FOSS und Informationssicherheit nach BSI ein Widerspruch?

[Dirk Haenelt]

Hallo allerseits,

dies ist mein erster Beitrag hier in der Liste. Bitte seht es mir nach,
wenn ich hier nicht alle Etikette einhalte. Und vielleicht ist das
Thema auch schon mächtig abgegriffen!?

Da ich aber selbst seit April viel mit Informationssicherheit zu tun
habe, möchte ich es trotzdem auf diesem Wege versuchen.

Wir setzen im öffentlichen Bereich derzeit ausschließlich Enterprice
Linux ein. Nun gibt es zwei Ereignisse, welche uns (ein IT
Dienstleister im öffentlichen Sektor) dazu zwingen, andere Wege zu
suchen. Zum einen die Lizenzpolitik im Java-Umfeld und zum anderen die
gezwungene Verwendung von alternativen Software Repos ala EPEL.

Nun hier meine Frage(n). Wie erfüllte ich BSI Vorgaben - daran sind wir
gebunden - bei der Verwendung von FOSS ohne Supportvertrag? Ist das
überhaupt möglich? Ist das ausschließlich ein rechtliches Problem? Kann
man durch eigenes KnowHow ein Sicherheitskonzept so gestalten, dass es
zerfizierungsreif wäre?

Ähm, ich erwarte natürlich hier keine Beantwortung der Fragen, sondern
eher Tipps für Ansatzpunkte zum eigenen rechergieren ;)

Ich hoffe, bei meinen formulierten Fragen ist meine Situation etwas
verdeutlicht worden. Ich weiß natürlich, dass im BSI Kompendium
empfohlen wird, nur vertrauenswürdige Repos zu benutzen. Aber wie
definiert man vertrauenswürdig rechtssicher?

in freudiger Erwartung auf eine rege Diskussion
Dirk
(Linux/FOSS seit 1996, BfIS seit 2019)