Navigation
Bedeutsamkeit von Evaluation Assurance Level

EAL Bedeutsamkeit von Evaluation Assurance Level

Die Bewertung der Sicherheit von IT-Produkten hängt maßgeblich von den Evaluation Assurance Levels ab. In diesem Artikel erfahren Sie, was die verschiedenen Level auszeichnet und wer sie implementiert hat.

  • Mathias Wallem
  • 27. September 2023

Die ISO/IEC 15408 wurde ins Leben gerufen, um einen weltweit gültigen Standard für die Beurteilung der Sicherheitsmerkmale von IT-Produkten und -Systemen zu etablieren. In diesem Beitrag erfahren Sie mehr über die Bedeutung, die Details und den Ursprung dieser Standards.

Was genau ist die Common Criteria?

Der Ausdruck Common Criteria (CC) steht für „Common Criteria for Information Technology Security Evaluation“, auf Deutsch übersetzt bedeutet dies „Gemeinsame Kriterien für die Sicherheitsbewertung von Informationstechnologie“. Diese gemeinsamen Kriterien stellen einen international akzeptierten Standard für die objektive Beurteilung der Sicherheitsmerkmale von IT-Systemen und -Produkten dar. Ihr Ziel ist es, einen standardisierten Rahmen für die Evaluierung, Zertifizierung und Akkreditierung von IT-Systemen zu bieten.

Die Common Criteria wurden erstmals in den späten 1990er-Jahren von den Regierungen der USA, Kanadas, Großbritanniens, Frankreichs und Deutschlands eingeführt. Seitdem haben sich zahlreiche Länder dem internationalen Common Criteria Recognition Arrangement (CCRA) angeschlossen, um die weltweite Verbreitung des Standards zu unterstützen und eine gegenseitige Anerkennung von Zertifikaten zu gewährleisten.

Die Common Criteria folgen einem modularen Konzept, das auf Schutzprofilen (Protection Profiles) und Bewertungskriterien (Evaluation Assurance Levels) basiert. Schutzprofile legen die Sicherheitsanforderungen für spezifische Kategorien von IT-Produkten fest, während die Bewertungskriterien die unterschiedlichen Sicherheitsstufen (EALs) bestimmen.

Durch die Befolgung der Common Criteria können Produzenten und Entwickler die Sicherheit ihrer Produkte evaluieren lassen. Bei erfolgreicher Bewertung erhalten sie ein Zertifikat, das die Sicherheitsleistung des Produkts bestätigt. Dieses Zertifikat kann von Organisationen, Regierungen oder Kunden herangezogen werden, um die Zuverlässigkeit eines IT-Produkts zu bewerten.

Was sind die Evaluation Assurance Level?

Das Konzept der Evaluation Assurance Level (EAL) dient der Beurteilung des Sicherheitsgrades von IT-Produkten oder -Systemen. Es existieren sieben EAL-Stufen, die von EAL1 (geringstes Niveau) bis EAL7 (höchstes Niveau) reichen. Jede Stufe legt einen Satz von Anforderungen und Kriterien fest, die erfüllt werden müssen, um das jeweilige EAL zu erreichen.

Üblicherweise verleiht eine unabhängige Einrichtung, wie zum Beispiel ein Zertifizierungslabor, die EAL-Stufen. Die Bewertung umfasst eine gründliche Überprüfung der Dokumentation, des Designs und der Umsetzung des Produkts sowie praktische Tests, um die Übereinstimmung der Sicherheitsfunktionen mit den festgelegten Anforderungen zu gewährleisten.

Die EAL-Stufen dienen als Leitfaden für Organisationen und Entwickler, um den Sicherheitsgrad von IT-Produkten zu beurteilen und zu vergleichen. Je höher das EAL, desto gründlicher waren die erforderlichen Sicherheitsmaßnahmen und Prüfverfahren zur Validierung des Produkts.

Insgesamt gibt es sieben EAL-Stufen. © Shutterstock, Alexander Supertramp
Die Evaluation Assurance Levels sind in verschiedene Stufen aufgebaut. © Shutterstock, Alexander Supertramp

Wie sind die Stufen des EAL aufgebaut? 

Hier sind die sieben EAL-Stufen im Detail beschrieben:

  • EAL1 – Funktionale Prüfung: EAL1 repräsentiert die elementarste Ebene der Bewertung. Es beinhaltet eine funktionale Prüfung des Produkts, um sicherzustellen, dass es korrekt arbeitet und den angegebenen Anforderungen genügt. Es sind keine besonderen Sicherheitsvorkehrungen erforderlich.
  • EAL2 – Strukturierte Prüfung: Neben funktionalen Tests umfasst EAL2 auch eine strukturierte Prüfung des Produkts. Hierbei werden zusätzliche Schritte unternommen, um zu gewährleisten, dass das Produkt konsistente und wiederholbare Testresultate liefert.
  • AL3 – Methodisch ausgearbeitetes und getestetes Design: EAL3 erfordert ein gewissenhaft entwickeltes und getestetes Design des Produkts. Sicherheitsvorkehrungen werden integriert, um potenzielle Bedrohungen zu bekämpfen. Es besteht ein erhöhtes Vertrauen in die Übereinstimmung des Produkts mit den festgelegten Sicherheitsanforderungen.
  • EAL4 – Systematisches Design mit umfassender Prüfung: EAL4 beinhaltet ein systematisch ausgearbeitetes Design, das durch umfangreiche Tests überprüft wird. Zusätzliche Sicherheitsvorkehrungen werden getroffen, um eine robuste Sicherheitsstruktur zu sichern. Es besteht ein hohes Maß an Vertrauenswürdigkeit und ein erheblicher Schutz gegen Bedrohungen.
  • EAL5 – Halbformale Design- und Testmethoden: EAL5 umfasst halbformale Design- und Testprozesse. Es werden weitreichende Sicherheitsvorkehrungen eingeleitet, um potenzielle Angriffe zu identifizieren und abzuwehren. Das Produkt zeichnet sich durch eine hohe Vertrauenswürdigkeit und ein robustes Schutzniveau aus.
  • EAL6 – Verfeinertes Design und Prüfprozess: EAL6 fordert ein ausgefeiltes Design und Prüfprozedere und setzt strenge Sicherheitsvorkehrungen voraus. Es werden umfassende und anspruchsvolle Tests durchgeführt, um die Integrität des Produkts zu sichern. Das Produkt bietet einen sehr hohen Sicherheitsgrad und zeigt sich gegenüber fortgeschrittenen Bedrohungen robust.
  • EAL7 – Formale Design- und Verifizierungsprozesse: EAL7 repräsentiert die höchste Stufe der Bewertung. Es verlangt formale Design- und Verifizierungsprozesse, die mathematische Nachweise für die Sicherheitsmerkmale des Produkts liefern. Es werden strenge Tests durchgeführt, um ein außergewöhnlich hohes Maß an Vertrauenswürdigkeit und einen ausgeprägten Schutz gegen die komplexesten Bedrohungen zu garantieren. EAL7 ist für Systeme vorgesehen, die in Umgebungen mit extrem hohen Sicherheitsanforderungen zum Einsatz kommen, wie zum Beispiel in Regierungs- oder Verteidigungssystemen.
Es ist essentiell, dass Nutzer:innen der Sicherheit von IT-Produkten vertrauen können. © Shutterstock, LookerStudio
Es gibt zahlreiche wichtige Gründe, warum die IT-Sicherheit nicht nur sichergestellt, sondern auch bewertet werden muss. © Shutterstock, LookerStudio

Wieso muss die Sicherheit von IT-Produkten bewertet werden?

In unserer immer stärker digitalisierten und vernetzten Welt nehmen IT-Produkte eine zentrale Stellung ein. Daher ist es von größter Wichtigkeit, dass Nutzer:innen der Sicherheit dieser Produkte vertrauen können. Hier sind einige Gründe, warum die Sicherheitsbeurteilung von IT-Produkten so bedeutend ist:

  1. Abwehr von Gefahren: IT-Produkte können verschiedenen Gefahren wie Cyberattacken, Datenverlusten und schädlicher Software ausgesetzt sein. Eine Sicherheitsbeurteilung trägt dazu bei, Schwachstellen und Sicherheitsdefizite in Produkten aufzudecken. Dadurch können entsprechende Schutzmechanismen eingeführt und das Risiko von Sicherheitszwischenfällen reduziert werden.
  2. Sicherheit und Verlässlichkeit: Kunden, Organisationen und Regierungen legen Wert darauf, dass die IT-Produkte, die sie nutzen, sicher und verlässlich sind. Eine Sicherheitsbeurteilung bietet die Bestätigung, dass geeignete Sicherheitsvorkehrungen getroffen wurden und das Produkt den vorausgesetzten Sicherheitsnormen gerecht wird.
  3. Datenschutz und Privatsphäre: IT-Produkte bearbeiten häufig vertrauliche Daten, einschließlich persönlicher und geschäftlicher Informationen. Eine Sicherheitsbewertung gewährleistet, dass entsprechende Schutzmaßnahmen zur Wahrung der Privatsphäre und zur Einhaltung der Datenschutzgesetze getroffen wurden, um Datenverlust und -missbrauch zu verhindern.
  4. Branchenspezifische Vorgaben: In zahlreichen Sektoren existieren bestimmte Normen und Leitlinien, die die Sicherheit von IT-Produkten bestimmen. Eine Sicherheitsevaluierung ist häufig notwendig, um die Übereinstimmung mit diesen Vorgaben zu belegen und gesetzliche Auflagen zu erfüllen.
  5. Vertrauensbildung und Wettbewerbsvorsprung: Eine positive Sicherheitsbeurteilung kann das Kundenvertrauen fördern und einen Wettbewerbsvorteil schaffen. Kunden neigen eher dazu, Produkte zu verwenden, von deren Sicherheit sie überzeugt sind. Unternehmen können sich durch das Aufzeigen hoher Sicherheitsstandards von der Konkurrenz absetzen.

Mit Smart Lens bestens vorbereitet

Smart Lens bietet Ihnen umfassende Dienstleistungen an, um die Sicherheit Ihrer Daten und den Schutz vor Cyberbedrohungen sicherzustellen. Mithilfe unseres fortschrittlichen Tools für Penetrationstests, dem Smart Lens Penetration Testing Tool, identifizieren wir potenzielle Schwachstellen in Ihrem Netzwerk, bevor diese von Angreifern ausgenutzt werden können. Unser Hauptziel ist es, die Sicherheit Ihrer Daten zu gewährleisten und Sie vor möglichen Cyberbedrohungen zu schützen.

Wenn Sie sich weiter über Themen wie Cybersecurity oder Nachhaltigkeit in der Technologiebranche informieren möchten, laden wir Sie herzlich ein, unser Online-Magazin zu besuchen.

Beitragsbild: © Shutterstock, TierneyMJ

Weitere Beiträge

Wie künstliche Intelligenz Unternehmen sicherer macht

Wie künstliche Intelligenz Unternehmen sicherer macht

Erleben Sie die faszinierende Welt der künstlichen Intelligenz und wie sie unsere Zukunft neugestaltet. Entdecken Sie die Möglichkeiten mit uns!

Hackerangriff: Wie schützen Sie Ihr Unternehmen?

Hackerangriff: Wie schützen Sie Ihr Unternehmen?

Global steigen Hackerangriffe: Handeln und Wissen sind gefragt. Wie operieren Hacker:innen? Wo sind Schwachstellen in Ihrem Unternehmen? Wie ist Schutz möglich?