Verpflichtende, extern überprüfte Security-Zertifikate rücken näher [German version]
EUCC (EU Common Criteria) und der Cyber Resilience Act
Im Februar und März 2025 gab es zwei unscheinbare Ereignisse, die aber bei näherer Betrachtung große Meilensteine für die Product Security sind:
- Das erste EU-weite Cybersecurity-Zertifizierungsschema auf Basis Common Criteria (EUCC) gilt seit 27.02.2025.
- Das BSI ist am 20.03.2025 als alleinige nationale Zertifizierungsstelle für dieses Zertifizierungsschema notifiziert worden.
Was das bedeutet und was das mit dem Cyber Resilience Act zu tun hat? Dafür müssen wir ein bisschen ausholen. Ich hoffe, Sie sitzen bequem und Ihre Kaffeetasse ist noch voll, denn das braucht jetzt ein wenig Geduld und Hirnschmalz.
Das Problem mit den verpflichten Security-Zertifikaten
Bei Cybersecurity-Zertifikaten und -Labels, etwa dem deutschen IT-Sicherheitskennzeichen, gab es in der Vergangenheit oft lange Gesichter und Stoßseufzer in der Security-Community: Schon wieder nur en freiwilliges Zertifikat! Und Hersteller-Selbsterklärung! Das bringt doch alles nichts….
Das Problem: Wir leben ja in der EU und haben einen europäischen Binnenmarkt, und da müssen für alle Marktteilnehmer gleiche Regeln gelten. Es kann also nicht einfach ein Land im Alleingang ein verpflichtendes Cybersecurity-Zertifikat einführen.
Deswegen gibt es den Cybersecurity Act (EU 2019/881). Er regelt unter anderem, wie europäisch einheitliche Cybersecurity-Zertifikate ausgestellt werden können. Der Cybersecurity Act ist nicht zu verwechseln mit dem Cyber Resilience Act (EU 2024/2847), der verpflichtende Security-Anforderungen und ein CE-Kennzeichen für Produkte mit digitalen Elementen definiert.
Cybersecurity Act: EU-weite Zertifikate und Vertrauenswürdigkeitsstufen (Assurance Levels)
Der Cybersecurity Act beschreibt also, wie und von wem Produkte in der EU ein EU-weit gültiges Cybersecurity-Zertifikat bekommen können.
Dafür muss man eine wichtige Vokabel kennen: Die Vertrauenswürdigkeitsstufe (Assurance Level). Sie sagt aus, wie tiefgehend das Produkt geprüft wurde.
Die Idee: Je höher die Vertrauenswürdigkeitsstufe (Assurance Level), desto höher die Gewissheit, dass das Produkt auch Cyberangreifern mit hohen Fähigkeiten und Ressourcen standhält. Wem das bekannt vorkommt: Dieselbe Idee steckt hinter dem “Security Level” der ISA/IEC 62443.
Anders als beim Security Level der ISA/IEC 62443 verschärfen sich beim Cybersecurity Act aber mit höherer Vertrauenswürdigkeitsstufe nicht die Anforderungen selbst, sondern deren Überprüfung.
Bei niedriger Vertrauendwürdigkeitsstufe werden nur technische Dokumentationen geprüft und je nach Zertifizierungsschema reicht eine Selbstbewertung.
Bei mittlerer und hoher Stufe muss eine externe Bewertung erfolgen, das Produkt muss auf Schwachstellen getestet und die korrekte Umsetzung Security-Funktionen überprüft werden.
Für die hohe Stufe muss zusätzlich ein Penetrationstest durchgeführt werden, der kompetente Angreifer simuliert; und die Security-Funktionen müssen dem neuesten Stand der Technik entsprechen. Auch die Zertifizierungsstellen müssen besondere Anforderungen erfüllen, um diese Vertrauenswürdigkeitsstufe erteilen zu dürfen.
Zertifizierungsschemata und Zertifizierungsstelle
Vom Cybersecurity Act zum Zertifikat war und ist es aber ein langer Weg.
Denn für ein Zertifikat braucht es ein Zertifizierungsschema — darin steht, welche Anforderungen Produkte erfüllen müssen und wie diese überprüft werden können, Konformitätsbewertungsstellen, die die Konformität mit diesen Anforderungen prüfen und für die höchste Vertrauenswürdigkeitsstufe noch Zertifizierungsstellen, die das Zertifikat erteilen.
