> Neuigkeiten > Presseraum

New York — 21.01.2004 — Common Criteria ist ein international anerkannter ISO-Standard (ISO 15408) und wird von der US-Regierung, europäischen Staaten und vielen anderen Organisationen verwendet, um die Sicherheit von Technologie-Produkten zu bewerten. Er wird bei IT-Anwendern, Regierungsstellen und vielen Unternehmen ebenfalls als Sicherheitsstandard für unternehmenskritische IT-Produkte anerkannt.

Im August vergangenen Jahres hatten IBM und SUSE die erste Sicherheits-Zertifizierung für ein Linux-basiertes System erhalten. Damals wurde SUSE Linux Enterprise Server 8 auf IBM eServer xSeries mit der Sicherungsstufe EAL2+ zertifiziert. Das heute verliehene Sicherheitszertifikat EAL3+ umfasst die IBM eServer Plattformen iSeries, xSeries, pSeries, zSeries sowie AMD Opteron-basierte Systeme und erfüllt höhere Anforderungen der IT-Sicherheit. Hierzu wurde in den SUSE Linux Enterprise Server 8 ein Linux-Audit-System integriert, das sicherheitsrelevante Prozesse aufzeichnet. Zudem erfordert die CAPP/EAL3+-Zertifizierung umfangreiche Tests und Prüfungen.

IBM und SUSE Linux geben außerdem bekannt, dass SUSE Linux Enterprise Server 8 mit IBM xSeries und zSeries die Common Operating Environment (COE)-Anforderungen des US-Verteidigungsministeriums erfüllt und somit den Voraussetzungen für den Einsatz kommerzieller IT-Produkte in Systemen des US-Verteidigungsministeriums entspricht. Die COE-Anforderungen sollen in der ersten Jahreshälfte 2004 auch von eServer-Plattformen pSeries und iSeries erfüllt werden.

"Die Einhaltung der Common Criteria ist zwingend erforderlich für alle sicherheitsrelevanten Produkte in unserer IT-Umgebung", erläutert William Wolf vom US Navy, Space & Naval Warfare Systems Center, San Diego. "Die EAL3+-Zertifizierung für Linux öffnet uns die Möglichkeit, flexible und kosteneffiziente Lösungen für unsere Endanwender zu entwickeln."

"Die heute bekannt gegebene Zertifizierung wird die Verbreitung von Linux bei Behörden und öffentlichen Verwaltungen weiter beschleunigen", ergänzt James Stallings, General Manager Linux bei IBM. "Die Einhaltung der Common Criteria für die gesamte eServer-Produktlinie unterstreicht ein weiteres Mal die Sicherheit und Qualität von Open Source-Software."

Die Evaluierung wurde von der atsec information security GmbH, einem der weltweit führenden, unabhängigen Beratungsunternehmen für IT-Sicherheit, durchgeführt. atsec information security ist ein beim Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditiertes Prüflabor.

"Die Erreichung des EAL3+-Zertifikats belegt deutlich die Qualität von SUSEs Prozessen", erläutert Roman Drahtmüller, Head of Security, SUSE Linux. "Dank der engen Zusammenarbeit zwischen IBM, SUSE und atsec sowie atsecs großer Erfahrung im Bereich Sicherheitsevaluierung profitieren Kunden jetzt auf allen IBM-Plattformen von geprüfter Sicherheit. Dies ist einmalig im gesamten Linux-Markt."

"Das BSI sieht die wachsende Zahl von Sicherheitszertifikaten für IT-Produkte als signifikanten Fortschritt, der die IT-Sicherheit auf breiter Linie vorantreibt", sagt Udo Helmbrecht, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). "Zudem haben Zertifizierungen einen positiven Effekt für die Qualität von IT-Produkten. Die Zertifizierung des SUSE Linux Enterprise Server 8 demonstriert außerdem, dass Common Criteria definitiv als Basis für die Zertifizierung der IT-Sicherheit von Open Source-Produkten anwendbar sind."

