:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition EAL | Evaluation Assurance Level Was ist EAL?
Der Evaluation Assurance Level (EAL) ist eine Bewertungsstufe nach Abschluss einer Common-Criteria-Sicherheitsevaluierung eines IT-Produkts oder IT-Systems. Die Bewertungsstufen sind in ISO/IEC 15408 standardisiert und beschrieben. Es existieren sieben verschiedene Stufen, die mit steigender Nummer höhere Anforderungen an Umfang, Tiefe und Methoden der Prüfung stellen. Grundsätzlich trennt Common Criteria in der Betrachtung zwischen Funktionalität und Vertrauenswürdigkeit.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
EAL ist das Akronym für Evaluation Assurance Level. Es handelt sich um eine Bewertungsstufe für ein IT-Produkt oder IT-System nach Abschluss einer Common-Criteria-Sicherheitsevaluierung. Es existieren sieben verschiedene EAL-Stufen, die die Vertrauenswürdigkeit einer Sicherheitsleistung eines IT-Produkts oder IT-Systems kennzeichnen. Je höher die EAL-Nummer, desto höher die Vertrauenswürdigkeit der geprüften Sicherheitsleistung. Mit steigenden EAL-Nummern entstehen höhere Anforderungen an Umfang, Tiefe und Methoden der Prüfung. Üblicherweise erreichen kommerzielle Produkte und Systeme maximal den vierten Evaluation Assurance Level.
Die Stufen EAL5 bis EAL7 sind aufgrund des hohen Aufwands der Zertifizierung und der Notwendigkeit der Entwicklung der Produkte und Systeme nach speziellen Sicherheitsmethoden kaum von praktischer Bedeutung. Standardisiert und beschrieben sind die Common-Criteria-Sicherheitsevaluierung und die Evaluation Assurance Level in ISO/IEC 15408. Ziel einer Common-Criteria-Prüfung ist der Nachweis der Wirksamkeit der vom Hersteller implementierten Sicherheitsfunktionen. Eine CC-Evaluierung ist aufwendig und nimmt einiges an Zeit in Anspruch. Common Criteria trennt in der Betrachtung grundsätzlich zwischen Funktionalität und Vertrauenswürdigkeit. Da sich die EAL-Stufe immer auf eine Funktionalität bezieht, bedeutet ein höherer Evaluation Assurance Level nicht prinzipiell, dass das Produkt oder System ganzheitlich betrachtet sicherer ist.
Grundlegende Informationen zu Common Criteria for Information Technology Security Evaluation
Common Criteria for Information Technology Security Evaluation (kurz CC) ist ein international gültiger Standard zur Bewertung der Sicherheit von Produkten und Systemen der Informationstechnologie. 1999 wurden die Common Criteria in ISO/IEC 15408 zu einem internationalen Standard erklärt. CC sind in den drei Teilen "Einführung und allgemeines Modell", "funktionale Sicherheitsanforderungen" und "Anforderungen an die Vertrauenswürdigkeit" dokumentiert. Wesentlicher Grundsatz der Common Criteria ist, dass in der Betrachtung zwischen der Funktionalität und der Vertrauenswürdigkeit unterschieden wird. Die Vertrauenswürdigkeit entsteht erst durch die Prüfung der Funktionalität. Bei einer CC-Sicherheitsprüfung erfolgt zunächst die Evaluierung des Produkts durch eine akkreditierte Prüfstelle. Anschließend erteilt eine Zertifizierungsstelle das Zertifikat. In Deutschland übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Rolle einer Zertifizierungsstelle. Bis zur Stufe EAL4 sind die Evaluation Assurance Level gegenseitig international anerkannt. Darüber hinaus ist die internationale Anerkennung nicht zwingend gegeben.
Die sieben EAL-Stufen im Detail
Common Criteria definiert sieben Stufen der Vertrauenswürdigkeit. Mit höheren Stufen steigt die Vertrauenswürdigkeit in die geprüften Funktionalitäten der IT-Produkte und -Systeme. Diese sieben EAL-Stufen sind:
- Evaluation Assurance Level 1 (EAL1): System ist funktionell getestet
- Evaluation Assurance Level 2 (EAL2): System ist strukturell getestet
- Evaluation Assurance Level 3 (EAL3): System ist methodisch getestet und überprüft
- Evaluation Assurance Level 4 (EAL4): System ist methodisch entwickelt, getestet und überprüft
- Evaluation Assurance Level 5 (EAL5): System ist semiformal entworfen und getestet
- Evaluation Assurance Level 6 (EAL6): System ist nach einem semiformal verifizierten Entwurf entwickelt und getestet
- Evaluation Assurance Level 7 (EAL7): System ist nach einem formal geprüften Entwurf entwickelt und getestet
(ID:47986674)
:quality(80)/p7i.vogel.de/wcms/49/2f/492f7cca2531baa1bdd553db5c59f1f3/0104313453.jpeg "Common Criteria Recognition Arrangement (CCRA) ist eine internationale Übereinkunft zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930854/original.jpg "Das EU CC-Schema (EUCC) ist ein neues Cybersecurity-Zertifizierungsschema der Europäischen Union. (gemeinfrei)")