IBM arbeitet an Sicherheitszertifizierung für Linux
IBM will zusammen mit der Linux-Community die Common-Criteria-Zertifizierung für Linux-Systeme erreichen und Sicherheitserweiterungen entwickeln.
IBM konnte es offensichtlich nicht auf sich sitzen lassen, dass Red Hat im Verbund mit Oracle die Sicherheitszertifizierung nach den Common Criteria für den Linux Advanced Server anstrebt. Big Blue kündigte nun an, für Linux-Systeme auf seinen eServer-Plattformen ebenfalls die Common-Criteria-Spezifikationen erfüllen zu wollen. Weiter ins Detail ging IBM aber kaum: Weder gab der Konzern bekannt, welche Distributionen er nutzen will -- Big Blue kooperiert unter anderem mit SuSE und Red Hat --, noch, welche Zertifizierungslevel (EAL1 bis EAL4) man anstrebt. Red Hat und Oracle dagegen kündigten an, für den Advanced Server EAL2 und für Oracle 9i unter dem Red-Hat-System EAL4 erreichen zu wollen.
Immerhin steht schon ein ungefährer Zeitplan: Noch im Frühjahr soll mit den Vorbereitungen für die Zertifizierung begonnen, 2003 bis 2004 sollen nach und nach verschiedene Common-Criteria-Level erreicht werden. IBM verpflichtet sich darauf, mit der "Linux-Community" zusammenzuarbeiten, um "die CC-Überprüfung und -Zertifizierung abzuschließen, zusätzliche Sicherheitsverbesserungen zu entwickeln und mit Linux-Distributoren zusammenzuarbeiten, um sie verfügbar zu machen". IBM verspricht zudem, über sein Linux Technology Center Entwicklungsressourcen bereitzustellen, um Linux für die CC-Zertifizierung auf IBMs eServern vorzubereiten. Außerdem werde man die anfänglichen Zertifizierungen 2003 finanzieren.
Vor allem Regierungsinstitutionen legen unter Sicherheitsaspekten wert auf die Common Criteria -- mit der Zertifizierung öffnet sich den entsprechenden Produkten also ein lukrativer Markt. Die Zertifizierung wird zudem nach einem Abkommen, das Ende 1998 zuerst von den Vereinigten Staaten, Kanada, Frankreich, Deutschland und Großbritannien geschlossen wurde, in den Unterzeichnerstaaten des Vertrags wechselseitig anerkannt. Mittlerweile sind Regierungsinstitutionen aus 14 Ländern dem Abkommen beigetreten. Die Common Criteria wurden unter anderem aus europäischen ITSEC- und US-TCSEC-Standards entwickelt und sind die Basis für die Beschreibung von IT-Sicherheit nach ISO-IEC 15408. (jk)
