Glossar:

Common Criteria

Was sind die Common Criteria?

Die Common Criteria (ISO/IEC 15408) sind ein internationaler Standard zur Bewertung und Zertifizierung von Sicherheitsfunktionen in IT-Produkten und -Systemen. Sie legen Anforderungen, PrĂŒfprozesse und Nachweise fest, um die VertrauenswĂŒrdigkeit eines genau definierten Produkts in einer konkreten Konfiguration transparent zu belegen — skaliert ĂŒber Assurance-Level (EAL 1–7).

1. Common Criteria: Definition und Bedeutung

Common Criteria sind ein normierter Bewertungsrahmen, mit dem unabhĂ€ngige PrĂŒfstellen die Sicherheitseigenschaften eines „Target of Evaluation“ (TOE) untersuchen. Grundlage sind der ISO/IEC-15408-Standard und der zugehörige Evaluierungsprozess. Ergebnis ist eine nachvollziehbare Aussage, welchen Evaluation Assurance Level (EAL) ein Produkt in einer bestimmten Version und Konfiguration erreicht, einschließlich dokumentierter Annahmen, Einsatzumgebungen und EinschrĂ€nkungen.

2. Aufbau der Common Criteria: Bausteine, Anforderungen, EAL

Der Standard strukturiert SicherheitsansprĂŒche und Nachweise in wiederverwendbare Bausteine. Hersteller definieren, was das geprĂŒfte Produkt leisten soll, und Evaluatoren prĂŒfen systematisch, ob die dazu erforderlichen Kontrollen vorhanden, korrekt implementiert und verifiziert sind. Dadurch lassen sich Aussagen zur VertrauenswĂŒrdigkeit konsistent vergleichen und in Beschaffungen oder Compliance-Rahmen ĂŒbernehmen.

  • TOE (Target of Evaluation): das konkret geprĂŒfte Produkt inkl. Version, Edition und Konfiguration.
  • Security Target (ST): herstellerspezifische Beschreibung der Sicherheitsziele und -funktionen des TOE.
  • Protection Profile (PP): wiederverwendbares Anforderungsprofil fĂŒr eine Produktklasse (z. B. Smartcards, Firewalls).
  • Security Functional Requirements (SFR): geforderte Sicherheitsfunktionen (z. B. Zugriffskontrolle, Kryptografie).
  • Security Assurance Requirements (SAR): Nachweise und PrĂŒfmethoden zur VertrauenswĂŒrdigkeit (z. B. Design-, Test- und Prozessnachweise).
  • EAL 1–7: aufeinander aufbauende Stufen des Evaluierungs-Tiefgangs, von funktionalem Test bis formal verifizierter Entwicklung.
EAL-KompaktĂŒberblick (vereinfacht): EAL1: Funktional getestet (SchnelleinschĂ€tzung). EAL2: Strukturell getestet (zusĂ€tzliche Entwicklungsnachweise). EAL3: Methodisch getestet und geprĂŒft (erweiterte Prozess- und Testtiefe). EAL4: Methodisch entworfen, getestet und geprĂŒft (hĂ€ufig angestrebtes Niveau fĂŒr kommerzielle Produkte). EAL5–EAL7: Höher formalisiert bis formal verifiziert; typischerweise fĂŒr besonders kritische Einsatzszenarien.

Wichtig ist die Unterscheidung zwischen ST (konkrete Hersteller-Claims fĂŒr ein Produkt) und PP (generischer Anforderungskatalog fĂŒr eine Klasse). Zertifikate können „PP-konform“ sein oder ausschließlich ein ST adressieren. Die konkrete Aussagekraft eines Common-Criteria-Zertifikats ergibt sich immer aus der Kombination von TOE-Umfang, angenommenem Einsatzkontext, erfĂŒllt en SFR/SAR und dem erreichten EAL.

