SlideShare ist ein Scribd-Unternehmen logo
1 von 9
Downloaden Sie, um offline zu lesen
Zertifizierte IT-Sicherheit
nach Common Criteria - ISO/IEC 15408




Dr. Jens Oberender
| SRC security research & consulting GmbH


                                            1
Agenda

• Sicherheits-Zertifikate und Anerkennung
• Vom Problem zum IT-Sicherheits-Produkt
• Schwachstellen-Analyse

                                            2
Zertifikat (Common Criteria)
   Bundesamt für Sicherheit in der           Der abgregrenzte
      Informatikstechnik (BSI)        Evaluierungsgegenstand (EVG,
 Behördliche Zustimmung                der sicherheitskritische Teil)
 über die Sicherheit eines Produkts
           Das Security Problem Definition (SPD) wird vollständig
          abgedeckt durch: a) Sicherheitsfunktionen des EVG oder
            b) zugesicherte Eigenschaften der Umwelt des EVG
 gemäß einer Untersuchungstiefe
Evaluation Assurance Level (EAL) 4: Methodisches Vorgehen,
    z.B. Nachvollziehen von SPD bis zur Implementierung
 und im Bezug auf die Produktklasse
                              Ein Schutzprofil definiert SPD und
                           Security Functional Requirements (SFR) 3
Anerkennung




              4
Security Problem Definition

                       Organisatorische
 Bedrohungen         Sicherheitspolitiken   Annahmen


  Sicherheitsziele      Sicherheitsziele für
    für den EVG         die EVG Umgebung

Anforderungen an die
Sicherheitsfunktionen
       des EVG

Sicherheitsfunktionen
       des EVG                                  © SRC/BSI
                                                            5
Bsp.: Security Problem Definition
    • Threat
      Unkontrollierter Informationsfluss
    • Security Objective of the TOE
      Regelbasiertes Filtern von Nachrichten
    • Security Functional Requirement
       • Security Flow Policy
       • FDP_IFC.1 Subset information flow control

 The TSF shall enforce the [assignment: information flow
 control SFP] on [assignment: subjects, information, and
            operations covered by the SFP …]
        •FDP_IFF.1 Simple security attributes
    • Sicherheitsfunktion: Einsatz von iptables
                                                           6
Nachweise nachvollziehen




                           7
Schwachstellen-Analyse

•   Angriffspfade bewerten

                                          Man-in-the-
                                          Middle
                                          Hardware

                                                        © Steven Murdoch
                       © Lars Gierlichs




      Power Analysis                                                8
CC


Produkte
• Digitaler Tachograph
• Elektronischer Reisepass
Zusammenfassung
• Zusicherung (‚Assurance‘)
  in die Sicherheit von IT-Produkten
   • Evaluierungsgegenstand | Umgebung
   • Evaluation Assurance Levels
• Vertrauen schaffen                 jens.oberender@src-gmbh.de
                                                                  9

Weitere ähnliche Inhalte

Andere mochten auch

PoP 2011 – Power of People - Das HR-Camp
PoP 2011 – Power of People - Das HR-CampPoP 2011 – Power of People - Das HR-Camp
PoP 2011 – Power of People - Das HR-Camp
Jan A. Poczynek
 
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...
Communardo GmbH
 
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja Hauß
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja HaußCommunardo Trendforum 22.06.2011: Collaboration Workplace, Ilja Hauß
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja Hauß
Communardo GmbH
 
Ente+Und+Krokodil
Ente+Und+KrokodilEnte+Und+Krokodil
Ente+Und+Krokodil
Wolle1
 

Andere mochten auch (20)

Whitepaper "Mobile Marketing in der Hotellerie"
Whitepaper "Mobile Marketing in der Hotellerie"Whitepaper "Mobile Marketing in der Hotellerie"
Whitepaper "Mobile Marketing in der Hotellerie"
 
Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...
Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...
Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...
 
