ISO/IEC 15408: Ein umfassender Leitfaden zur Sicherheitsbewertung von IT-Produkten

2Nov.

ISO/IEC 15408: Ein umfassender Leitfaden zur Sicherheitsbewertung von IT-Produkten

In einer digitalisierten Welt, in der IT-Produkte in sicherheitskritischen Bereichen eingesetzt werden, bietet ISO/IEC 15408 einen international anerkannten Rahmen, um Sicherheit systematisch zu bewerten und zu zertifizieren. Der Standard, oft als Common Criteria bezeichnet, ermöglicht es Anbietern, Entwicklern und Verwendern, Sicherheitsniveaus transparent zu beschreiben, zu vergleichen und zu verifizieren. Dieser Leitfaden führt Sie Schritt für Schritt durch die Grundlagen, die Struktur, den Nutzen sowie die Praxis einer ISO/IEC 15408-basierten Sicherheitsbewertung — von der Zielsetzung bis zur erfolgreichen Zertifizierung.

Was bedeutet ISO/IEC 15408 und warum ist der Standard wichtig?

ISO/IEC 15408 steht für einen international harmonisierten Rahmen zur Sicherheitsbewertung von IT-Produkten. Der Kern des Standards ist ein systematischer Prozess, der Sicherheitsziele, -anforderungen und Nachweise miteinander verknüpft. Die Bezeichnung Common Criteria (CC) wird häufig als informeller Oberbegriff verwendet, doch ISO/IEC 15408 liefert die formalen Strukturen, Terminologien und Bewertungsverfahren. Für Hersteller bedeutet dies, dass Produkte nach festgelegten Kriterien geprüft und bewertet werden können, während Kunden eine verlässliche Grundlage für Kaufentscheidungen erhalten. In der Praxis führt dies zu höherer Transparenz, reduzierter Risikobewertung und besserer Vergleichbarkeit zwischen unterschiedlichen Produkten.

ISO/IEC 15408: Struktur des Standards – Teil 1 bis Teil 4

Teil 1: Einführung und allgemeines Modell

Teil 1 legt die Grundprinzipien fest: das Sicherheitsziel, das Schutzbedarfsmodell, das Sicherheitskonzept sowie die konzeptionellen Bausteine, die in der Bewertung verwendet werden. Erklärt werden auch Begriffe wie Ziel der Bewertung (Protection Profile) und Sicherheitsanforderungen (Security Requirements). Dieser Teil dient als Ausgangsbasis für alle folgenden Kapitel und definiert die Rollen der Parteien – Hersteller, Evaluatoren, Certifier und Kunde. Die klare Abgrenzung zwischen funktionalen Anforderungen und Nachweisen ist hier ein zentrales Element, das eine konsistente Zusammenarbeit ermöglicht.

Teil 2: Sicherheitsfunktionale Anforderungen (SFR)

Teil 2 beschreibt die eigentlichen Sicherheitsfunktionen, die ein Produkt bieten muss, um die definierten Sicherheitsziele zu erfüllen. Diese SFRs umfassen typischerweise Bereiche wie Zugriffskontrolle, Vertraulichkeit, Integrität, Authentifizierung, Revokation und Sicherheit gegen Seitenkanäle. Hersteller legen anhand von SFRs fest, welche Funktionen in der Produktlinie implementiert sind oder wie diese Funktionen in einem konkreten Produkt erfüllt werden. Die Präzisierung der SFRs ermöglicht eine objektive Bewertung, da Sicherheitsfunktionen nachvollziehbar dokumentiert werden müssen.

Teil 3: Sicherheitsnachweise (SAR)

Teil 3 befasst sich mit Sicherheitsnachweisen – den Nachweisen, dass die implementierten Sicherheitsfunktionen tatsächlich den Anforderungen entsprechen. Dazu gehören unter anderem Argumentationsstrukturen, Tests, formale Beweise sowie Verifikations- und Validierungsmethoden. SARs definieren die Kriterien, die Evaluatoren ansetzen, um die Vertrauenswürdigkeit des Produkts zu bewerten. Durch die SARs entsteht eine nachvollziehbare Begründung, warum ein Produkt bestimmten Sicherheitszielen gerecht wird. Dieser Teil ist oft der Kern der Zertifizierung, da er die Evidenzbasis für die Sicherheitsbewertung schafft.

