Web

 

Suse und IBM garantieren CC-Sicherheit

21.01.2004

MÜNCHEN (COMPUTERWOCHE) - Das Betriebssystem "Suse Linux Enterprise Server 8" ist zusammen mit dem Service Pack 3 auf sämtlichen IBM-Servern nach dem Level EAL3+ des Sicherheitsstandards Common Criteria zertifiziert. Genaugenommen erfüllt das Suse-Paket das "Controlled Access Protection Profile" (CAPP) der "Common Criteria for Information Security Evaluation" (CC). Und zwar gilt das Zertifikat für seine Anwendung auf IBM-Server der i-, x-, p- und zSeries sowie Rechnern, die mit AMDs 64/32-Bit-CPU "Opteron" arbeiten. Common Criteria ist ein international anerkannter ISO-Standard (Nummer 15408) und wird von vielen Regierungen und Unternehmen verwendet, um die Sicherheit von IT-Produkten zu bewerten. So ist die Erfüllung verschiedener EAL-Stufen Voraussetzung bei Ausschreibungen von Verteidigungsministerien.

Die Suse-IBM-Evaluierung hat die Atsec Information Security GmbH, ein beim Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditiertes Unternehmen, durchgeführt. Das Prüflabor war auch schon mit der Prüfung von Suse Linux Enterprise Server 8 auf IBMs X-Series-Servern befasst, wofür es Anfang August vergangenen Jahres das Zertifikat EAL2+ vergab. Jetzt konnte der Distributor die höhere Stufe EAL3+ erreichen, weil sein Server-Betriebssystem durch das jüngste Service Pack ein Subsystem beigefügt bekommt, das sicherheitsrelevante System-Events überwacht. Außerdem schreibt EAL3+ rigidere Systemtest vor.

Außerdem erfüllt das Suse-Paket auf IBMs x- und zServern seit neuestem den Anforderungskatalog "Common Operation Environment" (COE). Die vom US-Verteidigungsministerium entwickelte COE-Spezifikation beschreibt die Anforderungen hinsichtlich Funktionalität und Interoperabilität von IT-Produkten, ohne die sie nicht für militärischen Gebrauch zugelassen sind. Suse ist der erste Linux-Distributor, der sowohl die CC- als auch die COE-Bedingungen erfüllt. COE-Konformität soll noch in der ersten Hälfte dieses Jahres auch für IBMs p- und iSeries erreicht sein.

IBM lässt derzeit sämtliche zentralen Produkte nach Sicherheitsstandards evaluieren. In diesem Jahr möchte das Unternehmen insbesondere die CC-Zertifizierung für das Mainframe-Betriebssystem z/VM erreichen, unter dem hunderte Linux-Instanzen laufen können. Angestrebt ist hier die Erfüllung der EAL3+-Varianten CAPP und "Labelled Security Protection Profile" (LSPP). Gleiches möchte IBM mit einem künftigen Release von z/OS erreichen. Zugleich bemüht sich Big Blue um die Evaluierung seiner Middleware-Lösungen. Ein CC-Zertifikat haben bereits der "IBM Directory Server" und der "Tivoli Access Manager". (ls)