Ergebnisse der FORBA-Studie zum betrieblichen Datenschutz
Ergebnisse der FORBA-Studie zum betrieblichen DatenschutzErgebnisse der FORBA-Studie zum betrieblichen Datenschutz
Ergebnisse der FORBA-Studie zum betrieblichen Datenschutz
 
Strukturierte Metadaten in Wikipedia
Strukturierte Metadaten in WikipediaStrukturierte Metadaten in Wikipedia
Strukturierte Metadaten in Wikipedia
 
Parentezco
ParentezcoParentezco
Parentezco
 
Second Life aus Sicht der rechtswissenschaftlichen Lehre
Second Life aus Sicht der rechtswissenschaftlichen LehreSecond Life aus Sicht der rechtswissenschaftlichen Lehre
Second Life aus Sicht der rechtswissenschaftlichen Lehre
 
1
11
1
 
PoP 2011 – Power of People - Das HR-Camp
PoP 2011 – Power of People - Das HR-CampPoP 2011 – Power of People - Das HR-Camp
PoP 2011 – Power of People - Das HR-Camp
 
Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...
Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...
Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...
 
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...
 
Whitepaper "Fotos im Onlinemarketing"
Whitepaper "Fotos im Onlinemarketing"Whitepaper "Fotos im Onlinemarketing"
Whitepaper "Fotos im Onlinemarketing"
 
CCD 2013: JIRA goes i18n
CCD 2013: JIRA goes i18nCCD 2013: JIRA goes i18n
CCD 2013: JIRA goes i18n
 
20150424 De kracht van Twitter - ASW Social Media Seminar
20150424 De kracht van Twitter - ASW Social Media Seminar20150424 De kracht van Twitter - ASW Social Media Seminar
20150424 De kracht van Twitter - ASW Social Media Seminar
 
60 Links & Tipps zu Google Plus
60 Links & Tipps zu Google Plus60 Links & Tipps zu Google Plus
60 Links & Tipps zu Google Plus
 
Vraiesplendeur
VraiesplendeurVraiesplendeur
Vraiesplendeur
 
T-Systems Multimedia Solutions - Die ideale Internetagentur.
T-Systems Multimedia Solutions - Die ideale Internetagentur.T-Systems Multimedia Solutions - Die ideale Internetagentur.
T-Systems Multimedia Solutions - Die ideale Internetagentur.
 
Social Media Monitoring
Social Media MonitoringSocial Media Monitoring
Social Media Monitoring
 
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja Hauß
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja HaußCommunardo Trendforum 22.06.2011: Collaboration Workplace, Ilja Hauß
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja Hauß
 
Arte en-la pared
Arte en-la paredArte en-la pared
Arte en-la pared
 
Ente+Und+Krokodil
Ente+Und+KrokodilEnte+Und+Krokodil
Ente+Und+Krokodil
 

Ähnlich wie Überblick Common Criteria

Zertifizierung von Werkzeugen und Werkzeugketten
Zertifizierung von Werkzeugen und WerkzeugkettenZertifizierung von Werkzeugen und Werkzeugketten
Zertifizierung von Werkzeugen und Werkzeugketten
AndreasBaerwald
 

Ähnlich wie Überblick Common Criteria (20)

Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMM
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)
 
Oracle Secure Patching Concept
Oracle Secure Patching ConceptOracle Secure Patching Concept
Oracle Secure Patching Concept
 
Informationssicherheit
InformationssicherheitInformationssicherheit
Informationssicherheit
 
Comprehensive Security Concept For Process Control Systems V2006
Comprehensive Security Concept For Process Control Systems V2006Comprehensive Security Concept For Process Control Systems V2006
Comprehensive Security Concept For Process Control Systems V2006
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
 
Zertifizierung von Werkzeugen und Werkzeugketten
Zertifizierung von Werkzeugen und WerkzeugkettenZertifizierung von Werkzeugen und Werkzeugketten
Zertifizierung von Werkzeugen und Werkzeugketten
 
LSZ Kurzpräsentation
LSZ KurzpräsentationLSZ Kurzpräsentation
LSZ Kurzpräsentation
 
Abenteuer Qualität in der SW-Wartung
Abenteuer Qualität in der SW-WartungAbenteuer Qualität in der SW-Wartung
Abenteuer Qualität in der SW-Wartung
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
Revisoren und hacker
Revisoren und hackerRevisoren und hacker
Revisoren und hacker
 
