<html><head><meta name="qrichtext" content="1" /></head><body style="font-size:9pt;font-family:Sans Serif">
<p>Hallo Dirk,</p>
<p></p>
<p>"Bernhard E. Reiter" <bernhard@fsfe.org> schrieb am 16. Mai 2019, 08:58:24:</p>
<p><span style="color:#008000">> [...]</span></p>
<p><span style="color:#008000">> Am Mittwoch 15 Mai 2019 20:11:25 schrieb Dirk Haenelt:</span></p>
<p><span style="color:#007000">> > Wir setzen im öffentlichen Bereich derzeit ausschließlich Enterprice</span></p>
<p><span style="color:#007000">> > Linux ein. Nun gibt es zwei Ereignisse, welche uns (ein IT</span></p>
<p><span style="color:#007000">> > Dienstleister im öffentlichen Sektor) dazu zwingen, andere Wege zu</span></p>
<p><span style="color:#007000">> > suchen. Zum einen die Lizenzpolitik im Java-Umfeld und zum anderen die</span></p>
<p><span style="color:#007000">> > gezwungene Verwendung von alternativen Software Repos ala EPEL.</span></p>
<p><span style="color:#008000">></span></p>
<p><span style="color:#008000">> Mich würden bei beiden Punkten mehr Einzelheiten interessieren.</span></p>
<p></p>
<p>Mich auch.</p>
<p></p>
<p></p>
<p><span style="color:#007000">> > Nun hier meine Frage(n). Wie erfüllte ich BSI Vorgaben - daran sind wir</span></p>
<p><span style="color:#007000">> > gebunden - bei der Verwendung von FOSS ohne Supportvertrag? Ist das</span></p>
<p><span style="color:#007000">> > überhaupt möglich? Ist das ausschließlich ein rechtliches Problem? Kann</span></p>
<p><span style="color:#007000">> > man durch eigenes KnowHow ein Sicherheitskonzept so gestalten, dass es</span></p>
<p><span style="color:#007000">> > zerfizierungsreif wäre?</span></p>
<p></p>
<p>Vom BSI gibt es viele Veröffentlichungen. Grundschutz alt, Grundschutz neu (komplett anders strukturiert, andere Inhalte), BSI für Bürger, Mindeststandards, usw.. Auf welche Veröffentlichung (und welche Textstelle genau) bezieht sich das konkret?</p>
<p></p>
<p></p>
<p><span style="color:#008000">> Generell denke ich, dass natürlich mit dem Einsatz von Freie</span></p>
<p><span style="color:#008000">> Software-Produkten ganz viele Sicherheitsanforderungen erfüllt werden</span></p>
<p><span style="color:#008000">> können. Das BSI selbst sieht das so [1].</span></p>
<p>> [1]</p>
<p>> https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/FreieSoftware/freies</p>
<p>>oftware_node.html</p>
<p></p>
<p>Ja. Alles andere wäre mMn ein Bug in der Doku.</p>
<p></p>
<p></p>
<p><span style="color:#008000">> Im Zweifel kommt es aber auf die genauen Anforderungen an.</span></p>
<p><span style="color:#008000">> Bei manchen, z.B. mit Schutzbedarf sehr hoch würde ich sagen: Ja, es sollte</span></p>
<p><span style="color:#008000">> eine zeitnahe, kompetente Reaktion sicher gestellt werden. Das geht über</span></p>
<p><span style="color:#008000">> einen Unterstützungsvertrag meist leichter, als selbst Resourcen</span></p>
<p><span style="color:#008000">> vorzuhalten. Aber es ist natürlich möglich, das mit eigenen Leute zu</span></p>
<p><span style="color:#008000">> machen.</span></p>
<p></p>
<p>Stimmt. Kompetenten(!) Support extern einzukaufen hat zwei Vorteile: Jemand anderes hat das Problem an der Backe (ein sogenannter Chief Take-the-blame Officer) und dieser andere hat auch die für die Fehlerbehebung notwendige Kompetenz.</p>
<p></p>
<p></p>
<p><span style="color:#007000">> > Ich weiß natürlich, dass im BSI Kompendium</span></p>
<p><span style="color:#007000">> > empfohlen wird, nur vertrauenswürdige Repos zu benutzen.</span></p>
<p></p>
<p><span style="color:#007000">Darf ich da die konkrete Textstelle haben?</span></p>
<p></p>
<p></p>
