Microsoft vermeldet die Common Criteria-Zertifizierung einiger Software-Produkte.

Die Zertifizierung

Die Common-Criteria-Zertifizierung wurde 1998 von Regierungsstellen in den USA, Kanada, Deutschland, Großbritannien und Frankreich begründet und bereits von mehreren anderen Ländern übernommen. Sie wurde von der NIST (National Institute of Standards and Technology) veröffentlicht und ist international von der ISO (International Organization for Standardization) standardisiert. Die Klassifizierung der Informationssicherheit in den Common Criteria erfolgt in acht so genannten EAL-Klassen. Diese reichen von EAL0 für unzureichendes Vertrauen bis hin zu EAL7 für den formal verifizierten Entwurf und Test des IT-Equipments.

Der Test

Bei der Common Criteria for Information Technology Security Evaluation (CCITSE) handelt es sich um weltweit anerkannte Sicherheitsstandards für die Bewertung und Zertifizierung informationstechnischer Systeme. Die unabhängige Zertifizierung der Microsoft-Produkte umfasste mehr als 20 Tests unter realen Bedingungen. Durchgeführt wurde die Evaluation von einem für die Common Criteria-Zertifizierung akkreditierten Labor der Science Applications International Corporation (SAIC). Die Common Criteria-Zertifizierung gibt den Kunden die Möglichkeit, die Sicherheitsfunktionen benötigter Produkte mit denen anderer Hersteller zu vergleichen. Microsoft will auch für zukünftige Produkte die Common Criteria-Zertifizierung erhalten.

Die Produkte

Unter den nun zertifizierten Produkten (Common Criteria-Zertifizierung EAL 4+ (Evaluation Assurance Level) finden sich die Microsoft Windows Server 2003-Varianten Standard Edition SP1 (32 Bit), Enterprise Edition SP1 (32 Bit und 64 Bit), Datacenter Edition SP1 (32 Bit und 64 Bit) sowie Certificate Server und Komponenten. Darüber hinaus erhalten die Microsoft Windows XP-Versionen Professional SP2 und Embedded SP2 die Zertifizierung. Dieses Zertifikat beweist, dass die geprüften Sicherheitsfunktionen effektiv sind und korrekt implementiert wurden. Erst kürzlich wurden der Exchange Server 2003, der ISA Server 2004, Microsoft Windows 2000 Professional, Microsoft Windows 2000 Server und Advanced Server mit der Kategorie EAL 4 zertifiziert.(red)