Teil 4: Bewertungsverfahren und Evaluierungslogik

Teil 4 beschreibt die Vorgehensweisen, mit denen Evaluatoren das Produkt prüfen — inklusive Evaluationsmethoden, Prüfbildern, Testumgebungen, Dokumentationsanforderungen und der Abfolge der Evaluationsschritte. Dieses Kapitel sorgt dafür, dass die Bewertung konsistent, reproduzierbar und nachvollziehbar ist. Für Unternehmen bedeutet dies, dass die geplanten Validierungsaktivitäten transparent planbar und auditierbar werden. Die Kombination aus Teil 2 (SFR), Teil 3 (SAR) und Teil 4 (Evaluationsverfahren) bildet zusammen das Rückgrat einer qualitativ hochwertigen Sicherheitsbewertung nach ISO/IEC 15408.

Vorteile und Nutzen von ISO/IEC 15408 für Kunden und Hersteller

Transparenz und Vergleichbarkeit

Durch die klare Struktur von SFRs, SARs und Evaluationskriterien wird der Sicherheitsumfang eines IT-Produkts transparent. Kunden können Produkte leichter vergleichen, denn ähnliche Sicherheitsforderungen führen zu vergleichbaren Nachweisen und Bewertungen. ISO/IEC 15408 schafft eine einheitliche Sprache, die Abweichungen zwischen Produkten sichtbar macht und Managerin und Manager in die Lage versetzt, fundierte Entscheidungen zu treffen.

Vertrauen, Regulierung und Beschaffung

In regulierten Branchen wie Finanzdienstleistungen, Gesundheitswesen oder kritischer Infrastruktur dient ISO/IEC 15408 als geprüfter Sicherheitsrahmen, der regulatorische Anforderungen ergänzt oder erfüllt. Öffentliche Beschaffungen bevorzugen häufig zertifizierte Produkte, da die Zertifizierung ein akzeptiertes Maß für Sicherheit darstellt. Unternehmen profitieren von einem reduzierten Risiko, da Sicherheitsnachweise und Nachweisführung standardisiert vorliegen.

Risikomanagement und Lebenszyklus

Die Begleitung durch ISO/IEC 15408 fördert systematisches Risikomanagement. Bereits in der Entwicklungsphase werden potenzielle Sicherheitslücken identifiziert und dokumentiert, wodurch spätere Kosten und Zeitaufwand minimiert werden. Die Zertifizierung unterstützt den Nachweis, dass Sicherheitsziele während des gesamten Produktlebenszyklus verfolgt und aktualisiert werden.

Wettbewerbsvorteil durch Vertrauen

Produkte, die ISO/IEC 15408-konform bewertet wurden, signalisieren dem Markt Vertrauen. Kunden assoziieren mit einer veröffentlichten Zertifikatsform Sicherheit und Qualitätsbewusstsein. Dieser Wettbewerbsvorteil wirkt sich positiv auf Markenimage, Absatz und Partnerschaften aus.

Evaluationsstufen: EALs und die Praxis der Sicherheitsbewertung

Was bedeutet EAL?

Die Abkürzung EAL steht für Evaluation Assurance Level – Stufen, die das Maß an Prüf- und Nachweisaktivitäten widerspiegeln. Die bekanntesten Stufen reichen typischerweise von EAL1 bis EAL7, wobei höhere Stufen strengere Nachweise, rigorosere Tests und umfassendere Verifikationen bedeuten. In der Praxis wählen Organisationen je nach Risiko, Marktsegment und Sicherheitsbedarf eine passende Stufe. Zusätzliche Stufen wie EAL4+/EAL5+ oder augmentierte Ansätze kombinieren Basiselemente mit zusätzlichen Sicherheitsprüfungen, um komplexere Bedrohungen abzudecken.

Typische Merkmale der Stufen

EAL1: Funktionsnachweise durch Prüfung. Geeignet für weniger risikoreiche Anwendungen. EAL4: Vorgegebene Methoden, umfangreiche Tests, geeignet für technisch komplexe Produkte. EAL5 bis EAL7: Hohe Sicherheit, formale Verifikation, umfangreiche Tests – oft für sicherheitskritische Systeme wie militärische oder kritische Infrastrukturen. Die Wahl der Stufe hängt von der Risikobewertung, dem Einsatzgebiet und den Anforderungen an Beweiskraft ab.

