Was bedeutet Common Criteria Zertifizierung für einen sicheren Browser?

Holger Maczkowsky ·
Offizielles Zertifikat mit geprägtem Behördensiegel auf dunklem Schreibtisch neben geschlossenem Laptop, weiches Seitenlicht.

Eine Common-Criteria-Zertifizierung bestätigt, dass ein IT-Produkt unabhängig geprüft wurde und definierte Sicherheitsanforderungen nachweislich erfüllt. Für einen sicheren Browser bedeutet das: Die Schutzmechanismen sind nicht nur versprochen, sondern durch eine akkreditierte Prüfstelle verifiziert. Behörden und Unternehmen erhalten damit eine verlässliche Grundlage für Beschaffungsentscheidungen in sicherheitskritischen Umgebungen.

Ungeprüfte Browserlösungen setzen Ihr internes Netzwerk einem vermeidbaren Risiko aus

Viele Organisationen setzen handelsübliche Browser ein, ohne zu wissen, ob deren Sicherheitsmechanismen wirklich halten, was sie versprechen. Das Problem: Sicherheitslücken in Browsern gehören zu den häufigsten Einfallstoren für Cyberangriffe. Ohne unabhängige Prüfung verlassen Sie sich auf Herstellerangaben ohne externe Kontrolle. Der konkrete Schritt, den Sie dagegen unternehmen können, ist die Auswahl einer Browserlösung mit anerkannter Sicherheitszertifizierung, die durch eine staatlich akkreditierte Stelle evaluiert wurde.

Fehlende Zertifizierungsnachweise bremsen Compliance-Prozesse in regulierten Branchen

Wer in Behörden, Finanzinstituten oder kritischen Infrastrukturen arbeitet, kennt das Problem: Ohne dokumentierten Sicherheitsnachweis wird die Freigabe eines Produkts durch interne IT-Sicherheitsverantwortliche oder externe Prüfer zur langwierigen Angelegenheit. Common-Criteria-Zertifikate sind international anerkannt und liefern genau die Dokumentation, die Compliance-Teams benötigen. Wenn Sie eine Browserlösung mit gültigem CC-Zertifikat einsetzen, beschleunigen Sie Freigabeprozesse erheblich und schaffen eine belastbare Grundlage für Sicherheitsaudits.

Was ist eine Common-Criteria-Zertifizierung?

Common Criteria (CC) ist ein internationaler Standard zur Bewertung der Sicherheit von IT-Produkten, formal bekannt als ISO/IEC 15408. Er definiert einheitliche Kriterien, nach denen unabhängige Prüflabore ein Produkt auf seine Sicherheitseigenschaften testen. Das Ergebnis ist ein anerkanntes Zertifikat, das in vielen Ländern als Beschaffungsgrundlage gilt.

Der Standard entstand aus der Zusammenarbeit mehrerer Länder, darunter die USA, Deutschland, Frankreich und Großbritannien, mit dem Ziel, nationale Sicherheitsbewertungen gegenseitig anzuerkennen. Heute sind Common Criteria in über 30 Ländern anerkannt, was bedeutet: Ein in Deutschland durch das BSI zertifiziertes Produkt wird auch in anderen Mitgliedstaaten des Common Criteria Recognition Arrangement (CCRA) als geprüft akzeptiert.

Die Zertifizierung basiert auf einem sogenannten Schutzprofil oder Security Target, das die Sicherheitsanforderungen an das Produkt beschreibt. Eine unabhängige Prüfstelle bewertet dann, ob das Produkt diese Anforderungen tatsächlich erfüllt. Erst nach erfolgreicher Prüfung wird das Zertifikat ausgestellt.

Was bedeuten die EAL-Stufen bei Common Criteria?

EAL steht für Evaluation Assurance Level und bezeichnet den Grad der Tiefe, mit dem ein Produkt geprüft wurde. Die Stufen reichen von EAL1 (funktionale Prüfung) bis EAL7 (formal verifizierter Entwurf). Eine höhere EAL-Stufe bedeutet eine intensivere Prüfung, nicht automatisch ein sichereres Produkt.

