kanada und die USA.
Mittlerweile liegt die Version 2.1 der Common Criteria vor, die als International Standard ISO/IEC 15408 weltweit Gültigkeit besitzt. Damit verlieren die Zertifikate nationaler Organisationen zunehmend zu Gunsten der international anerkannten Common Criteria an Bedeutung. Zwar sind unabhängige Zertifikate wie die Common Criteria kein Allheilmittel, bieten Anwendern aber wichtige Entscheidungskriterien bei der Auswahl von Produkten.
Evaluierungsstufen
Die Common Criteria bestehen aus mehreren Evaluierungsstufen für Vertrauenswürdigkeit, auf denen Produkte bewertet werden. Innerhalb der Common Criteria werden diese Stufen als Evaluation Assurance Level (EAL) bezeichnet. Dabei ist EAL-1 die niedrigste und EAL-7 die höchste Stufe der Vertrauenswürdigkeit.
Stufe |
Anforderungen |
EAL-1 |
funktionell getestet |
EAL-2 |
strukturell getestet |
EAL-3 |
methodisch getestet und überprüft |
EAL-4 |
methodisch entwickelt, getestet und durchgesehen |
EAL-5 |
semiformal entworfen und getestet |
EAL-6 |
semiformal verifizierter Entwurf, getestet |
EAL-7 |
formal verifizierter Entwurf, getestet. |
Typische kommerzielle Systeme können maximal die vierte Stufe der EAL-Zertifizierung erreichen. Die drei nächsthöheren EAL-Stufen 5 bis 7 sind solchen Produkten vorbehalten, die bereits eigens mit Sicherheitstechniken entwickelt wurden.