Augmentierte und kombinierte Ansätze

Häufig wird ISO/IEC 15408 durch zusätzliche Bedingungen ergänzt, z. B. durch strengere Evaluationsmethoden, Produktrevisionsdaten oder spezielle Sicherheitsziele. Augmentierte Stufen kombinieren Standard- und erweiterte Nachweise, um maßgeschneiderte Sicherheitslösungen zu ermöglichen. Unternehmen sollten bei der Planung einer Zertifizierung berücksichtigen, welche EAL sich wirtschaftlich und technisch realisieren lässt und welchen Mehrwert sie liefert.

Anwendungsfelder von ISO/IEC 15408: Typische Branchen und Einsatzszenarien

Bankwesen und Finanzdienstleistungen

Im Bankensektor dienen ISO/IEC 15408-konforme Bewertungen dazu, Zahlungssysteme, Tokenisierungslösungen, Backend-Software und Vertriebsportale gegen betrügerische Angriffe abzusichern. Die zertifizierte Sicherheit erleichtert Compliance mit aufsichtsrechtlichen Vorgaben und erhöht das Vertrauen von Kunden.

Public Sector und kritische Infrastruktur

In Behörden, Regierungsorganisationen und Infrastrukturbetreibern wird häufig nach strengeren Sicherheitsstandards gesucht. ISO/IEC 15408 bietet einen anerkannten Rahmen, um sicherheitskritische Produkte zu bewerten, etwa bei Sicherheitsservern, Authentifizierungsmechanismen oder Netzinfrastruktur.

Healthcare und Medizinprodukte

Im Gesundheitswesen schützen zertifizierte Systeme Patientendaten, medizinische Geräte und medizinische Informationssysteme vor unbefugtem Zugriff. Die Nachweise helfen, regulatorische Anforderungen zu erfüllen und das Risiko für Patientensicherheit zu senken.

IoT, Cloud und Supply Chain

Für IoT-Plattformen, Cloud-Dienste und Lieferkettenanwendungen bietet ISO/IEC 15408 eine belastbare Grundlage, um Sicherheitsfunktionen gegen Angriffe zu testen und Nachweise zu erbringen. Dadurch wird Vertrauen in verteilte Systeme gefördert und Compliance erleichtert.

ISO/IEC 15408 vs. andere Standards: Wo liegen die Unterschiede?

ISO/IEC 27001 versus ISO/IEC 15408

ISO/IEC 27001 fokussiert auf Informationssicherheits-Managementsysteme (ISMS) – organisatorische Aspekte, Risikomanagement und kontinuierliche Verbesserung. ISO/IEC 15408 geht darüber hinaus in die technische Sicherheit von Produkten, indem es konkrete Nachweise und Evaluationsprozesse vorschreibt. Beide Standards ergänzen sich sinnvoll: Das ISMS-Framework schafft Governance, während CC- oder Common-Criteria-Bewertungen die konkrete Sicherheit von Produkten objektiv belegen.

Common Criteria versus andere Bewertungsrahmen

Andere Bewertungsrahmen oder nationale Regelwerke können ähnliche Sicherheitsziele adressieren, verwenden allerdings unterschiedliche Kriterien, Nachweisarten und Zertifizierungsprozesse. ISO/IEC 15408 schafft mit seiner internationalen Verankerung eine breite Akzeptanz und erleichtert grenzüberschreitende Beschaffung und Compliance.

Praxisleitfaden: Wie bereitet man eine ISO/IEC 15408-Zertifizierung vor?

1) Zieldefinition und Risikobewertung

Starten Sie mit klaren Sicherheitszielen (Protection Goals) und einer Risikobewertung. Definieren Sie das Zielprodukt, den Einsatzkontext, potenzielle Bedrohungen und die Schutzbedarfsanalyse. Transparente Zielklauseln helfen, die passenden SFRs und SARs festzulegen.

2) Wahl der Bewertungsstufe

Bestimmen Sie die geeignete EAL-Stufe basierend auf Risiko, Marktanforderungen und Budget. Berücksichtigen Sie, dass höhere Stufen in der Umsetzung mehr Ressourcen erfordern, aber auch stärkere Beweiskraft liefern.

3) Erstellung der Nachweisdokumentation

Dokumentation ist zentral: Sicherheitsziele, SFRs, SARs, Entwicklungs- und Testspezifikationen, Design- und Verifikationsnachweise, Testberichte, formale Belege und Evaluationspläne sollten in einer konsistenten Struktur vorliegen. Frühzeitige Dokumentationsarbeiten erleichtern Validierung und Zertifizierungsprozesse.

4) Aufbau eines Evaluierungsplans

Erstellen Sie einen detaillierten Evaluierungsplan, der Zeitpläne, Verantwortlichkeiten, Testfälle, Prüfumgebungen und Abhängigkeiten festhält. Ein gut koordiniertes Team aus Entwicklern, Qualitätsmanagement, Sicherheitsexperten und externen Evaluatoren beschleunigt den Prozess.

5) Zusammenarbeit mit Recognized Evaluation Bodies

Wählen Sie eine akkreditierte Evaluationsstelle (Common Criteria Evaluation Facility) aus, die Erfahrung mit ISO/IEC 15408 hat. Die Zusammenarbeit mit einer kompetenten Stelle erhöht die Transparenz der Bewertung und verbessert die Akzeptanz des Zertifikats beim Kundenportfolio.

6) Umsetzung von Sicherheitsmaßnahmen und Tests

Implementieren Sie sicherheitsrelevante Maßnahmen gemäß SFRs, führen Sie Tests durch (funktional, sicherheitsrelevant, möglicherweise auch formale Verifikation) und dokumentieren Sie die Ergebnisse ausführlich. Die Validierung der Nachweise muss nachvollziehbar sein.

7) Audit, Review und Zertifizierungsentscheidung

Nach Abschluss der Evaluationsphase erfolgt eine Zertifizierungsentscheidung durch die Bewertungsstelle. Die Entscheidung basiert auf der Vollständigkeit der Nachweise, der Qualität der Belege und der Übereinstimmung mit ISO/IEC 15408-Standards.

Praktische Tipps für eine effiziente Umsetzung

Frühzeitige Einbindung von Sicherheitsexperten

Beziehen Sie Sicherheitsexperten bereits in der Konzeptionsphase ein. Frühzeitige Sicherheitsarchitektur-Reviews helfen, spätere Anpassungen zu minimieren und Kosten zu senken.

Modulare Vorgehensweise

Verfolgen Sie eine modulare Entwicklung, die eine schrittweise Bewertung ermöglicht. So können Teilbereiche unabhängig bewertet werden, was den Prozess insgesamt flexibler macht.

Dokumentationsstandardisierung

Nutzen Sie Bausteine und Templates, um eine konsistente Nachweisführung sicherzustellen. Einheitliche Dokumentationsstandards erleichtern die Prüfung durch Evaluatoren und die spätere Wartung.

Risikobasierte Priorisierung

Ordnen Sie Anforderungen entsprechend dem Risikopotenzial. Nicht alle SFRs müssen in der ersten Zertifizierungsrunde gleich stark bewertet werden. Eine priorisierte Vorgehensweise kann Zeit und Kosten reduzieren.

Kommunikation mit Kunden und Partnern

Kommunizieren Sie klar, welche Sicherheitsziele erreicht werden, welche Stufen angestrebt werden und wie der Evaluationsprozess verläuft. Transparente Kommunikation stärkt Vertrauen im Markt.

Häufige Missverständnisse und Mythen rund um ISO/IEC 15408

„Eine Zertifizierung bedeutet absolute Sicherheit.“

ISO/IEC 15408 belegt, dass ein Produkt bestimmte Sicherheitsanforderungen erfüllt und genügend Nachweise liefert. Es bedeutet jedoch nicht, dass ein Produkt vor allen zukünftigen Bedrohungen geschützt ist. Sicherheitsmanagement bleibt ein kontinuierlicher Prozess.