Das ist ein wichtiger Unterschied: EAL beschreibt die Prüftiefe, nicht das Sicherheitsniveau des Produkts selbst. Ein Produkt mit EAL3+ wurde methodisch getestet, sein Design analysiert und seine Entwicklungsprozesse bewertet. Das „+“ hinter einer Stufe zeigt an, dass zusätzliche Anforderungen aus der nächsthöheren Stufe einbezogen wurden.

Für den praktischen Einsatz in Behörden und Unternehmen ist EAL3+ häufig die relevante Mindestanforderung. Es bietet eine solide Prüftiefe, die für viele Einsatzszenarien ausreicht, ohne den Zertifizierungsaufwand auf ein Niveau zu treiben, das nur für Hochsicherheitsumgebungen gerechtfertigt wäre. Das BSI empfiehlt für viele staatliche Beschaffungen Produkte ab EAL3+.

Warum ist eine CC-Zertifizierung für einen Browser besonders wichtig?

Browser sind eines der meistgenutzten Einfallstore für Cyberangriffe, weil sie ständig mit externen, potenziell gefährlichen Inhalten interagieren. Eine CC-Zertifizierung für einen sicheren Browser belegt, dass die Schutzmechanismen gegen diese Bedrohungen unabhängig geprüft und für wirksam befunden wurden – und nicht nur vom Hersteller behauptet.

Herkömmliche Browser werden regelmäßig mit Sicherheitsupdates versorgt, weil laufend neue Schwachstellen entdeckt werden. Das ist kein Zeichen von Qualität, sondern ein Hinweis auf strukturelle Verwundbarkeit. Ein CC-zertifizierter Ansatz geht einen Schritt weiter: Er stellt sicher, dass die Architektur des Systems von Grund auf auf Sicherheit ausgelegt ist und diese Auslegung durch eine externe Stelle verifiziert wurde.

Besonders in Umgebungen, in denen Mitarbeitende täglich auf das Internet zugreifen müssen, interne Systeme jedoch geschützt bleiben sollen, ist dieser Nachweis entscheidend. Die Zertifizierung gibt IT-Verantwortlichen eine belastbare Grundlage, um gegenüber Behördenleitung, Aufsichtsgremien oder externen Prüfern die Sicherheit der eingesetzten Lösung zu belegen.

Wie unterscheidet sich ein zertifizierter Browser von einem herkömmlichen Browser?

Ein CC-zertifizierter Browser unterscheidet sich von einem herkömmlichen Browser vor allem durch seine geprüfte Sicherheitsarchitektur und den dokumentierten Entwicklungsprozess. Während handelsübliche Browser auf Funktionalität und Benutzerfreundlichkeit optimiert sind, steht bei zertifizierten Lösungen der Nachweis definierter Schutzeigenschaften im Vordergrund.

Ein wichtiges Architekturprinzip bei zertifizierten Browserlösungen ist die physische Trennung der Ausführungsumgebung vom Arbeitsplatzrechner. Beim sogenannten Remote-Controlled Browser System (ReCoBS) läuft der Browser auf einem separaten Server. Der Arbeitsplatzrechner empfängt nur eine visuelle Darstellung der Webseite; kein potenziell schädlicher Code erreicht das interne Netzwerk.

Was ist der Unterschied zwischen einem sicheren Browser und einem normalen Browser?

Ein normaler Browser führt Webinhalte direkt auf dem Endgerät aus. Schädlicher Code, der über eine Webseite eingeschleust wird, kann so das Gerät und das Netzwerk gefährden. Ein sicherer, zertifizierter Browser trennt diese Ausführung strukturell ab und verhindert damit, dass Angriffe über den Browser das interne System erreichen können.

Für wen ist ein CC-zertifizierter Browser sinnvoll?

Ein CC-zertifizierter Browser ist besonders sinnvoll für Organisationen, die gesetzliche oder regulatorische Anforderungen an ihre IT-Sicherheit erfüllen müssen oder bei denen ein Sicherheitsvorfall schwerwiegende Folgen hätte. Dazu gehören Behörden, Finanzinstitute, Gesundheitseinrichtungen und Betreiber kritischer Infrastrukturen.

Für diese Zielgruppen ist ein zertifizierter, sicherer Browser kein optionaler Komfort, sondern häufig eine Voraussetzung für die Zulassung bestimmter IT-Systeme. Das BSI empfiehlt für viele Bundesbehörden den Einsatz von Produkten, die nach Common Criteria zertifiziert sind.

