Newsletter
Die Black Box Website verwendet Cookies.
Durch die fortgesetzte Nutzung der Black Box Website oder Drücken der Akzeptieren-Schaltfläche rechts stimmen Sie der Verwendung von Cookies auf dieser Website zu. Weitere Informationen
X
Home > Information > Technische Ressourcen > Black Box erklärt > KVM > NIAP-Zertifizierung vs. EAL-Zertifizierung für Sicherheitstests
Navigation
KVM
« Black Box erklärt
 

NIAP-Zertifizierung vs. EAL-Zertifizierung für Sicherheitstests

Black Box erklärt

Sowohl die NIAP-Zertifizierung als auch EAL-Zertifizierung behandelt Sicherheitstests von IT-Produkten. Sie unterscheiden sich jeweils in ihrer Herangehensweise und ihren Kriterien. Erfahren Sie etwas über den Unterschied zwischen diesen zwei internationalen Standards, und warum NIAP inzwischen bevorzugt wird.

NIAP-Zertifizierung

Die NIAP-Zertifizierung stammt von der National Information Assurance Partnership, die Sicherheitstests, Evaluierung und Validierung von IT-Produkten und -Systemen beaufsichtigt – auch solchen, die in nationalen Sicherheitssystemen eingesetzt werden. NIAP hat das Common Criteria Evaluation and Validation Scheme, CCEVS, geschaffen. Dieser internationale Standard ermöglicht es, Produkte einmal zu evaluieren und dann in mehreren Ländern zu verkaufen. Als Teil des Common Criteria Recognition Arrangement testen akkreditierte Labors, unabhängig von ihrem geografischen Standort oder ihrer nationalen Zugehörigkeit, Produkte unter Verwendung derselben Kriterien und Testmethoden. Die Begriff „NIAP“ und „CCEVS“ werden allgemein synonym verwendet.

Was ist EAL?

Die EAL-Zertifizierung, kurz für Evaluation Assurance Level, war ein nummerisches Bewertungssystem, das die Gründlichkeit der Produktevaluierung beschreiben sollte. Jede EAL-Zertifizierungsnummer entsprach einer Bewertungsstufe, die einem IT-Produkt oder -System zugewiesen wurde, wobei EAL1 die einfachste und EAL7 die komplexeste und kostspieligste war. Auch wenn die Sicherheitsanforderungen für das jeweilige Produkt und System gleich waren, unterschieden sich die Funktionsanforderungen und jedes Produkt konnte verschiedene Stufen innerhalb desselben Schutzprofils haben. Dies machte Vergleiche sehr schwierig.

Ab 2013 akzeptierte NIAP keine EAL Evaluierungen mehr und ging zu Evaluierungen mit Schutzprofilen, kurz PP, über, um erreichbare, wiederholbare, prüfbare Evaluierungsergebnisse zu liefern. PPs sind weniger verwirrend als die EAL-Zertifizierung. Endbenutzer und Käufer suchen einfach nach Produkten, die mit der PP konform sind, die ihren Anforderungen entspricht.

Vergleichstabelle

NIAP-Zertifizierung EAL-Zertifizierung
Alle Lieferanten desselben Produkttyps müssen dieselben Sicherheitsanforderungen einhalten. Der Lieferant wählt individuell, welche Sicherheitsanforderungen er angibt, was zu Uneinheitlichkeit bei ähnlichen Produkten führt.
Vom Common Criteria Recognition Arrangement akzeptierte Evaluierungsmethoden Eingeschränkte Anerkennung durch das Common Criteria Recognition Arrangement, nur bis zu EAL2
Eine objektive Herangehensweise bei Evaluierungsmethoden Eine subjektive Herangehensweise zur Identifizierung der funktionellen Anforderungen des Produkts
Relevante, erreichbare, wiederholbare Ergebnisse mit Standard-Gefährdungsmodellen und funktionellen Sicherheitsanforderungen, die in einem Schutzprofil erfasst werden müssen Schutzprofile nicht verwendet und Ergebnisse über verschiedene Produkte und Lieferanten nicht wiederholbar
Von den Technical Communities über die Common Criteria Community entwickelte Schutzprofile Von individuellen Lieferanten entwickelte generische Anforderungen
Gefährdungen identifiziert und durch die NSA und andere internationale Sicherheitsbehörden überwacht; Hardwareanforderungen basierend auf Gefährdungen Gefährdungen identifiziert, nachdem der Lieferant die Produktfunktionalität Common Criteria zuordnet, was zu unterschiedlichen Hardwareanforderungen und weniger Sicherheit führt

Erfahren Sie mehr über den Übergang von der EAL-Zertifizierung zur NIAP-Zertifizierung

Mehr über NIAP Common Criteria

NIAP Common Criteria sind ein Satz internationaler Richtlinien für die Sicherheit von IT-Produkten. Sie wurden entwickelt, um dem Käufer und Endbenutzer die Sicherheit zu geben, dass Spezifizierung, Evaluierung und Implementierung jedes Produkts auf sorgfältige und standardisierte Weise durchgeführt werden. Um die NIAP Common Criteria-Anforderungen zu erfüllen, muss jedes Produkt von einem externen Sicherheitslabor geprüft und verifiziert werden. NIAP Common Criteria sind für die US-Bundesregierung und viele andere internationale Regierungen obligatorisch.

Mehr über Schutzprofile

NIAP Common Criteria können auf viele verschiedene IT-Produkte angewandt werden, wie Software, Netzwerk-Switches und Router, Firewalls, E-Mail-Clients und sogar USB-Flash-Laufwerke. Jeder Produkttyp hat ein festgelegtes Schutzprofil, das die Sicherheitsanforderungen für die spezifische Geräteklasse bestimmt. Das Schutzprofil (PP) gibt Evaluierungskriterien an, um die Einhaltung der Sicherheitsanforderung für diese Produktfamilie durch die Ausrüstung zu bestätigen. Schutzprofile legen einen international anerkannten Ausgangswert für Sicherheitsanforderungen und Techniken fest.

Erfahren Sie mehr über NIAP Common Criteria und konforme Produkte: