Bundesamt für Sicherheit in der Informationstechnik

Anerkennung von CC– Zertifikaten im Rahmen des CCRA

Die internationale Vereinbarung über die gegenseitige Anerkennung von IT-Sicherheitszertifikaten auf Basis der CC (Common Criteria Recognition Arrangement (CCRA-2014)) wurde am 8. September 2014 ratifiziert.
 
Es bezieht sich auf CC Zertifikate, die auf einem sog. Collaborative Protection Profile (cPP) (bei exakter Verwendung) basieren, auf Zertifikate für Vertrauenswürdigkeitskomponenten bis einschließlich der Stufe EAL 2 oder der Familie Fehlerbehebung (Flaw Remediation (ALC_FLR)) und auf Zertifikate für Protection Profiles und für Collaborative Protection Profiles (cPP).

Das CCRA-2014 ersetzt das alte CCRA von Mai 2000. Zertifikate, die vor dem 8. September 2014 nach CCRA-2000 erteilt wurden, sind weiterhin nach den Regeln des CCRA-2000 anerkannt. Für zum 8. September 2014 laufende Zertifizierungsverfahren und zur Aufrechterhaltung alter Zertifikate bei Änderungen (Assurance Continuity: Maintenance oder Rezertifizierung) wurde eine Übergangsfrist bis 8. September 2017 für die Anerkennung von Zertifikaten nach den Regeln des CCRA-2000 (i.e. Vertrauenswürdigkeitskomponenten bis einschließlich der Stufe EAL 4 oder der Familie Fehlerbehebung (Flaw Remediation (ALC_FLR)), vereinbart.

Dem CCRA-2014 sind bis September 2014 die nationalen Stellen folgender Nationen beigetreten: Australien, Dänemark, Deutschland, Finnland, Frankreich, Griechenland, Großbritannien, Indien, Israel, Italien, Japan, Kanada, Malaysia, Neuseeland, Niederlande, Norwegen, Österreich, Pakistan, Republik Korea, Republik Singapur, Schweden, Spanien, Tschechische Republik, Türkei, Ungarn, USA.

Im Rahmen dieses Abkommens erkennt das BSI unter Berücksichtigung der o.g. Randbedingungen (cPP-Konformität / Anerkennung bis EAL 2 / Anerkennung bis EAL 4 bei Heranziehung der Übergangsregeln) Zertifikate für Produkte und für Protection Profiles von folgenden nationalen Zertifizierungsstellen an: Australien/Neuseeland, Frankreich, Großbritannien, Indien, Italien, Japan, Kanada, Malaysia, Niederlande, Norwegen, Republik Korea, Schweden, Spanien, Türkei, USA.

Eine aktuelle Liste der Unterzeichnerstaaten und der anerkannten Zertifizierungsstellen kann auf der Internetseite http://www.commoncriteriaportal.org eingesehen werden. Dort stehen ebenfalls Informationen zu cPPs, CC-Supporting Documents und zu internationalen Technische Arbeitsgruppen (iTC), die cPPs entwickeln, zur Verfügung.

Durch das CCRA-Logo mit entsprechendem Zusatztext ist auf jedem Zertifikat des BSI gekennzeichnet, ob und wie ein Zertifikat unter diese Anerkennungsvereinbarung fällt. Beinhaltet ein Zertifikat Vertrauenswürdigkeitskomponenten oberhalb des Anerkennungslevels (cPP / EAL 2 / EAL 4 bei Heranziehung der Übergangsregeln), so erfolgt die Anerkennung der Evaluierungsergebnisse für diese Komponenten auf der jeweils oberen Grenze der Anerkennung nach CCRA-2014 bzw. CCRA-2000.