Erste Sicherheits-Evaluierung nach Common-Criteria EAL4+ für Suse-Linux
Die Zertifizierung nach den Common Criteria soll sicherstellen, dass ein Produkt verschiedene Sicherheitsanforderungen erfüllt. Darüber hinaus gibt es diverse Auflagen etwa zur Behandlung von sicherheitsrelevanten Zwischenfällen.
Für den Suse Linux Enterprise Server 9 (SLES 9) auf IBM eServer wurde als erstes Linux-System erfolgreich die Evaluierung nach der Sicherheitsspezifikation Common Criteria Assurance Level 4+ (CC EAL4+) abgeschlossen. atsec, das Unternehmen, das die Evaluierung durchgeführt hat, weist darauf hin, dass dies nun das erste Open-Source-Produkt ist, das diese Stufe der Evaluierung durchlaufen hat. Auf Basis dieser Evaluierung soll dann in Kürze das Common-Criteria Zertifikat nach ISO15408 erteilt werden. Das Zertifikat soll dem SLES 9 vor allem eine bessere Position für den Einsatz bei Regierungen und Regierungsstellen in missionskritischen und Kommando/Kontroll-Operationen bringen.
Gordon McIntosh, Manager des Common Criteria Testing Laboratory von atsec, kommentierte: "Bei keinem anderen kommerziellen Betriebssystem hat man die Sicherheit so häufig und auf solch einer großen Zahl von Hardwareplattformen prüfen lassen wie bei Linux."
Die Zertifizierung nach den Common Criteria soll sicherstellen, dass das Produkt verschiedene Sicherheitsanforderungen erfüllt. Darüber hinaus haben die Hersteller des Produkts diverse Auflagen zu erfüllen, etwa hinsichtlich des Supports, der Dokumentation der Sicherheits-Features, der Behandlung von sicherheitsrelevanten Zwischenfällen und der Testprozeduren. Die Zertifizierung wird zudem nach einem Abkommen, das Ende 1998 zuerst von den USA, Kanada, Frankreich, Deutschland und Großbritannien geschlossen wurde, in den Unterzeichnerstaaten des Vertrags wechselseitig anerkannt. Die Common Criteria wurden unter anderem aus europäischen ITSEC- und US-TCSEC-Standards entwickelt und sind die Basis für die Beschreibung von IT-Sicherheit nach ISO-IEC 15408.
Atsec führte bereits die Evaluierung von Suse-Linux nach EAL3 durch. Stehen bis EAL3 noch eher formale Anforderungen an die Entwicklung im Vordergrund, werden in höheren Stufen auch das Design und die Implementierung analysiert. EAL4 ist laut den CC-Unterlagen "der höchste Level, der aller Wahrscheinlichkeit nach ökonomisch sinnvoll auf ein existierendes Produkt anzuwenden ist".
Siehe dazu auch: (eck)
