BSI Zertifizierung und Anerkennung
Der Begriff EAL-Stufe bezeichnet eine Stufe der Vertrauenswürdigkeit (Evaluation Assurance Level) in eine Sicherheitsleistung.
Die EAL-Stufen der Common Criteria (ISO 15408) beschreiben präzise Anforderungen an eine IT-Sicherheitsprüfung.
Mit wachsender EAL-Nummer steigen die Anforderungen an den zu prüfenden Umfang, an die Prüftiefe und an die Prüfmethoden. Eine niedrigere EAL-Stufe kann vom Prüfumfang als Untermenge des Prüfaufwandes der nächst höheren Stufe angesehen werden. Daher macht das Vorgehen Sinn, mit niedrigeren EAL-Stufen den Evaluierungsprozess zu starten, da so ein erstes verwertbares Prüfergebnis in Form eines Zertifikates mit ausführlichem Report schneller erreicht werden kann. Darauf aufbauend müssen die nächsten EAL-Stufen “nur noch” den zusätzlichen Prüfaufwand umfassen. Bei EAL4 muss beispielsweise der Sourcecode evaluiert werden, was beim Evaluator Entwicklerkenntnisse des Produktes voraussetzt! Entsprechend hoch ist der Dokumentationsaufwand für das Produkt. Ab EAL5 kommen formale Spezifikations- und Verifikationsmethoden hinzu, denen herkömmliche Entwicklungsmethoden nicht mehr genügen.
Ziel einer Common Criteria-Evaluierung ist die Bestätigung, dass die vom Hersteller behauptete Sicherheitsfunktionalität wirksam ist. Da die Sicherheitsleistung insbesondere durch die Ausnutzbarkeit vorhandener Schwachstellen unwirksam werden kann, ist bei allen Evaluierungsaspekten die Analyse der Schwachstellen ein zentrales Prüfziel. Mit wachsenden EAL-Stufen wird erreicht, zunehmend komplexer ausnutzbare Schwachstellen zu entdecken.
Wieviel ein EAL4-Zertifikat besser ist als ein EAL2-Zertifikat, kann nur aus dem Zertifizierungsreport ersehen werden. Wenn das Produkt eine nicht zu beseitigende Schwachstelle enthält, kann das zu einer erheblichen Einschränkung seiner Nutzungsmöglichkeiten führen. Beispielsweise könnte eine mit EAL4 nachgewiesene Sicherheitsfunktionalität nur unter Einhaltung massivster Restriktionen an die Nutzung wirksam sein, etwa dadurch, dass durch einzuhaltende Auflagen an den Betrieb des Produktes jegliche Angriffsmöglichkeit auf ein Netzwerk auszuschalten ist und so eine vorhandene Schwachstelle nicht mehr ausnutzbar wird. Wer das Produkt trotzdem anders betreibt, weiß immerhin, dass er angreifbar ist – trotz EAL4-Zertifikat.
Eine detaillierte Beschreibung der Sicherheitsleistung eines zertifizierten Produktes kann im Zertifizierungsreport nachgelesen werden (alle Zertifizierungsreporte sind hier veröffentlicht, oder siehe unter http://www.commoncriteriaportal.org/). Besonders interessant sind darin der Konfigurationsumfang und die Annahmen an den Betrieb des Produktes. Tatsächlich zählt die Internetnutzung bei vielen Zertifikaten nicht zum Konfigurationsumfang. Auch an Netzwerkumgebungen werden häufig hohe Auflagen zum Schutz des Netzwerks gestellt.
Gedanken zum Verzicht auf eine Sicherheitsprüfung: Ungeprüfte Sicherheitstechnik ist genauso gut wie die Sicherheit eines Autos, das nicht bei der Hauptuntersuchung war. Sie kann in Ordnung sein, aber man darf berechtigtes Misstrauen haben. Erst die Hauptuntersuchung einer neutralen Instanz gibt ein begründetes Vertrauen in die Sicherheit des Autos. Allerdings wird bei der Hauptuntersuchung der PKW nur nach ein- und derselben Prüftiefe geprüft. Der Aufwand zur Prüfung von IT-Sicherheit ist erheblich größer. Daher macht es Sinn, einen wirtschaftlich durchführbaren Evaluierungsprozess anzubieten, der mit den EAL-Stufen geschaffen wurde.
Anmerkung der KIS-Experten:
Auch beim Betrieb von Multifunktionssystemen ist aus Sicherheitsgründen eine EAL-Einstufung erforderlich.