Common Criteria-Evaluierung von Exchange 2007 SP1

  • Artikel

 

Letztes Änderungsdatum des Themas: 2009-09-30

Dieses Dokument und die dazugehörigen Downloads enthalten wichtige Informationen zur Evaluierung und Zertifizierung von Microsoft Exchange Server 2007 mit Service Pack 2 (SP2) Enterprise Edition gemäß den Common Criteria (CC) für die IT-Sicherheit und des ISO 15408-Toolkits.

Hinweis

Die CC-Evaluierung von Exchange Server 2007 SP2 wird zurzeit durchgeführt. Diese Seite wird mit zusätzlichen Informationen aktualisiert, wenn der Zertifizierungsvorgang abgeschlossen ist.

Einführung in die Common Criteria

Für Benutzer in Behörden und kommerziellen Umfeldern ist es wichtig, die Sicherheitsfeatures der von ihnen verwendeten Softwareprodukte zu verstehen. Die meisten Behörden und Organisationen ziehen es vor, Sicherheitsfeatures anhand einer Evaluierung der Software durch Dritte zu überprüfen. Bis vor Kurzem haben verschiedene Länder/Regionen noch unterschiedliche Standards verwendet, an denen Softwaresicherheit evaluiert wurde. Um sowohl Evaluierungsunternehmen als auch Softwarekunden Zeit und Geld zu sparen, wurde ein Satz allgemeiner Kriterien (Common Criteria) entwickelt. Die Common Criteria bieten eine exakte Definition von Anforderungen an Softwaresicherheitsfeatures und -zusicherungen und definieren einen präzisen Prozess für die Evaluierung der Sicherheit, wie er im Dokument "Common Evaluation Methodology" beschrieben wird. Dieser Standard wird von 24 Ländern/Regionen im Rahmen der "Common Criteria Mutual Recognition Arrangement (CCRA)"-Vereinbarung anerkannt und wurde von zahlreichen weiteren Benutzern in Behörden und der Wirtschaft übernommen.

Die Common Criteria bieten jedem/r Land/Region, das sie übernehmen möchte, eine formale und anerkannte Evaluierungsmethodologie. Zusätzlich wird dadurch eine staatliche Zertifizierung etabliert, durch die Behauptungen hinsichtlich der Sicherheit des Produktentwicklungsprozesses und des Produkts selbst überprüft werden können. Diese Zertifizierung basiert auf einer Evaluierung, die von einem privaten Evaluierungslabor durchgeführt wird, das in dem/r betreffenden Land/Region zertifiziert ist.

Evaluation Assurance Levels

Die CC-Dokumente definieren Stufen der Evaluierungszusicherung (Evaluation Assurance Levels, EALs), durch die Sicherheitszusicherungskriterien in eine Rangordnung eingeordnet werden. Diese Zusicherungsstufen decken einen Bereich von EAL1 bis EAL7 ab. Von diesen sind die Evaluierungen EAL1 bis EAL4+ (das "+" steht für die Behebung von Schönheitsfehlern, die nicht Teil von EAL4 sind) von den 24 Ländern/Regionen, die das CCRA unterzeichnet haben, anerkannt.

Common Criteria-Evaluierung von Exchange 2007 SP2

Das zertifizierende Gremium der deutschen Bundesregierung, das Bundesamt für Sicherheit in der Informationstechnik (BSI), evaluiert Exchange 2007 SP2 gemäß EAL4+. Hierbei handelt es sich um die erste CC-Evaluierung, die für Exchange 2007 durchgeführt wird.

Informationen zum BSI finden Sie auf der BSI-Website. Informationen zum Evaluierungslabor TUViT finden Sie auf der TUViT-Website (englischsprachig).

Hinweis

UNRESOLVED_TOKEN_VAL(exNote3rdPartyURL) 

Unser Engagement bei der CC-Zertifizierung

Microsoft engagiert sich bei der Entwicklung von Produkten, die umfangreiche Sicherheitsfeatures bieten. Teil dieses Engagements ist die unabhängige Evaluierung der Produkte durch Dritte gemäß den Common Criteria-Evaluierungsstandards. Wir arbeiten weiter an der Verbesserung der Common Criteria-Standards sowie an Wegen zur Erhöhung der Sicherheit unserer Produkte.

Weitere Common Criteria-Zertifizierungen von Microsoft-Produkten

Bis einschließlich Juli 2008 wurden folgende Microsoft-Produkte gemäß den Common Criteria-Evaluierungsstandards zertifiziert:

  • Zertifikatdienste 2003

  • Microsoft Exchange Server 2003 Enterprise Edition

  • Groove Workspace

  • Microsoft Internet Security and Acceleration Server (ISA) 2004

  • Microsoft Internet Security and Acceleration Server (ISA) 2004 Enterprise Edition Service Pack 2

  • Microsoft ISA Server 2000 mit Service Pack 1 und Feature Pack 1

  • SQL Server 2005-Datenbankmodul Enterprise Edition (English) Service Pack 1

  • Windows 2000 Professional/Server/Advanced Server

  • Windows 2003 und Windows XP

  • Windows XP/Server 2003/x64-Hardwareunterstützung

  • Windows Mobile 5.0 MSFP

  • Windows Mobile 6     

  • Windows Rights Management Services (RMS) 1.0 Service Pack 2

  • Windows Server 2003 und Windows XP

  • Windows Server 2003-Zertifikatserver

  • Windows Server 2003 SP2 einschließlich R2 Standard, Enterprise und Itanium Edition, Windows XP Professional Service Pack 2 und x64 Service Pack 2, Windows XP Embedded Service Pack 2

Im Juli 2008 durchlaufen folgende Microsoft-Produkte noch den Zertifizierungsprozess gemäß den Common Criteria-Evaluierungsstandards:

  • Internet Security and Acceleration Server 2006

  • Windows Mobile 6.1

  • SQL Server 2005 Service Pack 2-Datenbankmodul

  • OpenXML-Format-SDK

  • Exchange Server 2007 SP2 Enterprise Edition

  • SQL Server 2008-Datenbankmodul

  • Windows Vista Service Pack 1/Windows Server 2008