RELIANOID Konformität mit ISO/IEC 15408 (Common Criteria)

Zuletzt bewertet: September 2025
Nächste Überprüfung fällig: September 2026

Konformitätserklärung zu ISO/IEC 15408

Common Criteria Security Alignment für RELIANOID Load Balancer und Organisation

RELIANOID ist ausgerichtet auf die Grundsätze der ISO / IEC 15408: 2022, das auch als das bekannte Gemeinsame Kriterien für die Bewertung der Informationstechnologiesicherheit (CC)Dieser international anerkannte Standard ermöglicht eine strukturierte Bewertung der Sicherheitseigenschaften von IT-Produkten und wird häufig bei der Beschaffung staatlicher und kritischer Infrastrukturen verlangt.

Während RELIANOID hat keine formelle Zertifizierung nach Common Criteria durchlaufen, unsere organisatorische Kontrollen und Architektur der Lastausgleichsplattform sind stark ausgerichtet auf die Grundsätze des Common Criteria Evaluation Assurance Level (EAL), insbesondere im Zusammenhang mit Cloud- und On-Premise-Bereitstellungen in Umgebungen mit hoher Sicherheit.

Was ist ISO / IEC 15408?

ISO/IEC 15408 bietet einen Rahmen für die Bewertung der Sicherheit von IT-Produkten durch:

  • Sicherheitsfunktionale Anforderungen (SFRs) – die Funktionen und Schutzfunktionen, die ein Produkt bietet
  • Sicherheitsanforderungen (SARs) – die Nachweise und Prozesse, die zeigen, wie diese Funktionen sicher implementiert werden

Es wird weithin angenommen von nationale Cybersicherheitsbehörden und regulierte Sektoren wie Verteidigung, Energie, Finanzen und öffentliche Beschaffung.

Produktumfang und Ziel der Bewertung (TOE)

Die EVA umfasst alles RELIANOID Unternehmenskomponenten:

  • Komponenten: Hardwaregeräte, Softwareplattform und Verwaltungsschnittstellen (Web-UI, CLI, API).
  • LTS-Lebenszyklus: Alle Enterprise-Versionen sind Langzeit-Support. Aktuelle Hauptversion: v8 (unterstützt bis Juni 2029).
  • Betriebssystem: Debian-Bücherwurm.
  • Bereitstellungsmodelle: Hauptsächlich vor Ort; wird auch in Cloud- und Hybridumgebungen unterstützt.
  • Topologien: Standalone, Cluster und Dual-Mode mit Disaster Recovery (DR).

Organisatorische Ausrichtung nach gemeinsamen Kriterien

RELIANOID befolgt bei unseren internen Entwicklungs-, Bereitstellungs- und Betriebspraktiken die wichtigsten Sicherheits- und Lebenszyklusprinzipien von ISO/IEC 15408.

Sicherheitsziel und Bedrohungsmodell

Wir pflegen eine interne Sicherheitszieldokument ausgerichtet an der Common Criteria-Struktur, die Folgendes definiert:

  • Geschützte Vermögenswerte (z. B. Netzwerkverkehr, Konfigurationen, Anmeldeinformationen)
  • Behandelte Bedrohungen (z. B. Rechteausweitung, Man-in-the-Middle, unbefugter Zugriff)
  • Annahmen und Umweltaspekte (z. B. sichere Netzwerkplatzierung)

Design- und Entwicklungskontrollen

Unser Secure Software Development Lifecycle (SSDLC) umfasst:

  • Tägliche automatisierte Sicherheitstests (SAST, DAST)
  • Schwachstellenscans von Drittanbieterbibliotheken
  • Formale Änderungskontrolle und versionierte Release-Dokumentation
  • Code-Signierung und Überprüfung der Release-Integrität

Zuordnung der funktionalen Sicherheitsanforderungen (SFR)

RELIANOID Load Balancer implementiert eine breite Palette von SFR-äquivalenten Steuerelementen, darunter:

  • Identifizierung und Authentifizierung (FIA): Benutzer authentifizieren sich über Passwörter, Schlüsselpaare oder SSO. Der API-Zugriff erfolgt pro Benutzer mit generierten Token; alle Schnittstellen unterstützen sichere Authentifizierungsabläufe.
  • Zugangskontrolle (AC/FMT/FDP): Die rollenbasierte Zugriffskontrolle wird für alle Komponenten und Schnittstellen (Web, CLI, API) erzwungen, einschließlich objektspezifischer Kontrollen für Lastausgleichsdienste.
  • Audit & Rechenschaftspflicht (FAU): Audit- und Systemprotokolle werden standardmäßig 7 Tage lang gespeichert und können exportiert oder in SIEM-Plattformen integriert werden.
  • Kryptografische Unterstützung (FCS): Robuste Kryptografie mit hohen Schlüssellängen. Standardmäßig TLS v1.2 oder höher (vorzugsweise TLS v1.3). Legacy-Protokolle/Chiffren sind standardmäßig deaktiviert und können bei Bedarf manuell aktiviert werden. Optionale FIPS 140-validierte Module.
  • Benutzerdatenschutz (FDP): Benutzerdaten werden nur bei Bedarf gespeichert und im Ruhezustand immer verschlüsselt (z. B. Benutzer und Passwörter).
  • Sicherheitsmanagement (FMT): Der Root-Benutzer dient als primäres Administratorkonto. Zusätzliche Benutzer, Gruppen und Berechtigungen können über das RBAC-Modul konfiguriert werden.
  • Schutz der TOE-Sicherheitsfunktionen (FPT): Secure Boot, signierte Kernelmodule und GPG-geschützter Repository-Zugriff sind implementiert.
  • Kommunikationsschutz (FTP/FTA): Die gesamte Kommunikation ist verschlüsselt; die Sitzungsverwaltung umfasst Ablauf- und erneute Authentifizierungskontrollen.

