Die EAL-Stufen der Common Criteria beschreiben die Anforderungen an eine IT-Sicherheitsprüfung. Mit wachsender EAL-Nummer steigen die Anforderungen an den zu prüfenden Umfang, an die Prüftiefe und an die Exaktheit der Prüfmethoden. Bei EAL4 muss beispielsweise der Sourcecode evaluiert werden, was beim Evaluator Entwicklerkenntnisse des Produktes voraussetzt! Entsprechend hoch ist der Dokumentationsaufwand für das Produkt. Ab EAL5 kommen formale Spezifikations- und Verifikationsmethoden hinzu, denen herkömmliche Entwicklungsmethoden nicht mehr genügen. Eine niedrigere EAL-Stufe kann vom Prüfumfang als Untermenge des Prüfaufwandes der nächsthöheren Stufe angesehen werden. Daher macht das Vorgehen von IBM/SUSE Sinn, da so ein erstes Prüfergebnis schneller erreicht werden konnte. Darauf aufbauend müssen die nächsten EAL-Stufen "nur noch" den zusätzlichen Prüfaufwand umfassen. (Etappenziele!) Noch ein Gedanke zum Verzicht auf eine Sicherheitsprüfung: Ungeprüfte Sicherheitstechnik ist genau so gut wie die Sicherheit eines Autos, das nicht beim TÜV war. Sie kann ok sein, aber ich werde berechtigtes Misstrauen haben. Erst die TÜV-Untersuchung gibt mir ein begründetes - wenn auch begrenztes - Vertrauen in die Sicherheit des Autos. Allerdings wird beim TÜV der PKW nur nach einer Prüftiefe geprüft. Der Aufwand zur Prüfung von IT-Sicherheit ist wesentlich größer, daher macht es Sinn, einen wirtschaftlich durchführbaren Evaluierungsprozess anzubieten, der mit den EAL-Stufen geschaffen wurde. Der Begriff "Sicherheitslevel" für eine EAL-Stufe ist also nicht korrekt, es handelt sich um eine Stufe der Vertrauenswürdigkeit (Evaluation Assurance level)in eine Sicherheitsleistung. Denkbar ist im Extremfall der Nachweis einer relativ einfachen Sicherheitsfunktionalität mit einer hohen Prüftiefe und der Nachweis einer glänzenden Sicherheitsfunktionalität mit einer niedrigen Prüftiefe. (macht natürlich wenig Sinn). Die Details der Sicherheitsleistung können in den Evaluierungsreporten nachgelesen werden (sind alle veröffentlicht). Besonders interessant sind darin der Konfigurationsumfang und die Annahmen an den Betrieb des Produktes. Tatsächlich zählt die Internetnutzung bei vielen Zertifikaten nicht zum Konfigurationsumfang.
Ich hoffe damit zum Verständnis beigetragen zu haben.
IT-Sicherheitsprüfung. Mit wachsender EAL-Nummer steigen die Anforderungen an den zu prüfenden Umfang, an die Prüftiefe und an die
Exaktheit der Prüfmethoden. Bei EAL4 muss beispielsweise der Sourcecode evaluiert werden, was beim Evaluator Entwicklerkenntnisse des Produktes voraussetzt! Entsprechend hoch ist der
Dokumentationsaufwand für das Produkt. Ab EAL5 kommen formale Spezifikations- und Verifikationsmethoden hinzu, denen herkömmliche Entwicklungsmethoden nicht mehr genügen.
Eine niedrigere EAL-Stufe kann vom Prüfumfang als Untermenge des
Prüfaufwandes der nächsthöheren Stufe angesehen werden. Daher macht das Vorgehen von IBM/SUSE Sinn, da so ein erstes Prüfergebnis schneller erreicht werden konnte. Darauf aufbauend müssen die
nächsten EAL-Stufen "nur noch" den zusätzlichen Prüfaufwand umfassen.
(Etappenziele!)
Noch ein Gedanke zum Verzicht auf eine Sicherheitsprüfung: Ungeprüfte
Sicherheitstechnik ist genau so gut wie die Sicherheit eines Autos, das nicht beim TÜV war. Sie kann ok sein, aber ich werde berechtigtes Misstrauen haben. Erst die TÜV-Untersuchung gibt mir ein begründetes
- wenn auch begrenztes - Vertrauen in die Sicherheit des Autos.
Allerdings wird beim TÜV der PKW nur nach einer Prüftiefe geprüft.
Der Aufwand zur Prüfung von IT-Sicherheit ist wesentlich größer, daher macht es Sinn, einen wirtschaftlich durchführbaren
Evaluierungsprozess anzubieten, der mit den EAL-Stufen geschaffen wurde.
Der Begriff "Sicherheitslevel" für eine EAL-Stufe ist also nicht korrekt, es handelt sich um eine Stufe der Vertrauenswürdigkeit
(Evaluation Assurance level)in eine Sicherheitsleistung.
Denkbar ist im Extremfall der Nachweis einer relativ einfachen Sicherheitsfunktionalität mit einer hohen Prüftiefe und der Nachweis
einer glänzenden Sicherheitsfunktionalität mit einer niedrigen Prüftiefe. (macht natürlich wenig Sinn).
Die Details der Sicherheitsleistung können in den Evaluierungsreporten nachgelesen werden (sind alle veröffentlicht).
Besonders interessant sind darin der Konfigurationsumfang und die
Annahmen an den Betrieb des Produktes. Tatsächlich zählt die Internetnutzung bei vielen Zertifikaten nicht zum
Konfigurationsumfang.
Ich hoffe damit zum Verständnis beigetragen zu haben.