Definition EAL | Evaluation Assurance Level Was ist EAL?

Der Evaluation Assurance Level (EAL) ist eine Bewertungsstufe nach Abschluss einer Common-Criteria-Sicherheitsevaluierung eines IT-Produkts oder IT-Systems. Die Bewertungsstufen sind in ISO/IEC 15408 standardisiert und beschrieben. Es existieren sieben verschiedene Stufen, die mit steigender Nummer höhere Anforderungen an Umfang, Tiefe und Methoden der Prüfung stellen. Grundsätzlich trennt Common Criteria in der Betrachtung zwischen Funktionalität und Vertrauenswürdigkeit.

Anbieter zum Thema

EAL (Evaluation Assurance Level) ist eine Bewertungsstufe eines IT-Produkts oder IT-Systems, nach Abschluss einer Common-Criteria-Sicherheitsevaluierung.
EAL (Evaluation Assurance Level) ist eine Bewertungsstufe eines IT-Produkts oder IT-Systems, nach Abschluss einer Common-Criteria-Sicherheitsevaluierung.
(Bild: gemeinfrei / Pixabay )

EAL ist das Akronym für Evaluation Assurance Level. Es handelt sich um eine Bewertungsstufe für ein IT-Produkt oder IT-System nach Abschluss einer Common-Criteria-Sicherheitsevaluierung. Es existieren sieben verschiedene EAL-Stufen, die die Vertrauenswürdigkeit einer Sicherheitsleistung eines IT-Produkts oder IT-Systems kennzeichnen. Je höher die EAL-Nummer, desto höher die Vertrauenswürdigkeit der geprüften Sicherheitsleistung. Mit steigenden EAL-Nummern entstehen höhere Anforderungen an Umfang, Tiefe und Methoden der Prüfung. Üblicherweise erreichen kommerzielle Produkte und Systeme maximal den vierten Evaluation Assurance Level.

Die Stufen EAL5 bis EAL7 sind aufgrund des hohen Aufwands der Zertifizierung und der Notwendigkeit der Entwicklung der Produkte und Systeme nach speziellen Sicherheitsmethoden kaum von praktischer Bedeutung. Standardisiert und beschrieben sind die Common-Criteria-Sicherheitsevaluierung und die Evaluation Assurance Level in ISO/IEC 15408. Ziel einer Common-Criteria-Prüfung ist der Nachweis der Wirksamkeit der vom Hersteller implementierten Sicherheitsfunktionen. Eine CC-Evaluierung ist aufwendig und nimmt einiges an Zeit in Anspruch. Common Criteria trennt in der Betrachtung grundsätzlich zwischen Funktionalität und Vertrauenswürdigkeit. Da sich die EAL-Stufe immer auf eine Funktionalität bezieht, bedeutet ein höherer Evaluation Assurance Level nicht prinzipiell, dass das Produkt oder System ganzheitlich betrachtet sicherer ist.

Grundlegende Informationen zu Common Criteria for Information Technology Security Evaluation

Common Criteria for Information Technology Security Evaluation (kurz CC) ist ein international gültiger Standard zur Bewertung der Sicherheit von Produkten und Systemen der Informationstechnologie. 1999 wurden die Common Criteria in ISO/IEC 15408 zu einem internationalen Standard erklärt. CC sind in den drei Teilen "Einführung und allgemeines Modell", "funktionale Sicherheitsanforderungen" und "Anforderungen an die Vertrauenswürdigkeit" dokumentiert. Wesentlicher Grundsatz der Common Criteria ist, dass in der Betrachtung zwischen der Funktionalität und der Vertrauenswürdigkeit unterschieden wird. Die Vertrauenswürdigkeit entsteht erst durch die Prüfung der Funktionalität. Bei einer CC-Sicherheitsprüfung erfolgt zunächst die Evaluierung des Produkts durch eine akkreditierte Prüfstelle. Anschließend erteilt eine Zertifizierungsstelle das Zertifikat. In Deutschland übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Rolle einer Zertifizierungsstelle. Bis zur Stufe EAL4 sind die Evaluation Assurance Level gegenseitig international anerkannt. Darüber hinaus ist die internationale Anerkennung nicht zwingend gegeben.

Die sieben EAL-Stufen im Detail

Common Criteria definiert sieben Stufen der Vertrauenswürdigkeit. Mit höheren Stufen steigt die Vertrauenswürdigkeit in die geprüften Funktionalitäten der IT-Produkte und -Systeme. Diese sieben EAL-Stufen sind:

  • Evaluation Assurance Level 1 (EAL1): System ist funktionell getestet
  • Evaluation Assurance Level 2 (EAL2): System ist strukturell getestet
  • Evaluation Assurance Level 3 (EAL3): System ist methodisch getestet und überprüft
  • Evaluation Assurance Level 4 (EAL4): System ist methodisch entwickelt, getestet und überprüft
  • Evaluation Assurance Level 5 (EAL5): System ist semiformal entworfen und getestet
  • Evaluation Assurance Level 6 (EAL6): System ist nach einem semiformal verifizierten Entwurf entwickelt und getestet
  • Evaluation Assurance Level 7 (EAL7): System ist nach einem formal geprüften Entwurf entwickelt und getestet

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47986674)