SUSE und Zertifizierungen: Standards, auf die sich Anwender verlassen können | SUSE Communities
< Back to Blog

SUSE und Zertifizierungen: Standards, auf die sich Anwender verlassen können

Juni 1, 2023 | By: holger.pfister@suse.com

Share
Share

Wussten Sie, dass SUSE heute der Linux-Anbieter mit dem höchsten Zertifizierungsstatus ist? SUSE Linux Enterprise Server (SLES) unterstützt eine Vielzahl anerkannter Sicherheitsstandards wie Common Criteria EAL 4+ und FIPS 140-2/3. Der Ansatz „Certify once, use many“ sorgt für ein einheitliches Sicherheitsniveau – ganz gleich, für welche Betriebssystem-Variante sich Kunden entscheiden.

Die Bedrohungslage im Bereich der IT-Sicherheit hat sich in den letzten Jahren massiv verschärft. Insbesondere Attacken auf die Software Supply Chain nehmen derzeit massiv zu. Nach einer Schätzung von Gartner wird bis zum Jahr 2025 fast jedes zweite Unternehmen einen Angriff auf seine Softwarelieferkette erleben. Im Januar verabschiedete die EU die NIS2-Direktive, die deshalb explizit alle Unternehmen und Behörden des KRITIS-Sektors zu einer Überprüfung der Sicherheitsmechanismen ihrer Lieferkette verpflichtet. Eine Zertifizierung von Softwarelieferanten wie SUSE schafft hier schnell und ohne weiteren Aufwand Rechtssicherheit.

Aber nicht nur Organisationen in stark regulierten Sektoren legen heute bei der Auswahl ihrer Softwareprodukte großen Wert auf zertifizierte Sicherheit. SUSE hilft seinen Kunden in allen Branchen, die gestiegenen Security- und Compliance-Anforderungen zu erfüllen. Wir arbeiten kontinuierlich daran, den Zertifizierungsstatus unserer Produkte auszubauen und Konformität mit allen wichtigen internationalen und nationalen Sicherheitsstandards zu erreichen.

Common Criteria EAL 4+ Zertifizierung für SLES

Eine der wichtigsten Sicherheitszertifizierungen sind heute die Common Criteria for Information Technology Security Evaluation, kurz Common Criteria. Der international anerkannte Standard ermöglicht es, die Sicherheit von IT-Produkten nach allgemeinen Kriterien zu bewerten. Die Common Criteria spezifizieren dabei sieben Vertrauenswürdigkeitsstufen, die steigende Anforderungen an die Prüfung und Bewertung eines Produkts beinhalten.

SUSE Linux Enterprise Server (SLES) hat 2021 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Common Criteria EAL 4+ Zertifizierung erhalten. Grundlage dafür war eine umfassende Evaluierung des Produkts sowie aller Entwicklungs- und Sicherheitsupdate-Prozesse durch atsec information security und Beamte des BSI. Der Evaluation Assurance Level 4 augmented by ALC_FLR.3 (EAL4+) bestätigt, dass SLES höchste Sicherheitsanforderungen an das Produkt und die gesamte Lieferkette für unternehmenskritische Infrastrukturen erfüllt – und das sowohl auf x86-64- als auch IBM Z und Arm-Architekturen. SUSE ist damit derzeit der einzige Anbieter eines aktuellen General Purpose-Betriebssystems, das nach Common Criteria EAL 4+ für alle diese Plattformen zertifiziert ist.

Standardkonforme Verschlüsselung nach FIPS 140-2/3

Der Federal Information Processing Standard (FIPS) 140-2 ist ein Sicherheitsstandard, der von der US-Regierung entwickelt wurde. Er definiert die Sicherheitsanforderungen, die von kryptographischen Modulen erfüllt werden müssen. SLES 15 SP2 ist FIPS 140-2-zertifiziert und bietet damit eine sichere Basis für verschlüsselte Kommunikation und Datenspeicherung. Die zertifizierten kryptographischen Module können auch in SP3 verwendet werden.

Aktuell durchlaufen die kryptographischen Module von SLES 15 SP4 den Zertifizierungsprozess für den Nachfolgestandard FIPS 140-3. Sobald der Review durch das National Institute of Standards and Technology abgeschlossen ist, werden die entsprechenden Module wie Kernel Crypto API, GnuTLS, libgcrypt, mozilla-nss und OpenSSL nach diesem Standard zertifiziert sein. Alle Verschlüsselungsprodukte, die in US-amerikanischen oder kanadischen Behörden eingesetzt werden, müssen die Zertifizierung FIPS 140-3 nachweisen. Darüber hinaus gilt die Norm auch in anderen Bereichen wie zum Beispiel im Finanzwesen als De-facto-Standard für die Validierung von Krypto-Modulen.

Weitere Zertifizierungen

Neben diesen beiden Schlüsselzertifizierungen bietet SLES auch Compliance mit weiteren nationalen und internationalen Sicherheitsstandards.

  • SLES 15 SP4 ist die erste Linux-Distribution, die Pakete nach dem anspruchsvollen Google SLSA-Standard ausliefert (Supply Chain Levels for Software Artifacts). SUSE erfüllt die Anforderungen an eine SLSA v. 0.1 Level 4-konforme Lieferkette und schützt Kunden vor den zunehmenden Bedrohungen der Software Supply Chain. Weitere Informationen dazu finden Sie in diesem Dokument: SLSA: Securing the Software Supply Chain.
  • Das Centro Criptológico Nacional (CCN), eine Organisation innerhalb des spanischen Geheimdienstes, hat SLES mit der höchsten Einstufung „ENS High“ als qualifiziertes Produkt für die spanische Regierung ausgezeichnet.
  • Von der Telecommunications Technology Association (TTA) in Südkorea wurde SLES das Certificate of Software Quality Level 1 verliehen. Dieses Software-Qualitätszertifikat basiert auf den Normen ISO/IEC 25023, 25051 und 25041.
  • Die US-amerikanische Defense Information Systems Agency (DISA) hat zusammen mit SUSE einen Security Technical Implementation Guide (STIG) für SLES entwickelt. Dieser beschreibt die Härtung des Betriebssystemsim Detail.. Die Anwendung dieser Richtlinien ist für alle IT-Systeme des US-Verteidigungsministeriums verpflichtend – und damit auch für viele private Unternehmen relevant.

„Certify once, use many“

SUSE verfolgt bei der Zertifizierung seiner Betriebssystemprodukte das Prinzip „Certify once, use many“. Das bedeutet, dass die zertifizierte Sicherheit und Standards von SLES durch die gemeinsame Codebasis auch auf SLE Micro und SLE BCI (Base Container Images) übertragen werden. Kunden können sich also auch beim Einsatz dieser Varianten auf unabhängig evaluierte Sicherheit verlassen. Dies erleichtert es ihnen, Compliance-Vorgaben für ihre gesamte IT zu erfüllen. Organisationen erreichen auch beim Betrieb von Edge-Anwendungen mit SLE Micro und bei der Bereitstellung von containerisierten Workloads mit SLE BCI ein einheitlich hohes Sicherheitsniveau in der Lieferkette.

Möchten Sie mehr über unsere aktuellen Zertifizierungen erfahren? Alle Informationen dazu finden Sie auf dieser laufend aktualisierten Webseite: https://www.suse.com/support/security/certifications/

 

Share

Related Articles

Sep 08th, 2023

Sicher und einfach digitalisieren: Industrie 4.0-Lösungen für den Maschinenbau auf der „Schweißen und Schneiden“

Jun 01st, 2023

SUSE und Zertifizierungen: Standards, auf die sich Anwender verlassen können

Avatar photo
1.419 views
holger.pfister@suse.com
Back

IT Modernization


SAP Solutions


AI and Analytics


Hybrid Cloud Solutions


Nonstop IT


Exit Federal Government

Back

Business-Critical Linux

Enterprise Container Management

Edge

All Products
Back

Solutions

Hybrid Cloud IT
Business-critical Linux

Run & secure cloud and on-prem workloads
Run SAP
Run SAP

Deliver mission-critical SAP solutions
Enterprise Container Management
Enterprise Container Management

Orchestrate cloud-native apps
IT Operations at the Edge
Edge

Deploy intelligent devices to the edge
Public Cloud
SUSE for Public Cloud

Accelerate innovation across your clouds
Security
Security

Secure your digital enterprise

Industries

Back

Support

Product Support
Premium Support Services

Dedicated support services from a premium team


Long Term Service Support

Stay on your existing product version


Renew Your Support Subscription

Services

Consulting Services
Training & Certification
Premium Technical Advisory Services

Resources

SUSE Support User Guide
Patches & Updates
Product Documentation
Knowledgebase
SUSE Customer Center
Product Support Life Cycle
Licensing
Package Hub

Community packages for SUSE Linux Enterprise Server


Driver Search
Support Forums
Developer Services
Beta Program
Security
Back

Partners

Partner Program


Find a Partner


Become a Partner


Login to the SUSE Partner Portal

Back

Communities

Community

Blog


Forum


Open Source Projects


openSUSE.org



SUSE Polska

Back

About

About Us


Leadership


Careers


Newsroom


Success Stories


Investor Relations


Social Impact


SUSE Logo and Brand


Events & Webinars


Merchandise Store


Communications Preferences