Ein Blick auf SUSE Linux Enterprise Server 15 SP4
Seit Jahrzehnten wird in Sicherheitskreisen diskutiert, ob Security-Zertifizierungen wirklich ein Maßstab für gute Sicherheit sind. Ein aktueller Fall wirft erneut Schatten auf die Validität dieser Zertifikate.
Die Fragestellung: Sind Security-Zertifizierungen wirklich wertvoll oder sind sie lediglich ein Haken auf einer Compliance-Checkliste?
Der Fall: SUSE Linux Enterprise Server 15 SP4 erhielt am 15. Dezember 2023 eine BSI-Zertifizierung. Interessant ist hierbei, dass das Betriebssystem OpenSSL 1.1.1 verwendet, das zu diesem Zeitpunkt bereits seit Monaten als End-of-Life eingestuft war. Dieser Fakt ist sogar im auf Dezember 2023 datierten Bericht vermerkt.
Die Problematik: Es stellt sich die Frage, wie ein System, das veraltete und potenziell unsichere Komponenten verwendet, eine renommierte Sicherheitszertifizierung erhalten kann. Hier entsteht der Eindruck, dass es mehr um das Abhaken von Compliance-Listen geht, anstatt um echte, durchdachte Sicherheitsmaßnahmen.
OpenSSH und Post-Quantum-Kryptographie: Es gibt Hinweise darauf, dass in dieser Version von OpenSSH noch keine Post-Quantum-Kryptografie implementiert wurde, obwohl dies nicht explizit Teil der Zertifizierungsprüfung war. In einer Welt, in der die Quantencomputer-Entwicklung voranschreitet, ist dies eine bemerkenswerte Lücke.
Die Ironie der Situation: Das Produkt selbst hatte am 31. Dezember 2023 sein End-of-Life erreicht, was bedeutet, dass die Zertifizierung weniger als einen Monat vor dem offiziellen Support-Ende erfolgte. Man könnte argumentieren, dass dies wenig Sinn macht, besonders ohne die Option des Long Term Support Services (LTSS).
Fazit: Dieser Fall ist ein exemplarisches Beispiel dafür, wie die bloße Jagd nach Zertifikaten die tatsächliche Bedeutung und Wirksamkeit von IT-Sicherheit untergraben kann. Es ist wichtig, dass Unternehmen und IT-Profis über den bloßen Zertifikatsbesitz hinausblicken und sich auf die echten, praktischen Aspekte der IT-Sicherheit konzentrieren.
Für Bewerber und Arbeitgeber: Wenn sich jemand mit einem Zertifikat für IT-Sicherheit bewirbt, ist es unerlässlich, genau hinzuschauen und die tatsächlichen Sicherheitskompetenzen und -praktiken zu bewerten, anstatt sich auf Papierzertifikate zu verlassen.
Das Ziel: Lasst uns für eine Sicherheitskultur eintreten, die auf echtem Verständnis und aktiver Anwendung von Sicherheitsprinzipien basiert, anstatt auf bloßer Compliance und Zertifikatsjagd.