<p><span style="color:#007000">> > Aber wie definiert man vertrauenswürdig rechtssicher?</span></p>
<p><span style="color:#008000">></span></p>
<p><span style="color:#008000">> Einmal kommt es auf die Software und das Repo an.</span></p>
<p><span style="color:#008000">> Ich denke, wenn es eine dokumentierte und nachvollziehbare Begründung gibt,</span></p>
<p><span style="color:#008000">> dass diese Repository den benötigen Sicherheitsansprüchen genügt.</span></p>
<p><span style="color:#008000">> Also, wenn 90% der IT-Expertinnen, welche das ansehen und sagen würden: Ja,</span></p>
<p><span style="color:#008000">> stimmt. Mehr geht eh nicht, bei jeder Software-Lösung, egal ob Freie</span></p>
<p><span style="color:#008000">> Software oder proprietär. Ein Unternehmen kann trotzdem Mist machen, selbst</span></p>
<p><span style="color:#008000">> wenn die das per Vertrag anders garantieren, dass ist dann trotzdem aus</span></p>
<p><span style="color:#008000">> meiner Sicht nicht rechtssicher.</span></p>
<p></p>
<p>Ich würde das persönlich anhand einiger Ausschlusskriterien beantworten wollen, die Liste ist aber nicht abschließend, und nicht verbindlich:</p>
<p>Harte Kriterien:</p>
<p>- Werden die Pakete im Repository gepflegt, d.h. hat die jeweils aktuellste Version eines Pakets keine bekannten Sicherheitsprobleme?</p>
<p>- Wird die Pflege zeitnah/unverzüglich durchgeführt?</p>
<p>- Ist das Repository und/oder die Pakete signiert?</p>
<p>- Ist dokumentiert, wer Pakete hochladen und signieren kann?</p>
<p>- Ist dokumentiert, wie zusätzliche Personen Schreibrechte im Repository bekommen können?</p>
<p>- Ist dokumentiert, wie mit Sicherheitsproblemen im Repository selbst (also nicht die Pakete) umgegangen wird?</p>
<p>- Gibt es eine langfristige (d.h. zumindest für den geplanten Einsatzzeitraum) Planung der Pflege des Repository?</p>
<p>- Werden die o.g. Kriterien ernst genommen?</p>
<p>Weichere Kriterien:</p>
<p>- Ist der Sourcecode für jedes Paket verfügbar?</p>
<p>- Ist der Build reproduzierbar?</p>
<p>- Busfaktor>1?</p>
<p></p>
<p></p>
<p><span style="color:#008000">> Anders liesse sich die Frage auch stellen: Wie wie weit könnte ein</span></p>
<p><span style="color:#008000">> Arbeitsplatz mit proprietärer Software überhaupt rechtssicher betrieben</span></p>
<p><span style="color:#008000">> werden? Geht vermutlich noch weniger, weil die Unternehmen nicht ernsthaft</span></p>
<p><span style="color:#008000">> haften und im Zweifel insolvent gehen. Dass ist eine starke Belastung für</span></p>
<p><span style="color:#008000">> die Verfügbarkeit und kann bei Freie Software so nicht passieren.</span></p>
<p></p>
<p>Ja, die großen proprietären Softwarehersteller haften nur in Ausnahmefällen. Die Lizenzbedingungen sind da oft relativ eindeuitg.</p>
<p></p>
<p></p>
<p></p>
<p>Ich bin dankbar für jeden konkreten Hinweis, wo in BSI-Publikationen Konflikte zu oder Unumsetzbarkeiten mit Freier Software wahrgenommen werden. Sofern die entsprechenden Dokumente noch gepflegt werden, können sie auch entsprechend aktualisiert werden.</p>
<p></p>
<p>Viele Grüße</p>
<p>Carl-Daniel</p>
<p>-- </p>
<p>Hailfinger, Carl-Daniel</p>
<p>_________________________________________</p>
<p>Referat TK 12 - Betriebssysteme</p>
<p>Bundesamt für Sicherheit in der Informationstechnik</p>
<p></p>
<p>Godesberger Allee 185-189</p>
<p>53175 Bonn</p>
<p>Telefon:       +49 (0)228 99 9582-5939</p>
<p>Fax:           +49 (0)228 99 10 9582-5939</p>
<p>E-Mail:        Carl-Daniel.Hailfinger@bsi.bund.de</p>
<p>Internet:      www.bsi.bund.de</p>
<p>               www.bsi-fuer-buerger.de</p>
<p></p>
<p>Besucheradresse: Dreizehnmorgenweg 40-42, 53175 Bonn</p>
</body></html>