Common Criteria: TÜV für IT-Sicherheit

TCSEC und ITSEC

Die Trusted Computer System Evaluation Criteria (TCSEC, "Orange Book") entstanden 1980 im Auftrag des US-Verteidigungsministeriums am National Computer Security Center der NSA. Einige Jahre später wurden sie um die Trusted Network Interpretation zur Einbeziehung vernetzter Systeme erweitert.

Die referenzierten Kriterien orientieren sich stark an den Sicherheitsanforderungen militärischer Systeme und eignen sich daher nur eingeschränkt zur Beurteilung kommerzieller Systeme. Dennoch spielt TCSEC noch immer für solche Anbieter eine wichtige Rolle, zu deren Kunden das amerikanische Justiz- oder Verteidigungsministerium gehören.

Das europäische Gegenstück zu TCSEC stellen die Information Technology Security Evaluation Criteria (ITSEC) dar. In ihnen fassten 1991 Deutschland, Frankreich, die Niederlande und Großbritannien ihre nationalen IT-Sicherheitskriterien zusammen.

Während TCSEC einen klaren Fokus auf die Vertrauenswürdigkeit legt, ergänzt ITSEC die Betrachtungsweise um die Funktionalität. Zudem differenziert ITSEC bei der Vertrauenswürdigkeit zwischen Korrektheit und Wirksamkeit. Bei der Evaluierung kommerzieller Software ist ITSEC daher im Vorteil.