The new job of qa was ein quality engineer zukünftig können muss
The new job of qa   was ein quality engineer zukünftig können mussThe new job of qa   was ein quality engineer zukünftig können muss
The new job of qa was ein quality engineer zukünftig können muss
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
 
TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“
 
TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"
 
Aktuelles zu ISO 27000
Aktuelles zu ISO 27000Aktuelles zu ISO 27000
Aktuelles zu ISO 27000
 

Mehr von Jens Oberender

Grundlagen kooperativer Anonymisierungsnetze
Grundlagen kooperativer AnonymisierungsnetzeGrundlagen kooperativer Anonymisierungsnetze
Grundlagen kooperativer Anonymisierungsnetze
Jens Oberender
 
Widerstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von AnonymisierungsnetzenWiderstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von Anonymisierungsnetzen
Jens Oberender
 
Algorithm for Multi-Path Hop-By-Hop Routing
Algorithm for Multi-Path Hop-By-Hop RoutingAlgorithm for Multi-Path Hop-By-Hop Routing
Algorithm for Multi-Path Hop-By-Hop Routing
Jens Oberender
 
Grundlagen Kooperativer Anonymität
Grundlagen Kooperativer AnonymitätGrundlagen Kooperativer Anonymität
Grundlagen Kooperativer Anonymität
Jens Oberender
 
Widerstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von AnonymisierungsnetzenWiderstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von Anonymisierungsnetzen
Jens Oberender
 
Verlustbehaftete Komprimierung
Verlustbehaftete KomprimierungVerlustbehaftete Komprimierung
Verlustbehaftete Komprimierung
Jens Oberender
 
On the Design Dilemma in Dining Cryptographer Networks
On the Design Dilemma in Dining Cryptographer NetworksOn the Design Dilemma in Dining Cryptographer Networks
On the Design Dilemma in Dining Cryptographer Networks
Jens Oberender
 
Denial Of Service Flooding Detection In Anonymity Networks
Denial Of Service Flooding Detection In Anonymity NetworksDenial Of Service Flooding Detection In Anonymity Networks
Denial Of Service Flooding Detection In Anonymity Networks
Jens Oberender
 

Mehr von Jens Oberender (17)

Konsumterror #BCBN20 Barcamp Sessopn
Konsumterror #BCBN20 Barcamp SessopnKonsumterror #BCBN20 Barcamp Sessopn
Konsumterror #BCBN20 Barcamp Sessopn
 
Erfahrungsbericht als Area Governor bei Toastmasters International
Erfahrungsbericht als Area Governor bei Toastmasters InternationalErfahrungsbericht als Area Governor bei Toastmasters International
Erfahrungsbericht als Area Governor bei Toastmasters International
 
Smartphone Applications - Common Criteria is going Mobile
Smartphone Applications - Common Criteria is going MobileSmartphone Applications - Common Criteria is going Mobile
Smartphone Applications - Common Criteria is going Mobile
 
Pitch Your Project and Vision – Zielgerichtete Kommunikation
Pitch Your Project and Vision – Zielgerichtete KommunikationPitch Your Project and Vision – Zielgerichtete Kommunikation
Pitch Your Project and Vision – Zielgerichtete Kommunikation
 
Konzeptbotschafter: The Elevator Pitch
Konzeptbotschafter: The Elevator PitchKonzeptbotschafter: The Elevator Pitch
Konzeptbotschafter: The Elevator Pitch
 
Schlipsträger werden - Sinnsuche zum Berufseinstieg
Schlipsträger werden - Sinnsuche zum BerufseinstiegSchlipsträger werden - Sinnsuche zum Berufseinstieg
Schlipsträger werden - Sinnsuche zum Berufseinstieg
 
Grundlagen kooperativer Anonymisierungsnetze
Grundlagen kooperativer AnonymisierungsnetzeGrundlagen kooperativer Anonymisierungsnetze
Grundlagen kooperativer Anonymisierungsnetze
 
Widerstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von AnonymisierungsnetzenWiderstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von Anonymisierungsnetzen
 
Algorithm for Multi-Path Hop-By-Hop Routing
Algorithm for Multi-Path Hop-By-Hop RoutingAlgorithm for Multi-Path Hop-By-Hop Routing
Algorithm for Multi-Path Hop-By-Hop Routing
 
