Bundesamt für Sicherheit in der Informationstechnik

IT-Sicherheitskriterien

Durch die wachsende Abhängigkeit der Wirtschaft und Verwaltung von dem einwandfreien Funktionieren und der uneingeschränkten Verfügbarkeit informationstechnischer Systeme nimmt die Vertraulichkeit, Verfügbarkeit und Integrität der Daten (IT-Sicherheit) einen immer höheren Stellenwert ein.

Um einen sicheren Umgang mit Daten und informationsverarbeitenden Systemen zu gewährleisten, ist es erforderlich, der jeweiligen Gefährdungslage entsprechende Sicherheitsstandards zu entwickeln und einzuhalten. Als einheitlicher Maßstab zur Beurteilung der Sicherheit informationstechnischer Systeme dienen Kriterien für die Prüfung und Bewertung der IT-Sicherheit.

Gemäß des BSI-Errichtungsgesetzes (BSIG vom 17.12.1990) ist es eine der übertragenen Aufgaben des "Bundesamt für Sicherheit in der Informationstechnik – BSI" IT-Sicherheitskriterien zu erstellen. Daher arbeitet das BSI seit Jahren auf internationaler Ebene in Arbeitskreisen bei der Erstellung von IT-Sicherheitskriterien mit.

Die aktuell für Zertifizierungsverfahren zugelassenen Kriterienversionen finden Sie in AIS 32.

Historie der Entwicklung von IT-Sicherheitskriterien:

1983 Trusted Computer Security Evaluation Criteria Orange Book – TCSEC

1989 Deutsche IT-Sicherheitskriterien (ITS)

1991 Information Technology Security Evaluation Criteria ITSEC und ITSEM

1998/99 Common Criteria Version 2.0 und CEM Teil 2: Evaluation Methodology (Engl.), Version 1.0

2005 Common Criteria Version 2.3 und Evaluation Methodology CEM Version 2.3

2006 Common Criteria Version 3.1 und Evaluation Methodology CEM Version 3.1

Ziel der Entwicklung von Sicherheitskriterien ist es:

  • eine Richtschnur für die Entwicklung sicherer, vertrauenswürdiger Systeme zu bieten,
  • eine objektive Bewertung dieser Systeme von einer neutralen und kompetenten Instanz (im Gegensatz zur Herstellererklärung) zu ermöglichen und
  • die Anwender / Benutzer bei der Auswahl eines geeigneten IT-Sicherheitsprodukts zu unterstützen.