- /
- /
- /
- /
SQL Server mit BSI Zertifikat 2020
Die TÜV Informationstechnik GmbH hat wiederholt die Database Engine des Microsoft SQL Server geprüft. Im Rahmen dessen erhielt auch dieses Mal der Microsoft SQL Server das entsprechende Zertifikat für Datenbanksysteme BSI-DSZ-CC-1050-2020.
Gilt für
Microsoft SQL Server 2017 Database Engine Enterprise Edition x64 (English) Version 14.0.3223.3
geprüft durch
TÜV Informationstechnik GmbH
Das Zertifikat
Das Zertifikat ist am 27.01.2020 vom BSI ausgestellt worden. Es ist ein IT Sicherheitszertifikat (LINK). “Die EAL-Stufen der Common Criteria (ISO 15408) beschreiben präzise Anforderungen an eine IT-Sicherheitsprüfung. Mit wachsender EAL-Nummer steigen die Anforderungen an den zu prüfenden Umfang, an die Prüftiefe und an die Prüfmethoden. […] Bei EAL4 muss beispielsweise der Sourcecode evaluiert werden, was beim Evaluator Entwicklerkenntnisse des Produktes voraussetzt! Entsprechend hoch ist der Dokumentationsaufwand für das Produkt. Ab EAL5 kommen formale Spezifikations- und Verifikationsmethoden hinzu, denen herkömmliche Entwicklungsmethoden nicht mehrgenügen. Wieviel ein EAL4-Zertifikat besser ist als ein EAL2-Zertifikat, kann nur aus dem Zertifizierungsreport ersehen werden. Wenn das Produkt eine nicht zu beseitigende Schwachstelle enthält, kann das zu einer erheblichen Einschränkung seiner Nutzungsmöglichkeiten führen. Beispielsweise könnte eine mit EAL4 nachgewiesene Sicherheitsfunktionalität nur unter Einhaltung massivster Restriktionen an die Nutzung wirksam sein, etwa dadurch, dass durch einzuhaltende Auflagen an den Betrieb des Produktes jegliche Angriffsmöglichkeit auf ein Netzwerk auszuschalten ist und so eine vorhandene Schwachstelle nicht mehr ausnutzbar wird. Wer das Produkt trotzdem anders betreibt, weiß immerhin, dass er angreifbar ist – trotz EAL4-Zertifikat.”
Zertifizierungsreport
Der Zertifizierungsreport beschreibt im Detail die Prüfung und die erlangte Stufe.
Beispiel:
“Der TOE (Target of Evaluation) ist Teil des SQL Server 2017-Produktpakets. Er bietet eine relationale
Datenbank-Engine, die Mechanismen für die folgenden Sicherheitsfunktionen bereitstellt:
● Sicherheitsmanagement,
● Zugangskontrolle,
● Identifizierung und Authentifizierung,
● Sicherheitsaudit,
● Sitzungsbehandlung.
Das Produktpaket von SQL Server 2017 enthält zusätzlich eine Reihe von zusätzlichen Tools
und Dienstleistungen, die nicht Teil des TOE sind, lesen Sie bitte Kapitel 1.3 der
Sicherheitsvorgaben [6] und Kapitel 8 dieses Berichts. Der TOE selbst umfaßt die Datenbank
Engine der SQL Server 2017-Plattform, die die beschriebene Sicherheitsfunktionalität bietet
durch die ST. Die in Kapitel 1.3 der Sicherheitsvorgaben aufgeführten zusätzlichen Werkzeuge und Dienste mit dem EVG als Standard-SQL-Client interagieren.
Die Sicherheitsvorgaben [6] sind die Grundlage für diese Zertifizierung. Sie basiert auf den zertifizierten
Schutzprofil Basisschutzprofil für Datenbankmanagementsysteme (DBMS PP).”
Download
Quelle: