Startseite
Zurück zur Übersicht

Common Criteria / EAL

Common Criteria (CC) ist ein internationaler Standard zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten und -Systemen, der unter der Norm ISO/IEC 15408 veröffentlicht ist. Er wurde in den 1990er Jahren gemeinsam von Deutschland, den USA, Kanada, Frankreich und Großbritannien entwickelt, um eine einheitliche und international anerkannte Grundlage für IT-Sicherheitsbewertungen zu schaffen. Das Ziel ist es, durch unabhängige Prüfstellen nachweisbar zu bestätigen, dass ein Produkt die behaupteten Sicherheitsfunktionen tatsächlich wirksam erfüllt. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zuständige Zertifizierungsstelle.

Das zentrale Bewertungssystem der Common Criteria sind die Evaluation Assurance Levels, kurz EAL, die von EAL1 bis EAL7 reichen. Mit steigender Stufe wachsen Prüftiefe, Prüfumfang und die Anforderungen an die Methodik der Evaluation. Während EAL1 eine grundlegende Funktionsprüfung darstellt, erfordert EAL4 bereits die Analyse des Quellcodes durch spezialisierte Prüfer. Stufen ab EAL5 sind aufgrund ihrer Komplexität in der Praxis vor allem für Hochsicherheitsanwendungen in Militär und Behörden relevant. International werden Zertifikate bis EAL2 gegenseitig anerkannt; innerhalb Europas gilt die gegenseitige Anerkennung über das SOG-IS-Abkommen bis EAL4.

Im Unternehmensumfeld ist eine Common-Criteria-Zertifizierung vor allem dann relevant, wenn IT-Produkte in sicherheitskritischen Bereichen wie Behörden, Kritischer Infrastruktur oder dem Gesundheitswesen eingesetzt werden sollen. Viele öffentliche Auftraggeber in Deutschland fordern für bestimmte Produktkategorien eine CC-Zertifizierung als Voraussetzung für die Beschaffung. Auch für Hersteller von Sicherheitssoftware, Firewalls oder MDM-Lösungen ist eine Common-Criteria-Zertifizierung ein wichtiges Qualitätssignal gegenüber anspruchsvollen Kunden aus dem öffentlichen Sektor.

Ein wesentlicher Vorteil der Common-Criteria-Zertifizierung ist die objektive, von unabhängigen Stellen bestätigte Vertrauenswürdigkeit eines Produkts. Anstatt auf Herstelleraussagen angewiesen zu sein, erhalten Einkäufer und IT-Verantwortliche eine neutral geprüfte Aussage über die tatsächliche Sicherheitsleistung. Gerade in Zeiten wachsender Cyberbedrohungen und verschärfter Compliance-Anforderungen durch Regelwerke wie NIS2 gewinnt dieser unabhängige Nachweis an Bedeutung.

Für Organisationen, die IT-Produkte für den Einsatz in sicherheitskritischen Umgebungen evaluieren, ist die Common-Criteria-Zertifizierung ein zentrales Auswahlkriterium. Welche Rolle sie bei der Auswahl einer geeigneten Geräteverwaltung spielt, lässt sich dort nachlesen.