Höhere Sicherheits-Zertifizierungsstufe nach Common Criteria für SuSE Linux
IBM und SuSE erhalten für den Linux Enterprise Server das Sicherheitszertifikat der Stufe 3 (EAL3) nach Common Criteria (CC).
Bereits im August vergangenen Jahres erreichten IBM und SuSE für den Linux Enterprise Server das Sicherheitszertifikat der Stufe 2 (EAL2) nach den Common Criteria (CC). Nun schafften die beiden Firmen auch die strengere Zertifizierung nach EAL3. Die Zertifizierung gilt für SuSEs Linux Enterprise Server auf den IBM-Servern der zSeries (Mainframe-Systeme in Nachfolge der S/390), xSeries (Maschinen mit Intel-Prozessoren), iSeries (Midrange-Power4-Server) und pSeries (Power4-Server) sowie den neuen eServer mit AMD-Opteron-Prozessoren.
IBM arbeitet mit SuSE schon länger an der Zertifizierung nach den Common Criteria zusammen, die vor allem für den Einsatz von Linux in sicherheitsrelevanten Bereichen bei Regierungsorganisationen notwendig ist. In den neuen Besitzer von SuSE, Novell, investiert IBM zudem 50 Millionen US-Dollar.
Die Zertifizierung nach den Common Criteria soll sicherstellen, dass das Produkt verschiedene Sicherheitsanforderungen erfüllt. Darüber hinaus haben die Hersteller des Produkts diverse Auflagen zu erfüllen, etwa hinsichtlich des Supports, der Dokumentation der Sicherheits-Features, der Behandlung von sicherheitsrelevanten Zwischenfällen und der Testprozeduren. Die Zertifizierung wird zudem nach einem Abkommen, das Ende 1998 zuerst von den USA, Kanada, Frankreich, Deutschland und Großbritannien geschlossen wurde, in den Unterzeichnerstaaten des Vertrags wechselseitig anerkannt. Die Common Criteria wurden unter anderem aus europäischen ITSEC- und US-TCSEC-Standards entwickelt und sind die Basis für die Beschreibung von IT-Sicherheit nach ISO-IEC 15408.
Die neue Stufe EAL3 erreichte SuSE nach einer weiteren Überprüfung durch den Sicherheitsdienstleister Atsec. Für EAL3 müssen die Entwickler eines zu evaluierenden Produktes eine Dokumentation über durchgeführte Tests vorweisen, anhand derer die Prüfer eigene Tests durchführen. EAL3 erfordert auch Belege der Entwickler für die Suche nach offenkundigen Schwachstellen. Zwar ist dies auch für EAL2 gefordert, allerdings nicht so tief gehend wie bei EAL3. Für die Prüfer erscheint das Produkt in Stufe 2 als Black-Box, da sie nur nach funktionellen Fehlern suchen. Stufe 3 bezeichnet der Standard als Grey-Box-Testing, da den Prüfern mehr Informationen über die konkrete Implementierung des Produktes zur Verfügung steht. Damit lassen sich auch Design-Schwächen erkennen und bewerten.
Siehe dazu auch: (dab)
