SUSE und Zertifizierungen: Standards, auf die sich Anwender verlassen können
Wussten Sie, dass SUSE heute der Linux-Anbieter mit dem höchsten Zertifizierungsstatus ist? SUSE Linux Enterprise Server (SLES) unterstützt eine Vielzahl anerkannter Sicherheitsstandards wie Common Criteria EAL 4+ und FIPS 140-2/3. Der Ansatz „Certify once, use many“ sorgt für ein einheitliches Sicherheitsniveau – ganz gleich, für welche Betriebssystem-Variante sich Kunden entscheiden.
Die Bedrohungslage im Bereich der IT-Sicherheit hat sich in den letzten Jahren massiv verschärft. Insbesondere Attacken auf die Software Supply Chain nehmen derzeit massiv zu. Nach einer Schätzung von Gartner wird bis zum Jahr 2025 fast jedes zweite Unternehmen einen Angriff auf seine Softwarelieferkette erleben. Im Januar verabschiedete die EU die NIS2-Direktive, die deshalb explizit alle Unternehmen und Behörden des KRITIS-Sektors zu einer Überprüfung der Sicherheitsmechanismen ihrer Lieferkette verpflichtet. Eine Zertifizierung von Softwarelieferanten wie SUSE schafft hier schnell und ohne weiteren Aufwand Rechtssicherheit.
Aber nicht nur Organisationen in stark regulierten Sektoren legen heute bei der Auswahl ihrer Softwareprodukte großen Wert auf zertifizierte Sicherheit. SUSE hilft seinen Kunden in allen Branchen, die gestiegenen Security- und Compliance-Anforderungen zu erfüllen. Wir arbeiten kontinuierlich daran, den Zertifizierungsstatus unserer Produkte auszubauen und Konformität mit allen wichtigen internationalen und nationalen Sicherheitsstandards zu erreichen.
Common Criteria EAL 4+ Zertifizierung für SLES
Eine der wichtigsten Sicherheitszertifizierungen sind heute die Common Criteria for Information Technology Security Evaluation, kurz Common Criteria. Der international anerkannte Standard ermöglicht es, die Sicherheit von IT-Produkten nach allgemeinen Kriterien zu bewerten. Die Common Criteria spezifizieren dabei sieben Vertrauenswürdigkeitsstufen, die steigende Anforderungen an die Prüfung und Bewertung eines Produkts beinhalten.
SUSE Linux Enterprise Server (SLES) hat 2021 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Common Criteria EAL 4+ Zertifizierung erhalten. Grundlage dafür war eine umfassende Evaluierung des Produkts sowie aller Entwicklungs- und Sicherheitsupdate-Prozesse durch atsec information security und Beamte des BSI. Der Evaluation Assurance Level 4 augmented by ALC_FLR.3 (EAL4+) bestätigt, dass SLES höchste Sicherheitsanforderungen an das Produkt und die gesamte Lieferkette für unternehmenskritische Infrastrukturen erfüllt – und das sowohl auf x86-64- als auch IBM Z und Arm-Architekturen. SUSE ist damit derzeit der einzige Anbieter eines aktuellen General Purpose-Betriebssystems, das nach Common Criteria EAL 4+ für alle diese Plattformen zertifiziert ist.
Standardkonforme Verschlüsselung nach FIPS 140-2/3
Der Federal Information Processing Standard (FIPS) 140-2 ist ein Sicherheitsstandard, der von der US-Regierung entwickelt wurde. Er definiert die Sicherheitsanforderungen, die von kryptographischen Modulen erfüllt werden müssen. SLES 15 SP2 ist FIPS 140-2-zertifiziert und bietet damit eine sichere Basis für verschlüsselte Kommunikation und Datenspeicherung. Die zertifizierten kryptographischen Module können auch in SP3 verwendet werden.
Aktuell durchlaufen die kryptographischen Module von SLES 15 SP4 den Zertifizierungsprozess für den Nachfolgestandard FIPS 140-3. Sobald der Review durch das National Institute of Standards and Technology abgeschlossen ist, werden die entsprechenden Module wie Kernel Crypto API, GnuTLS, libgcrypt, mozilla-nss und OpenSSL nach diesem Standard zertifiziert sein. Alle Verschlüsselungsprodukte, die in US-amerikanischen oder kanadischen Behörden eingesetzt werden, müssen die Zertifizierung FIPS 140-3 nachweisen. Darüber hinaus gilt die Norm auch in anderen Bereichen wie zum Beispiel im Finanzwesen als De-facto-Standard für die Validierung von Krypto-Modulen.
Weitere Zertifizierungen
Neben diesen beiden Schlüsselzertifizierungen bietet SLES auch Compliance mit weiteren nationalen und internationalen Sicherheitsstandards.
- SLES 15 SP4 ist die erste Linux-Distribution, die Pakete nach dem anspruchsvollen Google SLSA-Standard ausliefert (Supply Chain Levels for Software Artifacts). SUSE erfüllt die Anforderungen an eine SLSA v. 0.1 Level 4-konforme Lieferkette und schützt Kunden vor den zunehmenden Bedrohungen der Software Supply Chain. Weitere Informationen dazu finden Sie in diesem Dokument: SLSA: Securing the Software Supply Chain.
- Das Centro Criptológico Nacional (CCN), eine Organisation innerhalb des spanischen Geheimdienstes, hat SLES mit der höchsten Einstufung „ENS High“ als qualifiziertes Produkt für die spanische Regierung ausgezeichnet.
- Von der Telecommunications Technology Association (TTA) in Südkorea wurde SLES das Certificate of Software Quality Level 1 verliehen. Dieses Software-Qualitätszertifikat basiert auf den Normen ISO/IEC 25023, 25051 und 25041.
- Die US-amerikanische Defense Information Systems Agency (DISA) hat zusammen mit SUSE einen Security Technical Implementation Guide (STIG) für SLES entwickelt. Dieser beschreibt die Härtung des Betriebssystemsim Detail.. Die Anwendung dieser Richtlinien ist für alle IT-Systeme des US-Verteidigungsministeriums verpflichtend – und damit auch für viele private Unternehmen relevant.
„Certify once, use many“
SUSE verfolgt bei der Zertifizierung seiner Betriebssystemprodukte das Prinzip „Certify once, use many“. Das bedeutet, dass die zertifizierte Sicherheit und Standards von SLES durch die gemeinsame Codebasis auch auf SLE Micro und SLE BCI (Base Container Images) übertragen werden. Kunden können sich also auch beim Einsatz dieser Varianten auf unabhängig evaluierte Sicherheit verlassen. Dies erleichtert es ihnen, Compliance-Vorgaben für ihre gesamte IT zu erfüllen. Organisationen erreichen auch beim Betrieb von Edge-Anwendungen mit SLE Micro und bei der Bereitstellung von containerisierten Workloads mit SLE BCI ein einheitlich hohes Sicherheitsniveau in der Lieferkette.
Möchten Sie mehr über unsere aktuellen Zertifizierungen erfahren? Alle Informationen dazu finden Sie auf dieser laufend aktualisierten Webseite: https://www.suse.com/support/security/certifications/