SlideShare a Scribd company logo

Überblick Common Criteria

Jens Oberender
Jens Oberender

SRC security research & consulting

Technology
1 of 9
Download to read offline
Zertifizierte IT-Sicherheit nach Common Criteria - ISO/IEC 15408 Dr. Jens Oberender | SRC security research & consulting GmbH 1
Agenda • Sicherheits-Zertifikate und Anerkennung • Vom Problem zum IT-Sicherheits-Produkt • Schwachstellen-Analyse 2
Zertifikat (Common Criteria) Bundesamt für Sicherheit in der Der abgregrenzte Informatikstechnik (BSI) Evaluierungsgegenstand (EVG, Behördliche Zustimmung der sicherheitskritische Teil) über die Sicherheit eines Produkts Das Security Problem Definition (SPD) wird vollständig abgedeckt durch: a) Sicherheitsfunktionen des EVG oder b) zugesicherte Eigenschaften der Umwelt des EVG gemäß einer Untersuchungstiefe Evaluation Assurance Level (EAL) 4: Methodisches Vorgehen, z.B. Nachvollziehen von SPD bis zur Implementierung und im Bezug auf die Produktklasse Ein Schutzprofil definiert SPD und Security Functional Requirements (SFR) 3
Anerkennung 4
Security Problem Definition Organisatorische Bedrohungen Sicherheitspolitiken Annahmen Sicherheitsziele Sicherheitsziele für für den EVG die EVG Umgebung Anforderungen an die Sicherheitsfunktionen des EVG Sicherheitsfunktionen des EVG © SRC/BSI 5
Bsp.: Security Problem Definition • Threat Unkontrollierter Informationsfluss • Security Objective of the TOE Regelbasiertes Filtern von Nachrichten • Security Functional Requirement • Security Flow Policy • FDP_IFC.1 Subset information flow control The TSF shall enforce the [assignment: information flow control SFP] on [assignment: subjects, information, and operations covered by the SFP …] •FDP_IFF.1 Simple security attributes • Sicherheitsfunktion: Einsatz von iptables 6
Nachweise nachvollziehen 7
Schwachstellen-Analyse • Angriffspfade bewerten Man-in-the- Middle Hardware © Steven Murdoch © Lars Gierlichs Power Analysis 8
CC Produkte • Digitaler Tachograph • Elektronischer Reisepass Zusammenfassung • Zusicherung (‚Assurance‘) in die Sicherheit von IT-Produkten • Evaluierungsgegenstand | Umgebung • Evaluation Assurance Levels • Vertrauen schaffen jens.oberender@src-gmbh.de 9

Recommended

CCPP
CCPPCCPP
CCPPNadineZ
 
Dunkel
DunkelDunkel
DunkelWolle1
 
Wolfgang Tank - JIRA beherrschbar administrieren oder wie mache ich JIRA wirk...
Wolfgang Tank - JIRA beherrschbar administrieren oder wie mache ich JIRA wirk...Wolfgang Tank - JIRA beherrschbar administrieren oder wie mache ich JIRA wirk...
Wolfgang Tank - JIRA beherrschbar administrieren oder wie mache ich JIRA wirk...Communardo GmbH
 
Dynamic LINQ
Dynamic LINQDynamic LINQ
Dynamic LINQMartin Hey
 
Stockmann Endnutzer Impact Workshop MUC
Stockmann Endnutzer Impact Workshop MUCStockmann Endnutzer Impact Workshop MUC
Stockmann Endnutzer Impact Workshop MUCIMPACT Centre of Competence
 
Knowledge Mashups - Wissen dynamisch vernetzen und den Überblick behalten
Knowledge Mashups - Wissen dynamisch vernetzen und den Überblick behaltenKnowledge Mashups - Wissen dynamisch vernetzen und den Überblick behalten
Knowledge Mashups - Wissen dynamisch vernetzen und den Überblick behaltenCommunardo GmbH
 
15 Web 2.0 Tools : einfach, praktisch und schnell
15 Web 2.0 Tools : einfach, praktisch und schnell15 Web 2.0 Tools : einfach, praktisch und schnell
15 Web 2.0 Tools : einfach, praktisch und schnellIsabelle Dremeau
 
Design für alle Sinne
Design für alle SinneDesign für alle Sinne
Design für alle SinneKMB|Konzept Management Beratung für Unternehmenskommunikation
 

Recommended

CCPP
CCPPCCPP
CCPPNadineZ
 
Dunkel
DunkelDunkel
DunkelWolle1
 
Wolfgang Tank - JIRA beherrschbar administrieren oder wie mache ich JIRA wirk...
Wolfgang Tank - JIRA beherrschbar administrieren oder wie mache ich JIRA wirk...Wolfgang Tank - JIRA beherrschbar administrieren oder wie mache ich JIRA wirk...
Wolfgang Tank - JIRA beherrschbar administrieren oder wie mache ich JIRA wirk...Communardo GmbH
 
Dynamic LINQ
Dynamic LINQDynamic LINQ
Dynamic LINQMartin Hey
 
Stockmann Endnutzer Impact Workshop MUC
Stockmann Endnutzer Impact Workshop MUCStockmann Endnutzer Impact Workshop MUC
Stockmann Endnutzer Impact Workshop MUCIMPACT Centre of Competence
 
Knowledge Mashups - Wissen dynamisch vernetzen und den Überblick behalten
Knowledge Mashups - Wissen dynamisch vernetzen und den Überblick behaltenKnowledge Mashups - Wissen dynamisch vernetzen und den Überblick behalten
Knowledge Mashups - Wissen dynamisch vernetzen und den Überblick behaltenCommunardo GmbH
 
15 Web 2.0 Tools : einfach, praktisch und schnell
15 Web 2.0 Tools : einfach, praktisch und schnell15 Web 2.0 Tools : einfach, praktisch und schnell
15 Web 2.0 Tools : einfach, praktisch und schnellIsabelle Dremeau
 
Design für alle Sinne
Design für alle SinneDesign für alle Sinne
Design für alle SinneKMB|Konzept Management Beratung für Unternehmenskommunikation
 
Whitepaper "Mobile Marketing in der Hotellerie"
Whitepaper "Mobile Marketing in der Hotellerie"Whitepaper "Mobile Marketing in der Hotellerie"
Whitepaper "Mobile Marketing in der Hotellerie"Thomas Hendele
 
Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...
Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...
Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...Thomas Kreiml
 
Ergebnisse der FORBA-Studie zum betrieblichen Datenschutz
Ergebnisse der FORBA-Studie zum betrieblichen DatenschutzErgebnisse der FORBA-Studie zum betrieblichen Datenschutz
Ergebnisse der FORBA-Studie zum betrieblichen DatenschutzThomas Kreiml
 
Strukturierte Metadaten in Wikipedia
Strukturierte Metadaten in WikipediaStrukturierte Metadaten in Wikipedia
Strukturierte Metadaten in WikipediaJakob .
 
Parentezco
ParentezcoParentezco
Parentezcolenguaextranjera3
 
Second Life aus Sicht der rechtswissenschaftlichen Lehre
Second Life aus Sicht der rechtswissenschaftlichen LehreSecond Life aus Sicht der rechtswissenschaftlichen Lehre
Second Life aus Sicht der rechtswissenschaftlichen LehreIris Speiser
 
1
11
1guestf1c478
 
PoP 2011 – Power of People - Das HR-Camp
PoP 2011 – Power of People - Das HR-CampPoP 2011 – Power of People - Das HR-Camp
PoP 2011 – Power of People - Das HR-CampJan A. Poczynek
 
Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...
Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...
Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...Telekom MMS
 
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...Communardo GmbH
 
Whitepaper "Fotos im Onlinemarketing"
Whitepaper "Fotos im Onlinemarketing"Whitepaper "Fotos im Onlinemarketing"
Whitepaper "Fotos im Onlinemarketing"Thomas Hendele
 
CCD 2013: JIRA goes i18n
CCD 2013: JIRA goes i18nCCD 2013: JIRA goes i18n
CCD 2013: JIRA goes i18nCommunardo GmbH
 
20150424 De kracht van Twitter - ASW Social Media Seminar
20150424 De kracht van Twitter - ASW Social Media Seminar20150424 De kracht van Twitter - ASW Social Media Seminar
20150424 De kracht van Twitter - ASW Social Media SeminarPaulus Veltman
 
