IBM und SuSE holen sich Sicherheitszertifikat für Linux
Die beiden Unternehmen haben für SuSE Linux Enterprise Server 8 auf IBMs xSeries-Servern den Sicherheits-Level 2 nach den Common Criteria zuerkannt bekommen.
IBM und SuSE haben im Rahmen ihrer Linux-Kooperation für die Kombination aus dem Open-Source-Betriebssystem SuSE Linux Enterprise Server 8 (SLES 8) und Big Blues Intel-Servern der xSeries das Sicherheitszertifikat Stufe 2 (Evaluation Assurance Level 2, EAL2) nach den Common Criteria (CC) erhalten. IBM kündigte an, dass die beiden Unternehmen die neue Errungenschaft auf der LinuxWorld 2003 vorstellen wollen, die in diesen Tagen im kalifornischen San Francisco stattfindet.
Damit hat IBM die Ankündigung aus dem Februar des Jahres wahrgemacht, für seine Linux-Systeme eine CC-Zertifizierung anzustreben. Nur waren seinerzeit weder der Zertifizierungspartner noch der Sicherheitslevel bekannt. IBM-Sprecher Clint Roswell betonte, dass man die Zertifizierung bis Ende des Jahres auf EAL3 anheben wolle, EAL4 solle später folgen. Außerdem wolle man SuSE Linux Enterprise Server 8 nicht nur für xSeries-Server, sondern auch für andere Produktlinien zertifizieren lassen.
Die Zertifizierung nach den Common Criteria soll sicherstellen, dass das Produkt verschiedene Sicherheitsanforderungen erfüllt. Darüber hinaus haben die Hersteller des Produkts diverse Auflagen zu erfüllen, etwa hinsichtlich des Supports, der Dokumentation der Sicherheits-Features, der Behandlung von sicherheitsrelevanten Zwischenfällen und der Testprozeduren.
Eine Zertifizierung für EAL2 bringt durchschnittlich Kosten zwischen 400.000 und 500.000 US-Dollar mit sich, aber die Investitionen lohnen sich: Denn vor allem Regierungsinstitutionen legen unter Sicherheitsaspekten wert auf die Common Criteria. Auf die Hersteller solchermaßen zertifizierter Produkte wartet ein lukrativer Markt. Die Zertifizierung wird zudem nach einem Abkommen, das Ende 1998 zuerst von den USA, Kanada, Frankreich, Deutschland und Großbritannien geschlossen wurde, in den Unterzeichnerstaaten des Vertrags wechselseitig anerkannt. Die Common Criteria wurden unter anderem aus europäischen ITSEC- und US-TCSEC-Standards entwickelt und sind die Basis für die Beschreibung von IT-Sicherheit nach ISO-IEC 15408. (ola)
