Verschiedene Faktoren bewirkten die Notwendigkeit von unabhängigen Evaluationen, Zertifizierungen und Spezifikationen für Netzwerksicherheit; in Deutschland ist in diesem Bereich neben privaten Unternehmen seit 1991 auch die Bundesbehörde BSI aktiv.

Bekannte Anforderungskataloge sind

• in den USA die TCSEC des NCSC (Orange Book) mit vier definierten Sicherheitsklassen (D bis A) und einigen Differenzierungen (C1, C2, B1 bis B3);
• in Europa der ITSEC mit 7 hierarchischen Evaluationsstufen (E0 bis E6) sowie
• die multinational anerkannten Common Criteria (CCITSE bzw. CC) mit 8 Sicherheitsstufen (EAL0 bis EAL7).

Diese Einstufungen bieten zwar Herstellern von Sicherheitsprodukten eine Orientierung und den Anwendern eine relativ objektive Bewertung der Systeme, allerdings sind die Zertifizierungsprozeduren zeit- und kostenintensiv, was eine Verbreitung jenseits von Bereichen mit explizit erhöhtem Schutzbedarf (Finanzgewerbe, Militär) bisher verhindert hat.

Common Criteria

"The Standard for Information Security".

Die Common Criteria sind eine international anerkannte Basis für die Beschreibung von IT-Sicherheit nach dem Standard ISO-IEC 15408 (csrc.nist.gov/cc/ccv20/ccv2list.htm). Darin wurden IT-Sicherheitskriterien wie ITSEC und Orange Book weiterentwickelt. Der Standard soll eine Bibliothek von Anforderungen zur Definition und Evaluation von IT- Sicherheitsanforderungen geben und eine grenzübergreifende Anerkennung von Prüfung und Zertifizierung ermöglichen.

Aus der Selbstdarstellung:

»The Common Criteria.org website serves as an international Common Criteria Support Environment (CCSE). The site offers international Evaluation Laboratories, Sponsors, Developers and other interested parties an arena for raising issues about the content and interpretation of the Common Criteria (CC). It also serves as an information portal for international users of the CC« (Quelle: www.commoncriteria.org/docs/aboutus.html; Zugriff: 13-Feb-2003)

Zertifizierte Produkte

• Microsoft Windows 2000. Microsoft Windows 2000 wurde im Oktober 2002 laut SAIC nach ISO 15048 Common Criteria Evaluation Assurance Level 4 (EAL4) geprüft und ist das erste Betriebssystem, das nach dem United States Common Criteria Evaluation and Validation Scheme (CCEVS) eine Zertifizierung für EAL4 erreicht hat. Getestet wurden Microsoft Windows 2000 Professional, Server und Advanced Server, jeweils mit Service Pack 3 und Hotfix Q326886.

• Red Hat Linux Advanced Server. Red Hat und Oracle streben für den Linux Advanced Server von Red Hat eine Zertifizierung nach den Common Criteria an. Der Advanced Server des Linux-Distributors soll dabei den Evaluation Assurance Level 2 (EAL2) erreichen. In einem weiteren Schritt will Oracle seine Oracle 9i Database Release 2 unter Red Hat Linux für EAL4 zertifizieren lassen. Oracle 9i ist bereits nach EAL4 unter Windows NT und Solaris zertifiziert; dies muss aber für jedes Betriebssystem getrennt wiederholt werden.

Netmarks

Heise Online: "Red Hat und Oracle streben Sicherheitszertifikat für Linux an", Meldung vom 13.02.2003 12:57,
www.heise.de/newsticker/data/jk-13.02.03-003.

Heise Online: "Sicherheitszertifikat für Windows 2000 [Update]", Meldung vom 30.10.2002 13:45,
www.heise.de/newsticker/data/anw-30.10.02-001.