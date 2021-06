Common Criteria: TÜViT evaluiert erstes IT-Produkt nach EAL7 im BSI Zertifizierungsschema

Die Arbit Data Diode 10GbE in Version 1.00 des dänischen Herstellers Arbit Cyber Defence Systems ApS (Arbit) zählt seit Kurzem zu den einzigen beiden IT-Produkten, die offiziell nach dem höchsten Evaluation Assurance Level (EAL7+) der Common Criteria zertifiziert sind.

Nach erfolgreicher Evaluierung durch die TÜV Informationstechnik GmbH (TÜViT) und Anerkennung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann Arbit nun schwarz auf weiß nachweisen, dass ihre Datendiode mit der höchst möglichen Prüftiefe im Rahmen der Common Criteria (CC) untersucht wurde. Dies bestätigt das bislang erste im deutschen Zertifizierungsschema ausgestellte EAL7+-Zertifikat.

Die Datendiode – Schützt vor Datendiebstahl und -missbrauch

Bei der Arbit Data Diode handelt es sich um eine Datendiode, die Netzwerke durch ihre physikalischen Eigenschaften voneinander separiert. Sie gewährleistet, dass Daten von einem offenen Netzwerk über ein Common Criteria EAL7+ zertifiziertes Hardwaremodul (die Diode) in ein geschlossenes Netzwerk hinein-, aber nicht mehr hinausgelangen können. Auf diese Weise werden die im geschlossenen Netzwerk gespeicherten Daten nach außen hin abgeschirmt und damit gegenüber Datendiebstahl oder -missbrauch geschützt.

Erfolg des Projektes

Zu Projektbeginn musste zunächst die konkrete Prüfmethodologie für eine Evaluation gemäß EAL7+ erstellt werden. Dies betraf insbesondere die formale Spezifikation des Produkts, aber auch die funktionalen Tests, die sowohl vom Hersteller als auch dem Prüflabor durchzuführen waren. Daher wurden in enger Abstimmung mit dem BSI konkrete Prüfaufgaben für die zusätzlichen Anforderungen einer EAL7+-Evaluation definiert, die sich auf den speziellen Kontext der Arbit Datendiode bezogen.

Um das gesetzte Ziel zu erreichen, profitierte Arbit insbesondere von den Diensten der dänischen Firma Confiware und Arne Stig Peters, der das Unternehmen während des gesamten Zertifizierungsprozesses beratend unterstützte und maßgeblich an der Entwicklung, dem erforderlichen CC-Dokumentenpaket und den formalen Modellen der Arbit Data Diode beteiligt war.

?Entscheidend für den erfolgreichen Abschluss des Projekts war ? neben einem fachlich versierten Team bei TÜViT ? auch ein Hersteller, der sich den konkreten Anforderungen, die erst während des Verfahrens festgelegt wurden, mit Selbstvertrauen in das eigene Know-how offen gestellt hat. Ich möchte an dieser Stelle aber auch die zuständigen Zertifizierer beim BSI erwähnen, die uns jederzeit mit Kompetenz und Fokus zur Seite standen?, fasst Dr.-Ing. Alexander Schasse, Projektleiter und IT-Sicherheitsexperte bei TÜViT, den Abschluss des Projektes zusammen.

?Arbit hat große Anstrengungen unternommen, um die Zertifizierung nach EAL7+ zu erreichen. An dieser Stelle möchte ich noch einmal meine persönliche Anerkennung für eine außergewöhnlich gute und professionelle Zusammenarbeit mit Dr. Ing. Alexander Schasse und Dr. Ing. Sebastian Becker zum Ausdruck bringen“, so Rasmus Borch, Gründer von Arbit.

Erfolgreicher Nachweis über die Funktionsweise der Arbit Data Diode

Dass die Arbit Data Diode genauso funktioniert wie vom Hersteller versprochen, belegt die erfolgreiche Prüfung durch TÜViT, die nun vom BSI mit einem CC-Zertifikat gekrönt wurde.

Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.

Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. Der Geschäftsbereich IT wird vertreten durch die TÜV Informationstechnik GmbH und die im Januar 2018 neu gegründete Beratungsgesellschaft TÜV NORD IT Secure Communications GmbH & Co. KG mit Sitz in Berlin.