Mit "Zertifizierung mehrseitiger IT-Sicherheit" legt Kai Rannenberg eine ausgezeichnete Überblicksdarstellung über die Entwicklung und die Reichweite der verschiedenen Kriterienkataloge zur Evaluation und Zertifizierung von IT-Produkten und -Systemen vor. Bereits in den 70-er Jahren, unter der Federführung des Departement of Defense (DoD), wurde mit dem Orange Book ein erster Katalog aufgelegt, der es ermöglichen sollte, IT-Produkte und -Systeme auf deren Sicherheit hin zu prüfen und - im Falle eines Erfolgs - auch zu zertifizieren. Dies wiederum sollte es Benutzern erleichtern, bei der Beschaffung eine gezielte Auswahl vornehmen zu können, da, wie Rannenberg zu Recht feststellt, "die Komplexität informationstechnischer Systeme bereits seit mehreren Jahrzehnten eine Beurteilung ihrer Sicherheit durch einfache Draufschau unmöglich" gemacht habe. Rannenberg zeichnet - detailliert und kenntnisreich - die Entwicklung der Kriterienkataloge vom Orange Book bis zu den Common Criteria (Version 1.0) nach, ohne aber darüber hinwegzusehen, dass auch alternative Wege (ECMA 1997) zum Ziel sicherer IT-Produkte und -Systeme führen können. In globo verweist Rannenberg abschliessend auf drei grosse Problemkreise, die noch einer Lösung harren: Die vorgelegten Kataloge seien viel zu umfangreich, um über den Kreis der Spezialisten überhaupt nachvollzogen zu werden. Damit werde dem Wunsch von Benutzern nach vermehrtem Vertrauen in IT-Produkte und -Systeme zuwenig nachgelebt. Vertrauen - so eine Schlussfolgerung - werde zu sehr mit Tests und Analyseverfahren enggeführt. Weiter hebt Rannenberg hervor, dass die Kriterienkataloge die Sicherheit der Benutzer (z.B. den Surfer vor Überwachung) nur am Rande berührten. Schliesslich - und dem ist beizupflichten - fallen bei einer Evaluation und Zertifizierung von IT-Produkten und -Systemen teilweise sehr hohe Kosten an (Kapital, Humankapital).
