EUCC-Zertifizierung: ein Meilenstein für die europäische Souveränität

Das EUCC-Schema markiert den Übergang zu einer europaweit harmonisierten Bewertung von IT-Sicherheitsprodukten und schafft die Grundlage für eine sichere Digitalisierung in Europa. Es integriert die bisherigen nationalen Verfahren nach Common Criteria (ISO 15408) in einen einheitlichen Rahmen und wird in der gesamten Europäischen Union anerkannt. Damit entfallen künftig aufwendige nationale Anerkennungsverfahren innerhalb der EU.

„Mit der Rezertifizierung zeigen wir, dass wir unsere Technologie kontinuierlich weiterentwickeln“, sagt Dr. Michael Hohmuth, Geschäftsführer und Gründer der Kernkonzept GmbH. „Für die sicherheitskritischen Systeme unserer Kunden und Partner ist es essenziell, dass Software-Zertifizierungen regelmäßig bestätigt und fortgeschrieben werden.“

Bestätigung eines etablierten Sicherheitsansatzes

Das im April 2026 ausgestellte EAL4+-Zertifikat für den L4Re Secure Separation Kernel CC 1.0.2 ist eines der ersten EUCC-konformen Zertifikate, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt und bei der ENISA gelistet wurde. Grundlage der Bewertung sind die Common Criteria v3.1 (ISO/IEC 15408) sowie die spezifischen Anforderungen des EU-Cybersecurity-Rahmens. Neben der Analyse der Sicherheitsarchitektur umfasste die Evaluierung umfangreiche Tests durch die atsec information security GmbH.

Mit der erfolgreichen Evaluierung erfüllt das Produkt gleichzeitig die Anforderungen für das Listing unter dem EUCC-Schema. Dies bestätigt, dass der L4Re Secure Separation Kernel CC strengen internationalen Sicherheitsanforderungen entspricht und nahtlos in den neuen europäischen Rechtsrahmen passt.

Der L4Re Secure Separation Kernel CC basiert auf einer Mikrokern-Architektur mit einer minimalen Trusted Computing Base. Die Angriffsfläche ist dadurch im Vergleich zu klassischen Betriebssystemen erheblich reduziert. Gleichzeitig ermöglicht die Object-Capability-basierte Zugriffskontrolle eine feingranulare Steuerung von Ressourcen und Kommunikationsbeziehungen zwischen streng isolierten Anwendungen mit verschiedenen Sicherheitsstufen.

„Unsere Architektur verfolgt konsequent den Ansatz, sicherheitskritische Funktionen auf das notwendige Minimum zu reduzieren und strikt voneinander zu trennen“, erklärt Dr. Hendrik Tews, Head of Certification bei Kernkonzept. „Die erneute Zertifizierung des L4Re Secure Separation Kernel CC ist für unsere Kunden ein Zeichen, dass sie auch in Zukunft auf die L4Re-Technologie vertrauen können, weil sie den neuen EU-Anforderungen entspricht und international einsetzbar ist.“

Mehr Planungssicherheit für Hersteller sicherheitskritischer Systeme

Für Hersteller sicherheitskritischer IT-Systeme bietet die Rezertifizierung nach CC v3.1 eine wichtige Grundlage: Sie können mit dem L4Re Secure Separation Kernel CC 1.0.2 weiterhin auf einen bereits zertifizierten Separationskern zurückgreifen und so eigene Zertifizierungsaufwände reduzieren. Dies erleichtert die Entwicklung und Zertifizierung komplexer Systeme, insbesondere in regulierten Bereichen wie kritischen Infrastrukturen.

Die freiwillige EUCC-Zertifizierung des L4Re Secure Separation Kernel CC bietet klare Vorteile für Hersteller und Anwender von Software-Produkten:

• Mit dem in der Zertifizierung fest verankerten Kompositionsansatz können Kunden, die den L4Re Secure Separation Kernel CC für ihr High-Assurance-Produkt wählen, ihre eigene Zertifizierung maßgeblich vereinfachen.
• Die Verwendung eines zertifizierten Separationskerns und die Einhaltung der Configuration Guidance reduzieren Zertifizierungsrisiko und -dauer deutlich.
• Kunden können sich auf die Zertifizierung ihrer eigenen Anwendungen konzentrieren und so die Markteinführungszeit deutlich verkürzen.

Mit der erfolgreichen Rezertifizierung des L4Re Secure Separation Kernel CC nach CC v3.1 unter dem neuen EUCC-Schema bekräftigt Kernkonzept sein Ziel, sichere Virtualisierungs- und Betriebssystemtechnologie dauerhaft auf einem verlässlichen und nachvollziehbaren Sicherheitsniveau zu halten und mit L4Re einen Stützpfeiler der europäischen digitalen Souveränität zu bieten.