Die Common Criteria (CC) – aus europäischen ITSEC- und US-TCSEC-Standards entwickelt und die Basis für die Beschreibung von IT-Sicherheit nach ISO-IEC 15408 ("Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik") – beschreiben abstrakt das mehrstufige Vorgehen, nach dem Produkten in einer Hierarchie ansteigender Prüftiefe die Vertrauenswürdigkeit bescheinigt werden kann. Dabei erstrecken sich die Evaluation Assurance Levels (EAL) von EAL 1 (einfache Tests) bis EAL 7 (formal-logisch verifizierte Hochsicherheitslösung). Die Evaluierung erfolgt auf der Grundlage von Schutzprofilen, die produktunabhängig aus Anwendersicht die Sicherheitsziele anhand von Annahmen über Gefährdungen sowie über die Betriebs- und Einsatzumgebung des IT-Systems beschreiben. Zertifizierungen nach den CC sind international anerkannt. Die Zertifizierung wird nach einem Abkommen, das Ende 1998 zuerst von den USA, Kanada, Frankreich, Deutschland und Großbritannien geschlossen wurde, in den Unterzeichnerstaaten des Vertrags wechselseitig anerkannt.
Eine CC-Zertifizierung ist auch für das im Rahmen des vom Bundeswirtschaftsministerium geförderten "Vote Remote"-Projektes unter der Federführung von T-Systems entwickelte System mit dem Arbeitstitel T-Voting geplant, wie Projektleiter Klaus Diehl von T-Systems auf dem Workshop erklärte. Vote Remote ist der Nachfolger des im März abgeschlossenen Forschungsvorhabens W.I.E.N ("Wählen in elektronischen Netzen"), das sich zunächst auf die Vernetzung von Wahllokalen und die Wahl aus geschützten Systemumgebungen heraus konzentrierte; bei Vote Remote steht nun die Weiterentwicklung zu "echten" Internet-Wahlen mit unsicheren Client-PCs für den Einsatz bei Vereins-, Sozial- und Betriebsratswahlen im Vordergrund. Sobald die Schutzprofile erarbeitet und vom BSI zertifiziert sind, muss der Systembetreiber in dem so genannten "Security Target Document" darlegen, dass sein Produkt die Sicherheitsanforderungen des Schutzprofils erfüllt. Beide Dokumente bilden dann die Basis für die Zertifizierung nach den Common Criteria.
Siehe dazu auch:
- eVoting: Nur die letzte Stimme zählt
- eVoting: "Allmählich wird es ernst"
- E-Voting: Ja, aber ..., Bedenken gegen die Wahlcomputer von Nedap, c't 16/06, Seite 54
- Naive E-Wähler, Rechtliche und technische Probleme bei Wahlcomputern in Deutschland, c't 15/06, Seite 104
- Der Stift-Kompromiss, Das Hamburger Landeswahlamt propagiert fürs Voting den digitalen Wahlstift, c't 6/06, S. 90
- "Der schleichende Verfall der öffentlichen Kontrolle", Der 22C3 diskutiert über Wahlen per Internet und E-Voting, c't 2/06, S. 20
- E -Voting vs. Verfassung, Rechtliche Bedenken bei elektronischen Wahlmaschinen in Deutschland, c't 1/06, S. 80
- Elektronische Wahlen?, Einige verfassungsrechtliche Fragen, c't 23/05, S. 228
- Dreimal drücken – fertig?, E-Voting-Großeinsatz bei der Bundestagswahl, c't 19/05, S. 54
- Trial and Error, Streit um technische Richtlinien für US-Wahlcomputer, c't 17/05, S. 54
- E-Voting – ein Spiel mit dem Feuer, Elektronische Wahlsysteme bei den US-Präsidentschaftswahlen 2004, c't 23/04, S. 100
- Verführerischer Charme ..., ... aber die Einführung allgemeiner Online-Wahlen bleibt umstritten, c't 11/01, S. 22
- Der virtuelle Wähler, Zweifel am Urnengang mittels Internet, c't 8/01, S. 70
Autor(en)/Author(s): (Richard Sietmann) / (jk/c't)
Quelle/Source: Heise online, 04.08.2006
