SuSE Linux bekommt hohe Sicherheitsweihen aus dem Pentagon

Mit Unterstützung von IBM hat der deutsche Linux-Distributor SuSE erstmals eine Sicherheitszertifizierung des US-Verteidigungsministeriums erteilt bekommen, die dem Open-Source-Betriebssystem zahlreiche Türen bei öffentlichen Auftraggebern weltweit öffnen dürfte. Denn vor allem in sensiblen Bereichen, erst recht im militärischen Einsatz, legen die Kunden gerne die Maßstäbe des amerikanischen ‘Common Criteria’-Standards an. Über diesen Entwicklungsschritt, den viele Beobachter für besonders wichtig in der Linux-Geschichte halten, haben die beiden Unternehmen auf der Linux Expo in San Francisco informiert.
Vorerst wird die SuSE-Distribution auf IBMs Intel-Servern mit dem Testumfang des ‘Evaluation Assurance Level 2’ (EAL 2) zertifiziert. Bis zum Jahresende hofft IBM nach Angaben von Unternehmenssprecher Clint Roswell auf eine Zertifizierung der Ebene 3, EAL 4 könne im kommenden Jahr folgen. Dann sollen auch die weiteren Server-Plattformen von Big Blue zertifiziert sein, auch die Mainframes. IBM will diese Tests ebenfalls finanzieren. Und zwar mit gutem Grund, glaubt man den Prognosen von IDC: Die Hardware-Hersteller werden demnach in diesem Jahr Linux-Systeme im Gesamtwert von 2 Milliarden Dollar verkaufen. In drei Jahren soll sich dieser Markt bereits verdreifacht haben.

Durchgeführt wurden die Tests von dem Münchner Dienstleister Atsec Information Security. Konkret geht es dabei um die Kompatibilität verschiedener Versionen. Außerdem schreiben die Testanweisungen vor, dass mögliche Schwachstellen für Hacker gesucht werden sollen. Gelöschte Daten sollen auch später nicht mehr wiederherstellbar sein. Schließlich wurde auch das von SuSE gewählte Verfahren für Upgrades unter die Lupe genommen, damit hier nicht neue Sicherheitsrisiken entstehen können.

Bisher habe sich IBM den Prozess zwischen 400.000 und 500.000 Dollar kosten lassen, so der Sprecher weiter. Treibende Kraft sei die US-Behörde für IT-Systeme der Verteidigungseinrichtungen gewesen, die Defense Information Systems Agency. DISA-Sprecher Fritz Schulz bestätigte, dass die Zertifizierung das wichtigste Kriterium sei, Linux auch in Kernbereichen einzusetzen, die als ‘mission critical’ gelten. Man sei “erfreut” über die Zertifizierung, heißt es bei den IT-Experten des Pentagon.

“Das Zertifikat wird die Chancen für Linux in der öffentlichen Verwaltung und auch das Vertrauen in die Software deutlich erhöhen”, ist auch IDC-Analyst Chris Christiansen überzeugt. Auch wenn die Auswirkungen auf den Unternehmensmarkt begrenzt seien, könne man mit öffentlichen Kunden doch Umsätze machen, die nicht zu vernachlässigen seien. Bisher hätten die Hersteller aller anderen Betriebssysteme bezweifelt, dass Linux die Common-Criteria-Tests bestehen könne, meint Illuminata-Marktforscher Jonathan Eunice.

Obwohl schon seit 12 Jahren “auf dem Markt”, fehlte der Open-Source-Plattform bisher die so wichtige Zertifizierung. Die Konkurrenz verfügt schon seit längerem über EAL 4, nämlich Microsoft mit Windows 2000, Sun mit Solaris, IBM mit seinem Unix-Derivat AIX sowie Hewlett-Packard mit seinem HP-UX. Oracle hat angekündigt, bis Jahresende die Linux-Distribution seines Linux-Partners Redhat mit EAL 2 zertifizieren zu können.

Abseits der Zertifizierung der Militärs meldet auch die Free Standards Group einen eigenen Erfolg bei den Militärs. Mit deren ‘Linux Standards Base’ will die DISA in Zukunft sicherstellen, dass Applikationen für Linux auch auf allen Distributionen und Kernel-Versionen lauffähig sind. IBM will mit SuSE darüber hinaus daran arbeiten, die Vorgaben des ‘Common Operation Environment” einzuhalten. Auch damit sollen Probleme durch Plattform-Differenzen möglichst ausgeschlossen werden. Das US-Militär ist darauf besonders bedacht.