60 Links & Tipps zu Google Plus
60 Links & Tipps zu Google Plus60 Links & Tipps zu Google Plus
60 Links & Tipps zu Google PlusThomas Hendele
 
Vraiesplendeur
VraiesplendeurVraiesplendeur
Vraiesplendeurguestda541d
 
T-Systems Multimedia Solutions - Die ideale Internetagentur.
T-Systems Multimedia Solutions - Die ideale Internetagentur.T-Systems Multimedia Solutions - Die ideale Internetagentur.
T-Systems Multimedia Solutions - Die ideale Internetagentur.Telekom MMS
 
Social Media Monitoring
Social Media MonitoringSocial Media Monitoring
Social Media MonitoringKMB|Konzept Management Beratung für Unternehmenskommunikation
 
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja Hauß
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja HaußCommunardo Trendforum 22.06.2011: Collaboration Workplace, Ilja Hauß
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja HaußCommunardo GmbH
 
Arte en-la pared
Arte en-la paredArte en-la pared
Arte en-la paredVictor Marti
 
Ente+Und+Krokodil
Ente+Und+KrokodilEnte+Und+Krokodil
Ente+Und+KrokodilWolle1
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMOPTIMAbit GmbH
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 

More Related Content

Viewers also liked

Whitepaper "Mobile Marketing in der Hotellerie"
Whitepaper "Mobile Marketing in der Hotellerie"Whitepaper "Mobile Marketing in der Hotellerie"
Whitepaper "Mobile Marketing in der Hotellerie"Thomas Hendele
 
Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...
Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...
Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...Thomas Kreiml
 
Ergebnisse der FORBA-Studie zum betrieblichen Datenschutz
Ergebnisse der FORBA-Studie zum betrieblichen DatenschutzErgebnisse der FORBA-Studie zum betrieblichen Datenschutz
Ergebnisse der FORBA-Studie zum betrieblichen DatenschutzThomas Kreiml
 
Strukturierte Metadaten in Wikipedia
Strukturierte Metadaten in WikipediaStrukturierte Metadaten in Wikipedia
Strukturierte Metadaten in WikipediaJakob .
 
Second Life aus Sicht der rechtswissenschaftlichen Lehre
Second Life aus Sicht der rechtswissenschaftlichen LehreSecond Life aus Sicht der rechtswissenschaftlichen Lehre
Second Life aus Sicht der rechtswissenschaftlichen LehreIris Speiser
 
PoP 2011 – Power of People - Das HR-Camp
PoP 2011 – Power of People - Das HR-CampPoP 2011 – Power of People - Das HR-Camp
PoP 2011 – Power of People - Das HR-CampJan A. Poczynek
 
Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...
Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...
Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...Telekom MMS
 
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...Communardo GmbH
 
Whitepaper "Fotos im Onlinemarketing"
Whitepaper "Fotos im Onlinemarketing"Whitepaper "Fotos im Onlinemarketing"
Whitepaper "Fotos im Onlinemarketing"Thomas Hendele
 
CCD 2013: JIRA goes i18n
CCD 2013: JIRA goes i18nCCD 2013: JIRA goes i18n
CCD 2013: JIRA goes i18nCommunardo GmbH
 
20150424 De kracht van Twitter - ASW Social Media Seminar
20150424 De kracht van Twitter - ASW Social Media Seminar20150424 De kracht van Twitter - ASW Social Media Seminar
20150424 De kracht van Twitter - ASW Social Media SeminarPaulus Veltman
 
60 Links & Tipps zu Google Plus
60 Links & Tipps zu Google Plus60 Links & Tipps zu Google Plus
60 Links & Tipps zu Google PlusThomas Hendele
 
T-Systems Multimedia Solutions - Die ideale Internetagentur.
T-Systems Multimedia Solutions - Die ideale Internetagentur.T-Systems Multimedia Solutions - Die ideale Internetagentur.
T-Systems Multimedia Solutions - Die ideale Internetagentur.Telekom MMS
 
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja Hauß
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja HaußCommunardo Trendforum 22.06.2011: Collaboration Workplace, Ilja Hauß
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja HaußCommunardo GmbH
 
Ente+Und+Krokodil
Ente+Und+KrokodilEnte+Und+Krokodil
Ente+Und+KrokodilWolle1
 

Viewers also liked (20)

Whitepaper "Mobile Marketing in der Hotellerie"
Whitepaper "Mobile Marketing in der Hotellerie"Whitepaper "Mobile Marketing in der Hotellerie"
Whitepaper "Mobile Marketing in der Hotellerie"
 
Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...
Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...
Heidi Schoth: Transversale Billigjobber/innen? Dimensionen von Macht und Wide...
 
Ergebnisse der FORBA-Studie zum betrieblichen Datenschutz
Ergebnisse der FORBA-Studie zum betrieblichen DatenschutzErgebnisse der FORBA-Studie zum betrieblichen Datenschutz
Ergebnisse der FORBA-Studie zum betrieblichen Datenschutz
 
Strukturierte Metadaten in Wikipedia
Strukturierte Metadaten in WikipediaStrukturierte Metadaten in Wikipedia
Strukturierte Metadaten in Wikipedia
 
Parentezco
ParentezcoParentezco
Parentezco
 
Second Life aus Sicht der rechtswissenschaftlichen Lehre
Second Life aus Sicht der rechtswissenschaftlichen LehreSecond Life aus Sicht der rechtswissenschaftlichen Lehre
Second Life aus Sicht der rechtswissenschaftlichen Lehre
 
1
11
1
 
PoP 2011 – Power of People - Das HR-Camp
PoP 2011 – Power of People - Das HR-CampPoP 2011 – Power of People - Das HR-Camp
PoP 2011 – Power of People - Das HR-Camp
 
Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...
Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...
Webinar "Schöne neue Arbeitswelt mit Social Business" - IBM, Jive und Microso...
 
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...
Confluence & JIRA Community Day - PeRM – Professionelles Anforderungs-managem...
 
Whitepaper "Fotos im Onlinemarketing"
Whitepaper "Fotos im Onlinemarketing"Whitepaper "Fotos im Onlinemarketing"
Whitepaper "Fotos im Onlinemarketing"
 
CCD 2013: JIRA goes i18n
CCD 2013: JIRA goes i18nCCD 2013: JIRA goes i18n
CCD 2013: JIRA goes i18n
 
20150424 De kracht van Twitter - ASW Social Media Seminar
20150424 De kracht van Twitter - ASW Social Media Seminar20150424 De kracht van Twitter - ASW Social Media Seminar
20150424 De kracht van Twitter - ASW Social Media Seminar
 
60 Links & Tipps zu Google Plus
60 Links & Tipps zu Google Plus60 Links & Tipps zu Google Plus
60 Links & Tipps zu Google Plus
 
Vraiesplendeur
VraiesplendeurVraiesplendeur
Vraiesplendeur
 
T-Systems Multimedia Solutions - Die ideale Internetagentur.
T-Systems Multimedia Solutions - Die ideale Internetagentur.T-Systems Multimedia Solutions - Die ideale Internetagentur.
T-Systems Multimedia Solutions - Die ideale Internetagentur.
 
Social Media Monitoring
Social Media MonitoringSocial Media Monitoring
Social Media Monitoring
 
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja Hauß
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja HaußCommunardo Trendforum 22.06.2011: Collaboration Workplace, Ilja Hauß
Communardo Trendforum 22.06.2011: Collaboration Workplace, Ilja Hauß
 
Arte en-la pared
Arte en-la paredArte en-la pared
Arte en-la pared
 
Ente+Und+Krokodil
Ente+Und+KrokodilEnte+Und+Krokodil
Ente+Und+Krokodil
 

Similar to Überblick Common Criteria

Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMOPTIMAbit GmbH
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Praxistage
 
Oracle Secure Patching Concept
Oracle Secure Patching ConceptOracle Secure Patching Concept
Oracle Secure Patching ConceptCarsten Muetzlitz
 
Informationssicherheit
InformationssicherheitInformationssicherheit
InformationssicherheitAndreas Lezgus
 
Comprehensive Security Concept For Process Control Systems V2006
Comprehensive Security Concept For Process Control Systems V2006Comprehensive Security Concept For Process Control Systems V2006
Comprehensive Security Concept For Process Control Systems V2006kaestnja
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Zertifizierung von Werkzeugen und Werkzeugketten
Zertifizierung von Werkzeugen und WerkzeugkettenZertifizierung von Werkzeugen und Werkzeugketten
Zertifizierung von Werkzeugen und WerkzeugkettenAndreasBaerwald
 
LSZ Kurzpräsentation
LSZ KurzpräsentationLSZ Kurzpräsentation
LSZ KurzpräsentationAndreas Tomek
 
Abenteuer Qualität in der SW-Wartung
Abenteuer Qualität in der SW-WartungAbenteuer Qualität in der SW-Wartung
Abenteuer Qualität in der SW-WartungErnest Wallmueller
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftFraunhofer AISEC
 
The new job of qa was ein quality engineer zukünftig können muss
The new job of qa was ein quality engineer zukünftig können mussThe new job of qa was ein quality engineer zukünftig können muss
The new job of qa was ein quality engineer zukünftig können mussraezz
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“Connected-Blog
 
TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"Connected-Blog
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011jamescv31
 

Similar to Überblick Common Criteria (20)

Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMM
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)
 
Oracle Secure Patching Concept
Oracle Secure Patching ConceptOracle Secure Patching Concept
Oracle Secure Patching Concept
 
Informationssicherheit
InformationssicherheitInformationssicherheit
Informationssicherheit
 
Comprehensive Security Concept For Process Control Systems V2006
Comprehensive Security Concept For Process Control Systems V2006Comprehensive Security Concept For Process Control Systems V2006
Comprehensive Security Concept For Process Control Systems V2006
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
Zertifizierung von Werkzeugen und Werkzeugketten
Zertifizierung von Werkzeugen und WerkzeugkettenZertifizierung von Werkzeugen und Werkzeugketten
Zertifizierung von Werkzeugen und Werkzeugketten
 
LSZ Kurzpräsentation
LSZ KurzpräsentationLSZ Kurzpräsentation
LSZ Kurzpräsentation
 
Abenteuer Qualität in der SW-Wartung
Abenteuer Qualität in der SW-WartungAbenteuer Qualität in der SW-Wartung
Abenteuer Qualität in der SW-Wartung
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
Revisoren und hacker
Revisoren und hackerRevisoren und hacker
Revisoren und hacker
 
The new job of qa was ein quality engineer zukünftig können muss
The new job of qa was ein quality engineer zukünftig können mussThe new job of qa was ein quality engineer zukünftig können muss
The new job of qa was ein quality engineer zukünftig können muss
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
 
TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“
 
TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"
 
Aktuelles zu ISO 27000
Aktuelles zu ISO 27000Aktuelles zu ISO 27000
Aktuelles zu ISO 27000
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011
 

More from Jens Oberender

Konsumterror #BCBN20 Barcamp Sessopn
Konsumterror #BCBN20 Barcamp SessopnKonsumterror #BCBN20 Barcamp Sessopn
Konsumterror #BCBN20 Barcamp SessopnJens Oberender
 
Erfahrungsbericht als Area Governor bei Toastmasters International
Erfahrungsbericht als Area Governor bei Toastmasters InternationalErfahrungsbericht als Area Governor bei Toastmasters International
Erfahrungsbericht als Area Governor bei Toastmasters InternationalJens Oberender
 
Smartphone Applications - Common Criteria is going Mobile
Smartphone Applications - Common Criteria is going MobileSmartphone Applications - Common Criteria is going Mobile
Smartphone Applications - Common Criteria is going MobileJens Oberender
 
Pitch Your Project and Vision – Zielgerichtete Kommunikation
Pitch Your Project and Vision – Zielgerichtete KommunikationPitch Your Project and Vision – Zielgerichtete Kommunikation
Pitch Your Project and Vision – Zielgerichtete KommunikationJens Oberender
 
Konzeptbotschafter: The Elevator Pitch
Konzeptbotschafter: The Elevator PitchKonzeptbotschafter: The Elevator Pitch
Konzeptbotschafter: The Elevator PitchJens Oberender
 
Schlipsträger werden - Sinnsuche zum Berufseinstieg
Schlipsträger werden - Sinnsuche zum BerufseinstiegSchlipsträger werden - Sinnsuche zum Berufseinstieg
Schlipsträger werden - Sinnsuche zum BerufseinstiegJens Oberender
 
Grundlagen kooperativer Anonymisierungsnetze
Grundlagen kooperativer AnonymisierungsnetzeGrundlagen kooperativer Anonymisierungsnetze
Grundlagen kooperativer AnonymisierungsnetzeJens Oberender
 
Widerstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von AnonymisierungsnetzenWiderstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von AnonymisierungsnetzenJens Oberender
 
Algorithm for Multi-Path Hop-By-Hop Routing
Algorithm for Multi-Path Hop-By-Hop RoutingAlgorithm for Multi-Path Hop-By-Hop Routing
Algorithm for Multi-Path Hop-By-Hop RoutingJens Oberender
 
Getting Things Done (GfA Präsentation)
Getting Things Done (GfA Präsentation)Getting Things Done (GfA Präsentation)
Getting Things Done (GfA Präsentation)Jens Oberender
 
Riding the Flow - Wissenarbeit nach der Getting Things Done Methode
Riding the Flow - Wissenarbeit nach der Getting Things Done MethodeRiding the Flow - Wissenarbeit nach der Getting Things Done Methode
Riding the Flow - Wissenarbeit nach der Getting Things Done MethodeJens Oberender
 
Grundlagen Kooperativer Anonymität
Grundlagen Kooperativer AnonymitätGrundlagen Kooperativer Anonymität
Grundlagen Kooperativer AnonymitätJens Oberender
 
Widerstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von AnonymisierungsnetzenWiderstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von AnonymisierungsnetzenJens Oberender
 
Verlustbehaftete Komprimierung
Verlustbehaftete KomprimierungVerlustbehaftete Komprimierung
Verlustbehaftete KomprimierungJens Oberender
 
On the Design Dilemma in Dining Cryptographer Networks
On the Design Dilemma in Dining Cryptographer NetworksOn the Design Dilemma in Dining Cryptographer Networks
On the Design Dilemma in Dining Cryptographer NetworksJens Oberender
 
Denial Of Service Flooding Detection In Anonymity Networks
Denial Of Service Flooding Detection In Anonymity NetworksDenial Of Service Flooding Detection In Anonymity Networks
Denial Of Service Flooding Detection In Anonymity NetworksJens Oberender
 

More from Jens Oberender (17)

Konsumterror #BCBN20 Barcamp Sessopn
Konsumterror #BCBN20 Barcamp SessopnKonsumterror #BCBN20 Barcamp Sessopn
Konsumterror #BCBN20 Barcamp Sessopn
 
Erfahrungsbericht als Area Governor bei Toastmasters International
Erfahrungsbericht als Area Governor bei Toastmasters InternationalErfahrungsbericht als Area Governor bei Toastmasters International
Erfahrungsbericht als Area Governor bei Toastmasters International
 
Smartphone Applications - Common Criteria is going Mobile
Smartphone Applications - Common Criteria is going MobileSmartphone Applications - Common Criteria is going Mobile
Smartphone Applications - Common Criteria is going Mobile
 
Pitch Your Project and Vision – Zielgerichtete Kommunikation
Pitch Your Project and Vision – Zielgerichtete KommunikationPitch Your Project and Vision – Zielgerichtete Kommunikation
Pitch Your Project and Vision – Zielgerichtete Kommunikation
 
Konzeptbotschafter: The Elevator Pitch
Konzeptbotschafter: The Elevator PitchKonzeptbotschafter: The Elevator Pitch
Konzeptbotschafter: The Elevator Pitch
 
Schlipsträger werden - Sinnsuche zum Berufseinstieg
Schlipsträger werden - Sinnsuche zum BerufseinstiegSchlipsträger werden - Sinnsuche zum Berufseinstieg
Schlipsträger werden - Sinnsuche zum Berufseinstieg
 
Grundlagen kooperativer Anonymisierungsnetze
Grundlagen kooperativer AnonymisierungsnetzeGrundlagen kooperativer Anonymisierungsnetze
Grundlagen kooperativer Anonymisierungsnetze
 
Widerstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von AnonymisierungsnetzenWiderstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von Anonymisierungsnetzen
 
Algorithm for Multi-Path Hop-By-Hop Routing
Algorithm for Multi-Path Hop-By-Hop RoutingAlgorithm for Multi-Path Hop-By-Hop Routing
Algorithm for Multi-Path Hop-By-Hop Routing
 