Getting Things Done (GfA Präsentation)
Getting Things Done (GfA Präsentation)Getting Things Done (GfA Präsentation)
Getting Things Done (GfA Präsentation)
 
Riding the Flow - Wissenarbeit nach der Getting Things Done Methode
Riding the Flow - Wissenarbeit nach der Getting Things Done MethodeRiding the Flow - Wissenarbeit nach der Getting Things Done Methode
Riding the Flow - Wissenarbeit nach der Getting Things Done Methode
 
Grundlagen Kooperativer Anonymität
Grundlagen Kooperativer AnonymitätGrundlagen Kooperativer Anonymität
Grundlagen Kooperativer Anonymität
 
Widerstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von AnonymisierungsnetzenWiderstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von Anonymisierungsnetzen
 
Verlustbehaftete Komprimierung
Verlustbehaftete KomprimierungVerlustbehaftete Komprimierung
Verlustbehaftete Komprimierung
 
Peer-to-Peer Security
Peer-to-Peer SecurityPeer-to-Peer Security
Peer-to-Peer Security
 
On the Design Dilemma in Dining Cryptographer Networks
On the Design Dilemma in Dining Cryptographer NetworksOn the Design Dilemma in Dining Cryptographer Networks
On the Design Dilemma in Dining Cryptographer Networks
 
Denial Of Service Flooding Detection In Anonymity Networks
Denial Of Service Flooding Detection In Anonymity NetworksDenial Of Service Flooding Detection In Anonymity Networks
Denial Of Service Flooding Detection In Anonymity Networks
 

Überblick Common Criteria

  • 1. Zertifizierte IT-Sicherheit nach Common Criteria - ISO/IEC 15408 Dr. Jens Oberender | SRC security research & consulting GmbH 1
  • 2. Agenda • Sicherheits-Zertifikate und Anerkennung • Vom Problem zum IT-Sicherheits-Produkt • Schwachstellen-Analyse 2
  • 3. Zertifikat (Common Criteria) Bundesamt für Sicherheit in der Der abgregrenzte Informatikstechnik (BSI) Evaluierungsgegenstand (EVG, Behördliche Zustimmung der sicherheitskritische Teil) über die Sicherheit eines Produkts Das Security Problem Definition (SPD) wird vollständig abgedeckt durch: a) Sicherheitsfunktionen des EVG oder b) zugesicherte Eigenschaften der Umwelt des EVG gemäß einer Untersuchungstiefe Evaluation Assurance Level (EAL) 4: Methodisches Vorgehen, z.B. Nachvollziehen von SPD bis zur Implementierung und im Bezug auf die Produktklasse Ein Schutzprofil definiert SPD und Security Functional Requirements (SFR) 3
  • 5. Security Problem Definition Organisatorische Bedrohungen Sicherheitspolitiken Annahmen Sicherheitsziele Sicherheitsziele für für den EVG die EVG Umgebung Anforderungen an die Sicherheitsfunktionen des EVG Sicherheitsfunktionen des EVG © SRC/BSI 5
  • 6. Bsp.: Security Problem Definition • Threat Unkontrollierter Informationsfluss • Security Objective of the TOE Regelbasiertes Filtern von Nachrichten • Security Functional Requirement • Security Flow Policy • FDP_IFC.1 Subset information flow control The TSF shall enforce the [assignment: information flow control SFP] on [assignment: subjects, information, and operations covered by the SFP …] •FDP_IFF.1 Simple security attributes • Sicherheitsfunktion: Einsatz von iptables 6
  • 8. Schwachstellen-Analyse • Angriffspfade bewerten Man-in-the- Middle Hardware © Steven Murdoch © Lars Gierlichs Power Analysis 8
  • 9. CC Produkte • Digitaler Tachograph • Elektronischer Reisepass Zusammenfassung • Zusicherung (‚Assurance‘) in die Sicherheit von IT-Produkten • Evaluierungsgegenstand | Umgebung • Evaluation Assurance Levels • Vertrauen schaffen jens.oberender@src-gmbh.de 9