Und jetzt können wir auch die Meilensteine einordnen:
Seit 27.02.2025 gilt nun das erste Zertifizierungsschema, das als Durchführungsverordnung (2024/482) zum Cybersecurity Act veröffentlicht worden ist. Es basiert auf Common Criteria, einem mittlerweile als ISO/IEC 15408 international standardisierten Kriterienkatalog und Verfahren für die Cybersecurity-Zertifizierung und heißt deswegen heißt es kurz auch “EUCC” — EU Cybersecurity Certification Scheme on Common Criteria.
Im Rahmen des EUCC gibt es nur die Vertrauenswürdigkeitsstufen “mittel” und “hoch”, und eine Selbstbewertung ist nicht möglich. Hersteller müssen sich also einer Bewertung durch eine externe Konformitätsbewertungsstelle und für Stufe “hoch” einer Zertifizierungsstelle unterziehen. Und am 20.03.2025 ist das BSI als alleinige staatliche Zertifizierungsstelle für das EUCC-Zertifizierungsschema notifiziert worden.
Was heißt das? Unternehmen können nun in Deutschland vom BSI (in anderen Ländern von anderen Zertifizierungsstellen) für ein Produkt ein EUCC-Zertifikat mit höchster Vertrauenswürdigkeitsstufe bekommen, die in allen Mitgliedsstaaten der EU anerkannt werden.
Und was hat all das jetzt mit dem Cyber Resilience Act zu tun?
Ein Cybersecurity-Zertifikat gemäß Cybersecurity Act ist ein Weg, den Cyber Resilience Act zu erfüllen.
Für die meisten Produkte mit digitalen Elementen, die unter den CRA fallen, ist das nicht relevant, denn für sie reicht die Selbsterklärung des Herstellers. Aber für “wichtige” oder “kritische” Produkte in Anhang 3 oder 4 des CRA ist eine Konformitätsbewertung mit externer Prüfung verpflichtend. Und eine Möglichkeite für solch eine externe Konformitätsbewertung ist eben das Zertifikat.
Ein wichtiger Begriff in der Common-Criteria-Welt sind die Protection Profiles (Schutzprofile), die Security-Anforderungen für einen bestimmten Produkttyp definieren. Deswegen gibt es neben den allgemeinen Common-Criteria-Standards (ISO/IEC 15408) auch noch eine Reihe von Standards, die Schutzprofile für bestimmte Produkte definieren.
Gerade für “kritische” Produkte gemäß CRA, Hardware-Sicherheitsmodule oder Mikroprozessoren zum Beispiel, gibt es schon solche Schutzprofile und Zertifizierungen — da liegt es nahe, damit die CRA-Konformität nachweisen zu können. In der Präambel des CRA (Erwägungsgrund 83) ist deswegen auch genau das zu lesen: In einem delegierten Rechtsakt könnte die EU-Kommission festlegen, ob ein EUCC-Zertifikat ganz oder in Teilen die Vermutungswirkung für den CRA erfüllt, also Produkte mit so einem Zertifikat den CRA automatisch mit erfüllen.
Möglicherweise (das sagen Erwägungsgrund 46 und Artikel 8) wird für kritische Produkte gemäß CRA, für die es ein EUCC-Zertifikat oder ein anderes EU-Zertifizierungssschema gemäß Cybersecurity Act gibt, sogar dieses Zertifikat verpflichtend. Und zwar mit Vertrauenswürdigkeitsstufe mindestens “mittel” — denn nur dafür braucht es die externe Prüfung.
Da hätten wir’s dann: Eine nicht mehr freiwilliges, sondern verpflichtendes Cybersecurity-Zertifikat, mit verpflichtender externer Prüfung, für bestimmte Produkte.
So schließt sich der Kreis. Denn dafür — wir haben es ja eingangs gelernt — muss es ein EU-weit einheitliches Zertifikat geben.
Es braucht also den Cybersecurity Act, um ein EU-weit einheitliches Zertifikat samt einheitlicher externer Prüfung zu ermöglichen.
Und es braucht den Cyber Resilience Act, um so ein Zertifikat für bestimmte Produkte verpflichtend zu machen.
Manchmal sind die Dinge eben nicht so einfach, wie wir Stoßseufzende es in unserem Cybersecurity-Elfenbeinturm gern hätten…
