Sicherheitszertifizierungen

Verschiedene Faktoren bewirkten die Notwendigkeit von unabhängigen Evaluationen, Zertifizierungen und Spezifikationen für Netzwerksicherheit. In Deutschland ist in diesem Bereich neben privaten Unternehmen seit 1991 auch die Bundesbehörde BSI aktiv.

Bekannte Anforderungskataloge sind
  • in den USA die TCSEC des NCSC (Orange Book) mit vier definierten Sicherheitsklassen (D bis A) und einigen Differenzierungen (C1, C2, B1 bis B3);
  • in Europa der ITSEC mit 7 hierarchischen Evaluationsstufen (E0 bis E6) sowie
  • die multinational anerkannten Common Criteria (CCITSE bzw. CC) mit 8 Sicherheitsstufen (EAL0 bis EAL7).

Diese Einstufungen bieten zwar Herstellern von Sicherheitsprodukten eine Orientierung und den Anwendern eine relativ objektive Bewertung der Systeme, allerdings sind die Zertifizierungsprozeduren zeit- und kostenintensiv, was eine Verbreitung jenseits von Bereichen mit explizit erhöhtem Schutzbedarf (Finanzgewerbe, Militär) bisher verhindert hat.

Kategorie: