Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

08.08.2003 - 

Linux entspricht Common Criteria

Suse erhält Security-Zertifikat

MÜNCHEN (CW) - Suses Linux ist sicher. Die Distribution des quelloffenen Betriebssystems hat Tests standgehalten, die dem Sicherheitslevel EAL 2 der Common Criteria (CC) entsprechen. Weitere Distributionen sollen ebenfalls getestet werden. Das könnte einen Schub für das Open-Source-System bedeuten.

Die Common Criteria (CC) definieren allgemein gültige, internationale IT-Sicherheitsstandards. Basierend auf den amerikanischen Trusted Computer System Evaluation Criteria (TCSEC) der frühen 80er Jahre und den in Europa Anfang der 90er Jahre entstandenen Information Technology Security Evaluation Criteria (Itsec) wurden die CC erstmals 1996 als Spezifikation verabschiedet.

Innerhalb der CC sind sieben verschiedene Stufen der Vertrauenswürdigkeit (Evaluation Assurance Level = EAL) definiert. Suse hat gemeinsam mit IBM für seine Linux-Distribution die Zertifizierung gemäß der Klasse EAL 2 erreicht. Das bedeutet, dass eine strukturelle Überprüfung stattgefunden hat. Bewertungen oberhalb von EAL 4 (methodisch designt, getestet und überprüft) gelten als nur sehr schwer zu erreichen. Die dazu notwendigen Tests sind zudem sehr teuer und zeitaufwändig.

Auch andere Linux-Distributionen sollen zertifiziert werden. Oracle und Red Hat versuchen nach Angaben des Datenbankspezialisten, eine EAL-4-Zertifizierung für Linux zu erhalten. Bereits im letzten Jahr erhielten die Betriebssysteme Solaris, AIX, HP-UX und Windows 2000 das CC-Siegel. Insgesamt sind derzeit knapp 100 Produkte gemäß CC zertifiziert. Eine Liste der getesteten und zu Tests angemeldeten Produkte findet sich im Web unter www.naip.nist.gov. Weiterführende Informationen zu den Common Criteria bietet die Site www.commoncriteria.de.

Welche Bedeutung die CC besitzen, unterstreicht eine Anordnung der amerikanischen Sicherheitsbehörde National Security Agency (NSA). Demzufolge müssen in "nationalen Sicherheitssystemen" bevorzugt IT-Lösungen verwendet werden, die gemäß CC zertifiziert sind. Linux steht somit das Tor in die US-Behörden offen. (ave)