„Je höher die EAL, desto besser die Sicherheit.“

Eine höhere EAL bringt mehr Nachweise, ist aber auch kosten- und zeitintensiver. Die richtige Wahl hängt vom Bedrohungsprofil, Einsatzszenario und Budget ab. Nicht immer ist eine sehr hohe Stufe wirtschaftlich sinnvoll.

„ISO/IEC 15408 gilt weltweit automatisch als Zertifikat.“

Die Zertifizierung hängt von der erfolgreichen Evaluation durch eine akkreditierte Stelle ab. Zusätzlich können länderspezifische Anforderungen oder zusätzliche Standards verlangt werden. Die CC-Landschaft ist komplex, aber international anerkannt.

Häufig gestellte Fragen (FAQ) zu ISO/IEC 15408

Wie lange dauert eine ISO/IEC 15408-Zertifizierung typischerweise?

Die Dauer variiert stark je nach Produktkomplexität, gewählter EAL-Stufe und Evaluationsumfang. Typische Projekte reichen von mehreren Monaten bis zu einem Jahr oder mehr. Eine realistische Planung berücksichtigt Pufferzeiten für Tests, Dokumentation und Abstimmungen.

Welche Kosten entstehen?

Kosten fallen für Entwicklungsressourcen, Dokumentation, Tests, Auditierung und Evaluierung an. Die Gesamtsumme hängt von der Umfangsstufe (SFR/SAR, EAL-Stufe) sowie vom Umfang der zu evaluierenden Funktionen ab. Eine frühzeitige Budgetplanung hilft, unerwartete Ausgaben zu vermeiden.

Ist ISO/IEC 15408 nur für Software geeignet?

Nein. ISO/IEC 15408 gilt prinzipiell für Software, Hard- und Systemkomponenten sowie eingebettete Systeme. Es adressiert Sicherheitsfunktionen und -nachweise in einem breiten Spektrum von IT-Produkten.

Fazit: Warum ISO/IEC 15408 eine strategische Investition ist

ISO/IEC 15408 bietet einen robusten, international anerkannten Rahmen zur systematischen Sicherheitsbewertung von IT-Produkten. Die Kombination aus klar definierten Sicherheitsanforderungen (SFR), fundierten Sicherheitsnachweisen (SAR) und nachvollziehbaren Evaluationsmethoden (Teil 4) schafft Vertrauen bei Kunden, erfüllt regulatorische Anforderungen und erleichtert die Beschaffung. Unternehmen, die frühzeitig in eine ISO/IEC 15408-basierte Zertifizierung investieren, profitieren von besserer Marktdurchdringung, reduzierten Sicherheitsrisiken und einer nachhaltigeren Sicherheitskultur. Gleichzeitig bleibt der Standard dynamisch: Er passt sich neuen Bedrohungen, Technologien und Anforderungen an, sodass ISO/IEC 15408 auch künftig eine zentrale Rolle in der Sicherheitsbewertung von IT-Produkten spielen wird.

Zusammenfassung der Kernpunkte

ISO/IEC 15408 definiert einen internationalen Rahmen für die Sicherheitsbewertung von IT-Produkten (Common Criteria).
Die Struktur umfasst Teil 1 (Allgemeines Modell), Teil 2 (Sicherheitsfunktionale Anforderungen), Teil 3 (Sicherheitsnachweise) und Teil 4 (Evaluationsmethoden).
Durch EAL-Stufen wird das Maß an garantierten Nachweisen festgelegt, von grundlegenden Prüfungen bis hin zu formalen Verifikationen.
Vorteile reichen von Transparenz, Vertrauen und Marktakzeptanz bis hin zu regulatorischer Compliance und Wettbewerbsvorteilen.
Eine sorgfältige Vorbereitung, klare Zieldefinitionen, modulare Umsetzung und enge Zusammenarbeit mit Evaluationsstellen erhöhen die Erfolgsaussichten.

Ob als Hersteller, Beschaffer oder Sicherheitsverantwortlicher – ISO/IEC 15408 bietet eine klare, nachvollziehbare Roadmap, um IT-Produkte sicherer zu gestalten und am Markt erfolgreich zu positionieren. Die Investition in Sicherheit zahlt sich langfristig aus, nicht zuletzt durch robustere Systeme, zufriedene Kunden und eine widerstandsfähigere Organisation.