Getting Things Done (GfA Präsentation)
Getting Things Done (GfA Präsentation)Getting Things Done (GfA Präsentation)
Getting Things Done (GfA Präsentation)
 
Riding the Flow - Wissenarbeit nach der Getting Things Done Methode
Riding the Flow - Wissenarbeit nach der Getting Things Done MethodeRiding the Flow - Wissenarbeit nach der Getting Things Done Methode
Riding the Flow - Wissenarbeit nach der Getting Things Done Methode
 
Grundlagen Kooperativer Anonymität
Grundlagen Kooperativer AnonymitätGrundlagen Kooperativer Anonymität
Grundlagen Kooperativer Anonymität
 
Widerstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von AnonymisierungsnetzenWiderstandsfähigkeit von Anonymisierungsnetzen
Widerstandsfähigkeit von Anonymisierungsnetzen
 
Verlustbehaftete Komprimierung
Verlustbehaftete KomprimierungVerlustbehaftete Komprimierung
Verlustbehaftete Komprimierung
 
Peer-to-Peer Security
Peer-to-Peer SecurityPeer-to-Peer Security
Peer-to-Peer Security
 
On the Design Dilemma in Dining Cryptographer Networks
On the Design Dilemma in Dining Cryptographer NetworksOn the Design Dilemma in Dining Cryptographer Networks
On the Design Dilemma in Dining Cryptographer Networks
 
Denial Of Service Flooding Detection In Anonymity Networks
Denial Of Service Flooding Detection In Anonymity NetworksDenial Of Service Flooding Detection In Anonymity Networks
Denial Of Service Flooding Detection In Anonymity Networks
 

Überblick Common Criteria

  • 1. Zertifizierte IT-Sicherheit nach Common Criteria - ISO/IEC 15408 Dr. Jens Oberender | SRC security research & consulting GmbH 1
  • 2. Agenda • Sicherheits-Zertifikate und Anerkennung • Vom Problem zum IT-Sicherheits-Produkt • Schwachstellen-Analyse 2
  • 3. Zertifikat (Common Criteria) Bundesamt für Sicherheit in der Der abgregrenzte Informatikstechnik (BSI) Evaluierungsgegenstand (EVG, Behördliche Zustimmung der sicherheitskritische Teil) über die Sicherheit eines Produkts Das Security Problem Definition (SPD) wird vollständig abgedeckt durch: a) Sicherheitsfunktionen des EVG oder b) zugesicherte Eigenschaften der Umwelt des EVG gemäß einer Untersuchungstiefe Evaluation Assurance Level (EAL) 4: Methodisches Vorgehen, z.B. Nachvollziehen von SPD bis zur Implementierung und im Bezug auf die Produktklasse Ein Schutzprofil definiert SPD und Security Functional Requirements (SFR) 3
  • 5. Security Problem Definition Organisatorische Bedrohungen Sicherheitspolitiken Annahmen Sicherheitsziele Sicherheitsziele für für den EVG die EVG Umgebung Anforderungen an die Sicherheitsfunktionen des EVG Sicherheitsfunktionen des EVG © SRC/BSI 5
  • 6. Bsp.: Security Problem Definition • Threat Unkontrollierter Informationsfluss • Security Objective of the TOE Regelbasiertes Filtern von Nachrichten • Security Functional Requirement • Security Flow Policy • FDP_IFC.1 Subset information flow control The TSF shall enforce the [assignment: information flow control SFP] on [assignment: subjects, information, and operations covered by the SFP …] •FDP_IFF.1 Simple security attributes • Sicherheitsfunktion: Einsatz von iptables 6
  • 8. Schwachstellen-Analyse • Angriffspfade bewerten Man-in-the- Middle Hardware © Steven Murdoch © Lars Gierlichs Power Analysis 8
  • 9. CC Produkte • Digitaler Tachograph • Elektronischer Reisepass Zusammenfassung • Zusicherung (‚Assurance‘) in die Sicherheit von IT-Produkten • Evaluierungsgegenstand | Umgebung • Evaluation Assurance Levels • Vertrauen schaffen jens.oberender@src-gmbh.de 9