Ausrichtung der Security Assurance Requirements (SAR)

  • Design & Dokumentation: Interne Dokumentation (Module, Architekturdiagramme) finden Sie in unserem Knowledge Base.
  • Code-Überprüfungen und -Scans: Automatisiertes und KI-gestütztes Code-Scanning mit manuellen Peer-Reviews.
  • Schwachstellenmanagement: Wöchentliche Schwachstellenscans, vierteljährliche Berichte und CVE-verfolgte Patch-Releases, veröffentlicht in unserem historische Zeitstrahl.
  • Unabhängige Tests: Externe Pentests und Scans auf Anwendungs-, Netzwerk- und Infrastrukturebene.
  • Formale Prüfung: Tägliche automatisierte Sicherheitstests mit erweiterter Abdeckung in jedem Release-Zyklus.

Entwicklungs- und Wartungsprozesse

  • SSDLC: Anforderungen → Design → Implementierung → Testen → Validierung → Kontinuierliche Verbesserung. Verwaltet mit Git, Gitea und internen Automatisierungstools.
  • Änderungs- und Konfigurationsmanagement: Genehmigungsworkflows, Rollback-Verfahren und Dokumentation von Änderungen, die in allen Umgebungen angewendet werden.
  • Freigabeverwaltung: Updates werden verpackt, getestet und sicher verteilt. Vor der Übertragung in Produktionsrepositorys wird eine Vorproduktionsvalidierung durchgeführt.

Betriebssicherheit

  • Vorfallantwort: Definierte Eskalations- und Lösungsverfahren mit einer durchschnittlichen Reaktionszeit von ca. 2 Minuten.
  • Monitoring: Echtzeitmetriken mit integrierten Systemen zur Erkennung und Verhinderung von Angriffen. Bedrohungsinformationen werden mit Community- und Branchenplattformen geteilt.
  • Sicherung und Notfallwiederherstellung: Wöchentliche verschlüsselte Backups mit monatlichen Wiederherstellungstests.

Einsatz in regulierten und zertifizierten Umgebungen

Obwohl nicht offiziell zertifiziert, RELIANOID unterstützt:

  • Integration in Common Criteria-evaluierte Systeme
  • Kundenbeschaffungsbewertungen in EAL-fokussierten Umgebungen
  • Strukturierte Dokumentation im Einklang mit nationalen Systemen (z. B. CCN-STIC, NIAP, BSI TR)

Sicherungsmaßnahmen und Nachweise

Zur Unterstützung der an den Common Criteria ausgerichteten Sicherungsziele bieten wir:

  • Versionshinweise mit detaillierten Änderungsprotokollen
  • Bedrohungsorientierte Sicherheitsdesigndokumentation
  • Archivierte Schwachstellenscan- und Patchberichte
  • Leitfäden zur sicheren Bereitstellung und Checklisten zur Härtung

Organisatorische Ausrichtung

  • Sicherheits-Governance: Das Sicherheits-Compliance-Team unter der Leitung von CEO, CTO und COO gewährleistet sichere Entwicklung, Prozesse und Compliance-Ausrichtung.
  • Sicherheitsschulung für Mitarbeiter: Vierteljährliche Schulungen und kontinuierliche Sensibilisierung für Branchenbedrohungen.
  • Interne Sicherheitsaudits: Vierteljährliche Audits mit Nachverfolgung der Abhilfemaßnahmen. Berichte sind öffentlich verfügbar.
  • Richtlinien: Veröffentlichte Richtlinien zu Datenschutz, Vorfallreaktion, Geschäftskontinuität, globaler Datentrennung, Drittparteirisiken, Zugriffskontrolle, akzeptabler Nutzung und Datenverarbeitung.

Beweise stützen

  • Neueste RELIANOID Sicherheitsbericht: Als aktuellste Version bestätigt.
  • Wissensbasis: Aktualisierte Whitepapers, Datenblätter und Architekturdiagramme: Knowledge Base.
  • Kundengarantieerklärungen: Veröffentlichte Erklärungen für regulierte Branchen, abgestimmt auf die sich entwickelnden Cybersicherheitsvorschriften.

Verpflichtung zu den Common Criteria-Prinzipien

RELIANOID ist verpflichtet zu:

  • Ausrichtung der Entwicklung neuer Funktionen an der Common Criteria-Designmethodik
  • Unterstützung kundenorientierter Evaluierungsbemühungen
  • Aufrechterhaltung einer bedrohungsbewussten, sicheren Entwicklungsumgebung
  • Gewährleistung von Transparenz und Integrität über den gesamten Produktlebenszyklus

Dokumentenprüfungen

DatumKommentar
10th Juli 2025Erstveröffentlichung der ISO/IEC 15408-Konformitätsausrichtung
2nd September 2025Erweiterter TOE-Umfang, aktualisierte SFR-Zuordnung, SAR-Ausrichtung, SSDLC- und Ops-Details, organisatorische Governance und unterstützende Nachweise

Kontakt und Versicherung

Wir freuen uns über Anfragen nach technischen Bewertungsmaterialien, Zusammenfassungen von Sicherheitszielen oder Unterstützung bei Beschaffungsprojekten nach Common Criteria.

Kontaktieren Sie unser Compliance- und Sicherheitsteam

Aktuellen Sicherheitsbericht herunterladen