Sicherheitskriterien

Funktion
Sicherheitskriterien sind Regelwerke mit normativer Kraft, durch welche Anforderungen an die Sicherheit von Produkten und Dienstleistungen gestellt werden. In der Branche existieren einige Institutionen, sowohl öffentlicher als auch privatrechtlicher Natur, die sich mit der Frage um Erneuerung und Weiterentwicklung von Sicherheitsprodukten befassen. Im Folgenden werden mit der ITSEC und der Common Criteria zwei große und europaweit gültige Kriterienmaßstäbe erläutert. 
ITSEC
Das Kürzel ITSEC steht für Information Technology Security Evaluation Criteria. Die darin festgehaltenen Kriterien beziehen sich auf die Informationssicherheit. Durch Informationssicherheit soll die Vertraulichkeit, Verfügbarkeit und Integrität von Netzwerken sichergestellt werden. Einzelne Bestandteile werden durch eine Reihe technischer Schutzmaßnahmen vor Manipulation, Missbrauch und unbefugtem Zugriff geschützt. Die konkreten Schutzmaßnahmen richten sich dabei nach der allgemein gefassten ISO/IEC 27000-Reihe sowie den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutz-Geboten. Die Bezeichnung Informationssicherheit setzt sich aus mehreren Feldern zusammen. Sie besteht aus der IT-Sicherheit, dem Datenschutz, sowie der Sicherung von Daten. Derzeit existieren ITSEC und Common Criteria parallel nebeneinander. Auf mittelfristige Sicht wird die ITSEC von der allgemeingültigeren Common Criteria abgelöst werden.

Common Criteria / ISO 15408
Die sogenannte Common Criteria (kurz CC) ist angelehnt an die Richtlinie ISO 15408 und dient der Schaffung eines einheitlichen Standards für Sicherheitskriterien innerhalb Europas. So nahm die Internationale Standardisierungsorganisation (ISO) die CC im Jahr 2006 unter der Nummer 15408 in ihr Regelwerk auf. Die darin festgehaltenen Kriterien diene der gemeinsamen Prüfung und Weiterentwicklung von Produkten in Sachen Sicherheit. Seit dem Erstellten der Kriterien im Jahr 1999, wurde der Normenkatalog stetig erneuert. Die aktuelle Version trägt die Bezeichnung 3.1 und stammt aus dem Jahr 2009.

Die Common Criteria teilt sich in drei Themenbereiche auf:
– Teil 1 Einführung und allgemeines Modell
– Teil 2 Funktionale Sicherheitsanforderungen
– Teil 3 Anforderungen an die Vertrauenswürdigkeit