Sicherheitszertifizierung nach EAL3+ für Red Hat auf IBM-Servern
Vor allem Regierungsinstitutionen legen unter Sicherheitsaspekten wert auf die Zertifizierung nach den Common Criteria.
Nach EAL2 nun EAL3+: Im April erst gab Red Hat bekannt, dass das Enterprise Linux Version 3 der Firma die Zertifizierung für Common Criteria EAL2 auf von Red Hat nicht näher spezifizierten Servern erhalten habe. Nun ist zumindest auf allen IBM-Servern der eServer-Serien auch die Zertifizierung nach Controlled Access Protection Profile (CAPP) für Common Criteria EAL3+ erreicht, gaben IBM und Red Hat gemeinsam bekannt. IBM hatte bereits Anfang des Jahres CAPP/EAL3+ für Suses Linux Enterprise Server auf den eServer-Maschinen der zSeries, xSeries, iSeries und pSeries erreicht.
Die Zertifizierung nach den Common Criteria soll sicherstellen, dass das Produkt verschiedene Sicherheitsanforderungen erfüllt. Darüber hinaus haben die Hersteller des Produkts diverse Auflagen zu erfüllen, etwa hinsichtlich des Supports, der Dokumentation der Sicherheits-Features, der Behandlung von sicherheitsrelevanten Zwischenfällen und der Testprozeduren. Die Zertifizierung wird zudem nach einem Abkommen, das Ende 1998 zuerst von den USA, Kanada, Frankreich, Deutschland und Großbritannien geschlossen wurde, in den Unterzeichnerstaaten des Vertrags wechselseitig anerkannt. Die Common Criteria wurden unter anderem aus europäischen ITSEC- und US-TCSEC-Standards entwickelt und sind die Basis für die Beschreibung von IT-Sicherheit nach ISO-IEC 15408.
Bei einer Evaluierung für EAL2 muss ein Produkt formellen Anforderungen an Entwicklungsprozesse und Dokumentation genügen. Über die Widerstandsfähigkeit gegen Angriffe oder mögliche Sicherheitslöcher sagt ein EAL2-Zertifikat nichts aus. Bei EAL3 kommt eine Analyse der Sicherheitsfunktionen hinzu auf Basis der Funktions- und Interface-Spezifikationen sowie der begleitenden Dokumentation und des System-Designs. Für EAL3 müssen die Entwickler eines zu evaluierenden Produktes eine Dokumentation über durchgeführte Tests vorweisen, anhand derer die Prüfer eigene Tests durchführen. EAL3 erfordert auch Belege der Entwickler für die Suche nach offenkundigen Schwachstellen.
Vor allem Regierungsinstitutionen legen unter Sicherheitsaspekten wert auf die Common Criteria -- mit der Zertifizierung öffnet sich den entsprechenden Produkten also ein lukrativer Markt. Die Zertifizierung von Red Hat Enterprise Linux 3, Update 2, auf IBM-Servern erfolgte wie schon bei Suses Linux-Version durch die Firma atsec und wurde laut IBM durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt. Red Hat und IBM streben nun in einem nächsten Schritt die Zertifizierung nach CAPP/EAL4+ an. (jk)