Im Rahmen von Common Criteria werden Produkte nach festen Standards evaluiert, etwa im Hinblick auf Entwicklungsumgebung, Sicherheitsfunktionen, den Umgang mit sicherheitsrelevanten Fehlern sowie sicherheitsrelevante Dokumentation und Produkttests. Bei der Zertifizierung von SUSE Linux Enterprise Server 8 für IBM eServer-Systeme überprüfte atsec information security GmbH die Entwicklung, die Qualitätssicherung und die Systempflege. Darüber hinaus wurden auch die Prozesse für den Umgang mit sicherheitsrelevanten Veränderungen der Software getestet.

IBM und SUSE Linux planen, in diesem Jahr gemeinsam das nächsthöhere Sicherheits-Zertifikat, CAPP/EAL4+, für SUSE Linux Enterprise Server auf den IBM eServer-Plattformen zu erreichen.

IBM beabsichtigt für 2004 zudem die Common Criteria-Zertifizierung für IBMs Virtualisierungstechnologie z/VM. Es ist zu erwarten, dass z/VM die Anforderungen des "Labeled Security Protection Profile" (LSPP) und des "Controlled Access Protection Profile" (CAPP), beides Bestandteil der EAL3+-Zertifizierung, erfüllen wird. z/VM ermöglicht Großrechner-Anwendern, bis zu hunderte virtueller Linux-Server auf einem einzelnen IBM Mainframe zu betreiben. IBM plant außerdem die Zertifizierung von z/OS für CAPP/EAL3 und LSPP/EAL3+.

Die Common Criteria-Zertifizierung für Linux umfasst auch IBMs Middleware-Produkte. IBM Directory Server und Tivoli Access Manager haben bereits Common Criteria-Zertifikate erhalten. Weitere Software-Produkte durchlaufen derzeit die Common Criteria-Evaluierungsphase oder werden auf den Evaluierungsprozess vorbereitet. Weitere Informationen hierzu finden sich unter http://www-3.ibm.com/security/standards/st_evaluations.shtml.

Über IBM

IBM ist der weltweit größte Anbieter von Informationstechnologie (Hardware, Software und Services) und ein Führer in e-business-Lösungen. Das Unternehmen beschäftigt weltweit rund 320.000 Mitarbeiter und ist in 170 Ländern aktiv. Die IBM Deutschland GmbH beschäftigt derzeit rund 26.000 Mitarbeiter in über 40 Niederlassungen und ist damit die größte Ländergesellschaft in Europa. IBM ist heute das einzige Unternehmen in der IT-Branche, das seinen Kunden die komplette Produktpalette an fortschrittlicher Informationstechnologie anbietet: Von der Hardware, Software über Dienstleistungen und komplexen Anwendungslösungen bis hin zu Outsourcingprojekten und Weiterbildungsangeboten. Weitere Informationen über IBM und Linux finden sich unter http://www.ibm.de/linux/.

Informationen zu Novell

Novell, Inc. (Nasdaq: NOVL) ist ein führender Anbieter von Informationslösungen für sicheres Identitätsmanagement (Novell Nsure™), die Entwicklung von Webanwendungen (Novell exteNd™) und plattformübergreifende Netzwerkservices (Novell Nterprise™), für die strategisches Consulting und professionelle Services angeboten werden (Novell Ngage^SM). Als Inhaber der Marken Ximian® und SUSE Linux ist Novell ein aktives Mitglied der Open Source-Gemeinde. Novells Angebot an Linux-Produkten und Linux-Services für Unternehmen ist umfassend und reicht vom Desktop bis zum Server. Novells Vision eines allumfassenden Netzwerks – einer Informationswelt ohne Grenzen – ermöglicht es Kunden, den Wert ihrer Informationen sicher und wirtschaftlich auszuschöpfen. Weitere Informationen erhalten Sie von einem autorisierten Novell Business Expert bzw. Novell Business Partner oder auf der Website http://www.novell.com. Pressemitarbeiter erhalten Informationen unter http://www.novell.com/pressroom.

Pressekontakt:

SUSE Linux
Media Relations
Jasmin Ul-Haque
Phone: +44-(0)1344-326-966
Mobile: +44-(0)7973-844-468
E-Mail: juh@novell.com

Novell Deutschland
Media Relations
Ulrike Buttler
Tel. 089 / 20600 - 2118
E-Mail: ubuttler@novell.com