3. Zertifizierung, Anerkennung und Geltungsbereich der Common Criteria

Common-Criteria-Evaluierungen erfolgen in nationalen Schemata durch lizenzierte PrĂŒfstellen; die Zertifikate werden in vielen LĂ€ndern ĂŒber die CCRA (Common Criteria Recognition Arrangement) anerkannt. In Europa existieren ergĂ€nzende Vereinbarungen und Weiterentwicklungen (z. B. SOG-IS, EUCC — Stand 2026), die eine breite Verwertbarkeit in Beschaffungen unterstĂŒtzen. Ein Zertifikat gilt stets fĂŒr die spezifizierte Produktversion, den definierten Konfigurationsumfang und die dokumentierten Annahmen; grĂ¶ĂŸere funktionale Änderungen erfordern regelmĂ€ĂŸig eine Aktualisierung oder Re-Evaluierung.

Typische Fehler: EAL ist kein Maß fĂŒr ‚wie sicher‘ ein Produkt ist, sondern wie tief die zugesicherten Eigenschaften geprĂŒft wurden. Aussagekraft ohne Blick in ST/PP ist begrenzt. Zertifikate haben einen GĂŒltigkeits- und Versionsbezug; Marketingaussagen ohne EAL, Produktversion und GĂŒltigkeit sind angreifbar. ‚CC-Ă€hnlich‘ oder ‚nach CC geprĂŒft‘ ist kein Zertifikat.

FĂŒr die Praxis bedeutet das: PrĂŒfe vor einer Beschaffung die Zertifikatsnummer, den Scheme-Herausgeber, das EAL, etwaige PP-KonformitĂ€ten, den TOE-Umfang sowie die GĂŒltigkeit. FĂŒr international tĂ€tige Anbieter lohnt die Ausrichtung auf Profile und Anerkennungen, die in KernmĂ€rkten akzeptiert werden, um DoppelprĂŒfungen zu vermeiden und Vertriebszyklen nicht zu verlĂ€ngern.

4. Praxis: Common Criteria im Marketing, SEO, SEA und GEO nutzen

Ein Common-Criteria-Zertifikat ist ein starkes Vertrauenssignal fĂŒr Sicherheits- und Compliance-affine Zielgruppen (z. B. Behörden, Finanz- oder Gesundheitswesen). In SEO erhöht es die Relevanz und das Vertrauen auf Landingpages im Sinne von E-E-A-T (insbesondere ‚Authoritativeness‘ und ‚Trustworthiness‘), was indirekt die Conversion-Rate stĂŒtzen kann. In SEA lassen sich EAL, Zertifikats-ID und PP-KonformitĂ€t in Anzeigentexten, Sitelinks oder Assets prĂ€gnant kommunizieren. FĂŒr GEO (Generative Engine Optimization) lohnt eine klar strukturierte Produktseite mit Zertifikatsdetails, damit KI-Modelle die Compliance-Aussagen korrekt extrahieren und zitieren.

Best Practice fĂŒr die Sichtbarkeit

Platziere Zertifikatsnummer, EAL, PP-KonformitĂ€t, ausstellende Stelle, Produktversion und GĂŒltigkeit prominent auf der Produktseite und verlinke das offizielle Zertifikat als PDF. ErgĂ€nze eine kurze Q&A-Sektion zur Zertifizierung und markiere sie mit strukturierten Daten vom Typ FAQPage. Synchronisiere die Claims in Landingpages, SEA-Anzeigen, DatenblĂ€ttern und PR.

Aus Conversion-Sicht bewĂ€hrt sich eine klare Abschnittsstruktur: ‚Sicherheitsfunktionen‘ (SFR), ‚Zertifizierung nach Common Criteria‘ (mit EAL/PP), ‚Umfang & Annahmen‘ (TOE-Konfiguration) und ‚Downloads‘ (Zertifikat, ST-Auszug, Whitepaper). Diese Aufbereitung reduziert RĂŒckfragen im Vertrieb, verkĂŒrzt Due-Diligence-Schleifen und verbessert die QualitĂ€t von Brand- und Non-Brand-Queries, weil Nutzer prĂ€zisere Antworten direkt auf der SERP oder Landingpage finden.

5. Auswahl und Workflow: So planst du eine CC-Strategie

Die Entscheidung fĂŒr Common Criteria beginnt mit der Zieldefinition: 1) Welche MĂ€rkte oder Ausschreibungen erfordern CC? 2) Welches PP passt zur Produktklasse? 3) Welcher TOE-Umfang ist wirtschaftlich? Danach folgt die Gap-Analyse gegen PP/SFR/SAR, die HĂ€rtung der Entwicklungs- und Build-Prozesse, die Erstellung des Security Target, interne/partnerseitige Vortests, die formale Evaluierung durch eine PrĂŒfstelle und schließlich die Zertifikatsveröffentlichung. Der Zeitbedarf variiert je nach EAL, ProduktkomplexitĂ€t und Reife der Entwicklungsprozesse von mehreren Monaten bis ĂŒber ein Jahr. Plane parallel die Content-Assets (Zertifikatsseite, FAQ, Datenblatt), damit Marketing und Vertrieb den Abschluss sofort nutzen können.

6. HĂ€ufige Fragen zu Common Criteria

Was bedeuten die EAL-Stufen bei Common Criteria?

EAL beschreibt die Tiefe der PrĂŒfung und der geforderten Nachweise, nicht die absolute Sicherheit; höhere Stufen verlangen strengere Entwicklungs- und Verifizierungsnachweise.

Worin liegt der Unterschied zwischen Protection Profile (PP) und Security Target (ST)?

Ein PP definiert generische Anforderungen fĂŒr eine Produktklasse, ein ST beschreibt die konkreten Sicherheitsziele und Funktionen eines spezifischen Produkts in einer bestimmten Konfiguration.

Wer stellt Common-Criteria-Zertifikate aus?

Zertifikate werden von nationalen Schemata ĂŒber lizenzierte PrĂŒfstellen ausgestellt; die Anerkennung erfolgt in vielen LĂ€ndern ĂŒber die CCRA und teils regionale Abkommen.

Wie lange gilt eine Common-Criteria-Zertifizierung?

Zertifikate beziehen sich auf eine spezifische Produktversion und Konfiguration; GĂŒltigkeitsdauer und Pflege hĂ€ngen vom jeweiligen Schema ab und erfordern bei grĂ¶ĂŸeren Änderungen Re-Evaluierungen.

Ist EAL4 immer besser als EAL3 fĂŒr mein Einsatzszenario?

Nicht zwingend; die passende Stufe ergibt sich aus Risiko, Einsatzumfeld und Beschaffungsanforderungen; höhere EALs bedeuten mehr Aufwand und Kosten sowie lÀngere Projektlaufzeiten.

Deckt eine CC-Zertifizierung auch Cloud- oder Managed-Services ab?

Sie kann dies abdecken, wenn der TOE und das ST genau diese Betriebsart, Konfiguration und Grenzen definieren; ohne klare Definition greift das Zertifikat dafĂŒr nicht.

Darf ich mit einer CC-Zertifizierung werben?

Ja, solange Angaben korrekt und vollstĂ€ndig sind; nenne Zertifikatsnummer, EAL, ausstellende Stelle, GĂŒltigkeit und Produktversion und vermeide verallgemeinernde oder irrefĂŒhrende Aussagen.

7. Performance Suite — dein Datenlayer fĂŒr KI

Du arbeitest mit ChatGPT, Claude oder Perplexity und merkst, dass deiner KI die echten Daten zu deiner Domain fehlen? Performance Suite liefert sie — Rankings, Backlinks, Technik und KI-Sichtbarkeit aus 15+ APIs, in einem Klick exportierbar in jede KI deiner Wahl. Ohne Entwickler, ohne Credits, ohne Vendor-Lock-in.

Kostenlos testen

Sie haben noch Fragen?

Kontaktieren Sie uns



Free Account erstellen

WhatsApp teilen tweeten sharen sharen mailen

1 Bewertungen
100 %

Weitere Inhalte

Keine Kommentare vorhanden

Du hast eine Frage oder eine Meinung zum Artikel? Teile sie mit uns!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*
*


Unsere Referenzen


Kundenlogos