Die Einhaltung der »Common Criteria EAL-2« ist für viele Anwendungen mit hohen Sicherheitsanforderungen Pflicht. Der Hersteller für WLAN-Infrastruktur Aruba Networks [1] hat für seine Wireless-LAN-Produkte nun die entsprechende Zertifizierung erhalten. Außerdem besitzt der Hersteller schon eine Bescheinigung für FIPS 140-2 (Federal-Information-Processing-Standard) und die Sicherheitsrichtlinie (Direktive) des amerikanischen Department-of-Defence (DoD) 8100.2. Oft wird EAL-2 zusammen mit FIPS 140-2 und der DoD-Direktive als Anforderung genannt.

Die Aruba-Familie für Wireless-LAN-Infrastrukturen erfüllt die »Common Criteria EAL-2«.

Die Common-Criteria-Zertifizierung, die auch unter dem ISO-Standard 15408 firmiert, behandelt verschiedene Sicherheitsthemen. Dazu gehören etwa der Schutz von Assets vor unbefugter Einsicht beziehungsweise Veränderung oder deren Verlust. Letzteres bezieht sich sowohl auf absichtliche als auch ungewollte Ursachen. Common-Criteria definiert die Sicherheitsanforderungen, denen Hardware, Software und Firmware entsprechen müssen. Weiter legt es einen strengen Evaluierungsprozess fest, der sicherstellt, dass die Anforderungen auch erfüllt werden.

FIPS 140-2 definiert die Anforderungen an die Verschlüsselung von heiklen, aber nicht geheimen Informationen. Der Standard beschreibt mehrere Sicherheitslevel, die die vielfältigen Einsatzmöglichkeiten für solche Systeme abdecken.

Die DoD-Direktive 8100.2 enthält Richtlinien für den Betrieb und die Überwachung von sicheren drahtlosen Netzwerken. Diese werden die mit kommerziell verfügbaren drahtlosen Geräten, Diensten und Technologien im »DoD Global Information Grid« aufgebaut. Die Direktive 8100.2 erfordert unter anderem Datenverschlüsselung, sichere Authentifizierung, eindeutige Identifizierung (Non-Repudiation), persönliche Identifizierung und die Nutzung des WLAN-Sicherheitsstandards 802.11i.

»Wer die Common-Criteria-Spezifikation nicht erfüllt, kommt bei Behörden und in anderen Bereichen mit hohen Sicherheitsanforderungen wie Finanzinstitutionen nicht weit«, so Greg Young, Vice-President Research bei Gartner. »Einer der größten Vorteile der Common-Criteria Evaluierung ist: Sie zwingt den Hersteller durch ihre Dokumentationsanforderungen, sehr strenge Kontrollen für das Change- und Release-Management einzuführen. Diese Maßnahmen verringern die Wahrscheinlichkeit, dass nach der Evaluierung noch Schwachstellen und Sicherheitslücken auftreten. In Anbetracht dieser strengen Vorgehensweise sollten bei zertifizierten Produkten im Lauf der Zeit weniger Schwachstellen auftreten, als bei nicht geprüften. Man darf aber nicht vergessen, dass Kryptografie kein Bestandteil von Common-Criteria ist. Dafür gibt es den etablierten und erfolgreichen Standard FIPS 140-2, der verschlüsselte Module evaluiert und auf ihre Richtigkeit hin überprüft.«