Die hohe Systemsicherheit von Exchange Server 2003 ist nun auch von offizieller Stelle geprüft und bestätigt worden. Microsoft hatte Exchange Server 2003 bei der TÜV Informationstechnik GmbH (TÜViT) zur Zertifizierung eingereicht. TÜViT ist für die Durchführung von formalen Evaluierungen nach ITSEC und Common Criteria (CC) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) lizenziert und akkreditiert. Microsoft und TÜViT hatten in der Vergangenheit schon gemeinsam gearbeitet: TÜViT führte die Prüfungen zur EAL 2 und EAL 4+ Zertifizierung des Microsoft Internet Security and Acceleration (ISA) Server 2000 and ISA Server 2004 durch.

Exchange Server 2003 wurde in Deutschland nach dem offenen ISO-Standard Common Criteria auf dem Evaluation Assurance Level 4+ (EAL 4 + Systematic Flaw Remediation) zertifiziert. Exchange Server 2003 ist das erste Produkt seiner Art, welches auf diesem hohen Sicherheitsniveau überhaupt zertifiziert wurde!

Level 4 ist das höchstmögliche Sicherheitsniveau, das von allen an der CC-Zertifizierung teilnehmenden Ländern anerkannt wird. Es umfasst die ausführlichsten Tests, die durch ein unabhängiges Labor möglich sind. Zusätzlich hat Exchange Server 2003 eine Prüfung für Level 4+ bestanden. Dieses Zertifikat beweist, dass die geprüften Sicherheitsfunktionen effektiv sind und korrekt implementiert wurden. Mit diesem Zertifikat, hinter dem höchste Sicherheitsansprüche stehen, kann Exchange Server 2003 beispielsweise von öffentlichen Institutionen wie Behörden, Regierungsstellen und Bundeseinrichtungen ab sofort auch in sicherheitssensitiven Bereichen eingesetzt werden.

Viele Hersteller von Sicherheitslösungen versprechen, dass ihre Programme Netzwerke absichern. Doch wie lässt sich die Wirksamkeit dieser Programme und Lösungen überprüfen? Common Criteria bietet einen Rahmen, um die Sicherheit von IT-Produkten und -Systemen zu prüfen und zu zertifizieren. Dieser wird weltweit von Behörden und IT-Fachleuten als kritischer Messwert für das Sicherheitsniveau anerkannt. Die CC-Zertifizierung wird immer häufiger von lokalen, bundesweiten und internationalen Regierungsbehörden als eines der wichtigsten Entscheidungskriterien genutzt. Auch Wirtschaftsbranchen wie Finanz- und Gesundheitswesen erwarten vermehrt diese Zertifizierung.

Common Criteria

Common Criteria wurde als gemeinsames und international akzeptiertes Kriterium für die Evaluierung der IT-Sicherheit von staatlichen Institutionen entwickelt. Sie entstanden aus einem Abgleich und der Weiterentwicklung der bestehenden europäischen, US-amerikanischen und kanadischen Kriterien (ITSEC, TCSEC, CTCPEC). Common Criteria löst die konzeptionellen und technischen Unterschiede dieser geographisch unterschiedlichen Kriterien auf. Es stellt damit einen wichtigen Beitrag zur Entwicklung eines internationalen Standards dar und öffnet den Weg zu einer weltweiten, gegenseitigen Anerkennung der Prüfergebnisse.

Die Common Criteria Certification ist eine Zusammenstellung international anerkannter Richtlinien, um die Sicherheit von IT-Produkten zu evaluieren. Zu den Mitgliederstaaten gehören Australien, Deutschland, Finnland, Frankreich, Griechenland, Israel, Italien, Japan, Kanada, Niederlande, Neuseeland, Norwegen, Korea, Österreich, Singapur, Spanien, Schweden, Tschechische Republic, Türkei, Großbritannien, Ungarn und die USA. Innerhalb der Common Criteria unterscheidet man zwischen unterschiedlichen Levels ( EAL steht für Evaluation Assurance Level ) von 0 bis 7.  

Die CC-Zertifizierung wird zunehmend zu einem wichtigen Kriterium: Denn sowohl bei Ausschreibungen regionaler, staatlicher und internationaler Regierungsstellen als auch in vielen privatwirtschaftlichen Sektoren wie dem Finanzwesen und bei Dienstleistern im Gesundheitswesen werden Entscheidungen zunehmend auf dieser Grundlage getroffen. Das amerikanische Verteidigungsministerium beispielsweise hat angekündigt, dass es zukünftig nur noch Systeme einsetzen will, die den Common Criteria-Standard erfüllen.

Weitere Produkte von Microsoft mit Common Criteria Certification

  • Microsoft Windows Server 2000
  • Microsoft Windows Server 2003 (in Arbeit)
  • Microsoft Windows XP (in progress)
  • Microsoft Windows Certificate Server (in Arbeit)
  • ISA Server 2000
  • ISA Server 2004

Weitere Informationen