Das aktuelle Microsoft Server Betriebssystem Windows Server 2008 R2 und Client Betriebssystem Windows 7 wurde nach Common Criteria EAL 4+ und ALC_FLR.3 zertifiziert.

image

Die Common Criteria Zertifizierung betrachtet bei der Zertifizierung eines Produktes folgende Themen:

  • das Konfigurationsmanagement,
  • die Auslieferung und den Betrieb,
  • den Entwicklungsprozess,
  • die Qualität der Handbücher,
  • die Lebenszyklus-Unterstützung,
  • das (unabhängige) Testen der Funktionalität,
  • die Schwachstellenbewertung und
  • die Erhaltung der Vertrauenswürdigkeit

Die Common Criteria Zertifizierung definiert acht Vertrauenswürdigkeitsstufen:

  • EAL0: Unzulängliche Vertrauenswürdigkeit
  • EAL1: funktionell getestet
  • EAL2: strukturell getestet
  • EAL3: methodisch getestet und überprüft
  • EAL4: methodisch entwickelt, getestet und durchgesehen
  • EAL5: semiformal entworfen und getestet
  • EAL6: semiformal verifizierter Entwurf und getestet
  • EAL7: formal verifizierter Entwurf und getestet

Die Stufe EAL7 hat die höchste Vertrauenswürdigkeit und den größten Zertifizierungsaufwand.

Da die Common Criteria Zertifizierung je nach Vertrauenswürdigkeitsstufe sehr aufwendig ist und bei jeder Änderung an der Software erneut zertifiziert werden muss, sind nur wenige Softwareprodukte nach Common Criteria zertifiziert. Daher ist zwar eine Auswahl von Common Criteria zertifizierten Produkten zu empfehlen, aber in der Praxis nur schwer realisierbar.

Näheres zur Common Criteria Zertifizierung hat das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Leitfaden zusammengestellt. Dieser Leitfaden ist hier verfügbar: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/ITSicherheitskriterien/cc_leitf_pdf.pdf?__blob=publicationFile

Das Zertifikat zum Windows Server 2008 R2 und Windows 7 kann hier geladen werden: http://www.commoncriteriaportal.org/files/epfiles/st_vid10390-ci.pdf

Der Detailreport zur Zertifizierung des Windows Server 2008 R2 und Windows 7 ist hier verfügbar: http://www.commoncriteriaportal.org/files/epfiles/st_vid10390-st.pdf

Dieser Detailreport beschreibt unter anderem die Verschlüsselungslösungen BitLocker und BitLocker To Go für den Datenschutz, sowie die Network Access Protection (NAP) zur Sicherstellung, dass nur berechtigte bzw. sichere Geräte ins Netzwerk gelangen.

Ein Gastbeitrag von: