Bundesamt für Sicherheit in der Informationstechnik

Europäische Anerkennung von ITSEC/CC – Zertifikaten

Insgesamt wurden bisher drei verschiedene Abkommen in Europa zur Anerkennung von IT-Sicherheitszertifikaten geschlossen.

Das erste Abkommen über die gegenseitige Anerkennung von IT-Sicherheitszertifikaten auf Basis der ITSEC-Kriterien, auf dessen Grundlage ITSEC-Zertifikate für IT-Produkte anerkannt wurden, ist im März 1998 erstmalig in Kraft getreten (SOGIS-MRA Version 1). Es wurde von Finnland, Frankreich, Deutschland, Griechenland, Portugal, Niederlande, Norwegen, Spanien, Schweden, Schweiz und Großbritannien unterzeichnet und umfasste die generelle Anerkennung von ITSEC-Zertifikaten.

Dieses Abkommen wurde 1999 durch ein auf IT-Sicherheitszertifikate auf Basis der Common Criteria erweitertes Abkommen abgelöst. Es wurde von Finnland, Frankreich, Deutschland, Griechenland, Italien, Niederlande, Norwegen, Spanien, Schweden und Großbritannien unterzeichnet. Hierbei wurde eine gegenseitige Anerkennung von Zertifikaten bis zur Vertrauenswürdigkeitsstufe EAL 7 der Zertifizierungsstellen von Deutschland, Frankreich und Großbritannien und ab Januar 2009 der Niederlande (SOGIS-MRA Version 2) vereinbart.

Das SOGIS-MRA Version 2 wurde 2010 durch das SOGIS-MRA Version 3 ersetzt, das zum Zeitpunkt des Inkrafttretens im April 2010 von den nationalen Stellen der folgenden Staaten unterzeichnet wurde: Deutschland, Finnland, Frankreich, Großbritannien, Niederlande, Norwegen, Schweden und Spanien (SOGIS-MRA Version 3). In diesem Abkommen ist eine Anerkennung von Zertifikaten für IT-Produkte auf Basis der Common Criteria bzw. ITSEC bis einschließlich der Vertrauenswürdigkeitsstufe EAL 4 bzw. E3 (niedrig) festgelegt. Anerkannte Zertifizierungsstellen hierfür sind zum Zeitpunk des Inkrafttretens die nationalen Stellen aus Deutschland, Frankreich, Großbritannien, den Niederlanden und Spanien.

Darüber ist eine höherwertige Anerkennung (höher als EAL4 bzw. E3 (niedrig)) für bestimmte technische Bereiche "Technical Domains" unter besonderen Rahmenbedingungen vorgesehen. Im Abkommen wurde dazu der technische Bereich "Smart cards and similar devices" definiert. Anerkannte Zertifizierungsstellen hierfür sind zum Zeitpunk des Inkrafttretens die nationalen Stellen aus Deutschland, Frankreich, Großbritannien und den Niederlanden.

Eine "Technical Domain" für Hardware Geräte mit Sicherheitsbox wird derzeit eingerichtet. Details zur Anerkennung von Zertifikaten sind auf der Webseite  http://www.sogisportal.eu zu finden.

Zusätzlich werden Zertifikate für Schutzprofilen auf Basis der Common Criteria anerkannt. Eine aktuelle Liste der Unterzeichnerstaaten bzw. der anerkannten Zertifizierungsstellen kann auf der Internetseite http://www.sogisportal.eu eingesehen werden.

Im Rahmen dieser europäischen Anerkennungsvereinbarung erkennt das BSI unter Berücksichtigung der o. g. Randbedingungen die folgenden Zertifikate an (Stand September 2014):

  • Zertifikate für IT-Produkte auf Basis der ITSEC, die vor April 2010 durch die nationalen Zertifizierungsstellen von Frankreich, Großbritannien und ab Januar 2009 der Niederlande ausgestellt worden sind oder Zertifikate mit hohen Prüfstufen, die unter dem Vorgängerabkommen ausgestellt worden sind und bis Ende April 2012 unter dem neuen Abkommen re-zertifiziert wurden.
  • Zertifikate für IT-Produkte auf Basis der Common Criteria bis EAL 7, die vor April 2010 durch die nationalen Zertifizierungsstellen von Frankreich, Großbritannien und ab Januar 2009 der Niederlande ausgestellt worden sind oder Zertifikate mit hohen Prüfstufen, die unter dem Vorgängerabkommen ausgestellt worden sind und bis Ende April 2012 unter dem neuen Abkommen re-zertifiziert wurden.
  • Zertifikate für IT-Produkte auf Basis der ITSEC bis E3, Mechanismenstärke niedrig (basic), der nationalen Zertifizierungsstellen von Frankreich, Großbritannien, Niederlanden und Spanien, die ab April 2010 ausgestellt wurden.
  • Zertifikate für IT-Produkte auf Basis der Common Criteria bei Verwendung von Prüfkomponenten bis EAL 4 der nationalen Zertifizierungsstellen von Frankreich, Großbritannien, Niederlanden und Spanien, die ab April 2010 ausgestellt wurden und von Italien ab Dezember 2010 sowie von Schweden ab Mai 2013 und von Norwegen ab Mai 2013 (wenn die Evaluierung durch norwegische Prüfstellen erfolgte).
  • Zertifikate für IT-Produkte auf Basis der Common Criteria bei Verwendung von Prüfkomponten bis EAL 7 im technischen Bereich "Smart cards and similar devices" der nationalen Zertifizierungsstellen aus Frankreich, Großbritannien und den Niederlanden, die ab April 2010 ausgestellt wurden und von Spanien ab Mai 2013.
  • Zertifikate für Schutzprofile auf Basis der Common Criteria der nationalen Zertifizierungsstellen von Frankreich, Großbritannien, Niederlanden und Spanien, die ab April 2010 ausgestellt wurden und von Italien ab Dezember 2010 sowie von Schweden ab Mai 2013 und Norwegen ab Mai 2013 (wenn die Evaluierung durch norwegische Prüfstellen erfolgte).

Durch die Zusammenarbeit in verschiedenen Arbeitsgruppen ist ein kontinuierlicher Austausch von Informationen zwischen den unterzeichnenden Staaten sichergestellt.

Durch das SOGIS-Logo mit entsprechenden Zusatztext ist auf jedem Zertifikat des BSI gekennzeichnet, ob und wie ein Zertifikat unter diese Anerkennungsvereinbarung fällt.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK