PenetrationstestJan Kahmen5 min Lesezeit

Evaluation Assurance Level (EAL)

Der Evaluation Assurance Level (EAL) ist ein numerischer Wert, der die Vertrauenswürdigkeit bzw. die Sicherheit eines IT-Produkts oder Systems wiedergibt.

Inhaltsverzeichnis

Was ist die Evaluation Assurance Level (EAL) ?

Der Evaluation Assurance Level (EAL) ist ein numerischer Wert, der die Vertrauenswürdigkeit bzw. die Sicherheit eines IT-Produkts oder Systems wiedergibt. Es handelt sich dabei um eine internationale Skala, die im Rahmen der Common Criteria (CC) entwickelt wurde, einem international anerkannten Standard für die Bewertung der Sicherheit von IT-Produkten.

Der EAL von 1 bis 7 (zusammen mit drei zusätzlichen Stufen 6+ und 7+) gibt an, wie umfassend und streng das Produkt oder System geprüft wurde, um die Einhaltung der Sicherheitsanforderungen nachzuweisen. Dabei werden verschiedene Sicherheitsfunktionen und -maßnahmen geprüft, wie zum Beispiel die Identifizierung von Benutzern, die Zugriffssteuerung, die Datenübertragung und die Systemintegrität. Eine technische Prüfung durch Pentests müssen durchgefürt werden.

Je höher der EAL-Wert ist, desto umfassender und strenger ist die Sicherheitsprüfung und desto höher ist damit auch das Vertrauen in die Sicherheit des Produkts oder Systems. Ein EAL von 1 steht dabei für die geringste Sicherheitsprüfung, während 7+ die höchste Stufe darstellt und die höchsten Anforderungen erfüllen muss, um ein sehr hohes Maß an Vertrauen in die Sicherheit zu gewährleisten.

Der EAL wird von unabhängigen Akkreditierungsstellen oder IT-Sicherheitsprüfungsorganisationen gemäß den Richtlinien der Common Criteria vergeben. Er dient als Indikator für die Sicherheit von IT-Produkten oder Systemen und kann bei der Entscheidung über den Einsatz von IT-Lösungen hilfreich sein. Allerdings sollte der EAL nicht als alleiniges Kriterium für die Sicherheitsbewertung herangezogen werden, da auch andere Faktoren wie Implementierung und Konfiguration eine wichtige Rolle spielen.

Wie steht die ISO 15408 dazu?

Die ISO 15408 ist ein internationaler Standard, der die Common Criteria (CC) beschreibt und festlegt. Sie legt die Anforderungen für die Durchführung von Sicherheitsbewertungen von IT-Produkten und -Systemen fest und definiert die verschiedenen EAL-Stufen.

Die ISO 15408 legt dabei fest, dass der EAL-Wert auf der Grundlage der durchgeführten Sicherheitsprüfungen und -bewertungen vergeben werden muss. Sie beschreibt auch die spezifischen Anforderungen für jede EAL-Stufe und gibt an, welche Sicherheitsfunktionen und -maßnahmen in jeder Stufe geprüft werden müssen.

Die ISO 15408 stellt sicher, dass der EAL-Wert einheitlich und objektiv vergeben wird und dass er als zuverlässiger Indikator für die Sicherheit von IT-Produkten und -Systemen verwendet werden kann. Sie wird regelmäßig aktualisiert, um den sich ständig ändernden Sicherheitsanforderungen gerecht zu werden.

Warum ist eine Sicherheitszertifizierung nach Common Criteria sinnvoll ?

  1. Internationaler Standard: Common Criteria ist ein international anerkannter Standard für die Bewertung der Sicherheit von IT-Produkten. Es wird von mehr als 26 Ländern weltweit anerkannt und ermöglicht somit eine einheitliche Bewertung der Sicherheit von Produkten.

  2. Unabhängige Bewertung: Die Sicherheitszertifizierung nach Common Criteria wird von unabhängigen und akkreditierten Prüflabors durchgeführt. Dadurch wird sichergestellt, dass die Bewertung objektiv und unvoreingenommen erfolgt.

  3. Vertrauen der Kunden: Durch eine Common Criteria Zertifizierung können Hersteller das Vertrauen ihrer Kunden in die Sicherheit ihrer Produkte stärken. Kunden können sich darauf verlassen, dass die Produkte unabhängig auf ihre Sicherheit geprüft wurden und den internationalen Standards entsprechen.

  4. Risikominimierung: Eine Common Criteria Zertifizierung hilft Herstellern, potenzielle Sicherheitslücken und Schwachstellen in ihren Produkten zu identifizieren und zu beheben. Dadurch wird das Risiko von Sicherheitsvorfällen minimiert und die Sicherheit der Produkte verbessert.

  5. Erfüllung von Anforderungen: In einigen Branchen, wie z.B. im Bereich der Regierung oder des Militärs, ist eine Common Criteria Zertifizierung eine Voraussetzung für den Einsatz von IT-Produkten. Eine Zertifizierung ermöglicht es Herstellern, diese Anforderungen zu erfüllen und ihre Produkte in diesen Bereichen anzubieten.

  6. Kontinuierliche Verbesserung: Eine Common Criteria Zertifizierung ist kein einmaliger Prozess, sondern erfordert regelmäßige Überprüfungen und Aktualisierungen. Dadurch werden Hersteller dazu angeregt, kontinuierlich an der Verbesserung der Sicherheit ihrer Produkte zu arbeiten.

  7. Schutz vor Haftungsansprüchen: Eine Common Criteria Zertifizierung kann Hersteller auch vor Haftungsansprüchen schützen, da sie zeigen können, dass ihre Produkte unabhängig auf ihre Sicherheit überprüft wurden und den internationalen Standards entsprechen.

Insgesamt bietet eine Sicherheitszertifizierung nach Common Criteria also eine Reihe von Vorteilen für Hersteller, Kunden und die Gesellschaft insgesamt, indem sie die Sicherheit von IT-Produkten verbessert und das Vertrauen in diese stärkt.

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen:

Termin vereinbaren