Aber auch mittelständische Unternehmen, die sensible Kundendaten verarbeiten oder in regulierten Branchen tätig sind, profitieren von einer zertifizierten Lösung. Der Nachweis einer geprüften Sicherheitsarchitektur stärkt das Vertrauen von Partnern und Kunden und erleichtert die Erfüllung von Anforderungen aus der DSGVO oder branchenspezifischen Standards.

Was sollte man bei der Auswahl einer CC-zertifizierten Browserlösung beachten?

Bei der Auswahl einer CC-zertifizierten Browserlösung sollten Sie auf die Gültigkeit des Zertifikats, die passende EAL-Stufe für Ihren Schutzbedarf, die Architektur der Lösung und die Unterstützung durch den Hersteller achten. Ein abgelaufenes Zertifikat bietet keine verlässliche Aussage zur Sicherheit mehr.

Prüfen Sie folgende Punkte konkret:

  • Aktualität des Zertifikats: Wurde das Produkt kürzlich rezertifiziert? Zertifikate haben eine begrenzte Gültigkeitsdauer und müssen bei wesentlichen Änderungen erneuert werden.
  • Ausstellende Behörde: Für den deutschen Markt ist das BSI die maßgebliche Stelle. Ein durch das BSI ausgestelltes Zertifikat hat hohe Akzeptanz in Behörden und regulierten Branchen.
  • EAL-Stufe im Verhältnis zum Schutzbedarf: Nicht jede Umgebung benötigt EAL5 oder höher. EAL3+ ist für viele Einsatzszenarien ausreichend und etabliert.
  • Architekturprinzip: Trennt die Lösung die Browserausführung physisch vom Arbeitsplatz? Das ist ein wesentliches Merkmal für echten Schutz, nicht nur für eine dokumentierte Prüfung.
  • Herstellerunterstützung: Bietet der Anbieter Wartung, Updates und Support für die zertifizierte Version an? Eine zertifizierte Lösung ohne aktiven Herstellersupport verliert schnell ihren Sicherheitswert.

Vergleichen Sie außerdem, ob das Schutzprofil der Lösung zu Ihrem konkreten Einsatzszenario passt. Ein Zertifikat, das für eine andere Bedrohungsumgebung ausgestellt wurde, liefert möglicherweise keine ausreichende Aussage zur Sicherheit für Ihren spezifischen Kontext. Sprechen Sie im Zweifel mit Ihrer IT-Sicherheitsbeauftragten oder einem externen Berater.

Wie m-privacy GmbH Sie beim Einsatz eines sicheren Browsers unterstützt

Wir bei der m-privacy GmbH entwickeln und betreiben mit TightGate-Pro eine CC-zertifizierte Browserlösung, die genau die Anforderungen erfüllt, die in diesem Artikel beschrieben werden. TightGate-Pro wurde im März 2026 erfolgreich nach Common Criteria (CC v3.1 Revision 5) mit der Evaluierungsstufe EAL3+ durch das BSI rezertifiziert und wird in Behörden, Finanzinstituten und kritischen Infrastrukturen eingesetzt.

Was wir konkret für Sie leisten:

  • Bereitstellung einer BSI-zertifizierten Browserlösung nach dem ReCoBS-Prinzip, die Ihren Arbeitsplatz physisch vom Internet trennt
  • Implementierung und Integration in Ihre bestehende IT-Infrastruktur, abgestimmt auf Ihre spezifischen Anforderungen
  • Security Audits nach ISO 27001 und methodische Risikoanalysen, die Ihnen zeigen, wo Ihr tatsächlicher Schutzbedarf liegt
  • Schulungen für Ihre Mitarbeitenden zu IT-Sicherheit und datenschutzkonformen Verfahrensweisen
  • Externe Datenschutzbeauftragte als Alternative zur internen Stabsstelle, wenn Sie diese Funktion auslagern möchten

Wenn Sie wissen möchten, ob TightGate-Pro die richtige Lösung für Ihre Organisation ist, sprechen Sie uns direkt an. Kontaktieren Sie uns, und wir besprechen gemeinsam Ihren konkreten Schutzbedarf.