FOSS und Informationssicherheit nach BSI ein Widerspruch?

Michael Kesper mkesper at schokokeks.org
Do Mai 16 06:50:07 UTC 2019 

Hallo zusammen,

On 15.05.19 20:11, Dirk Haenelt wrote:
> Wir setzen im öffentlichen Bereich derzeit ausschließlich Enterprice
> Linux ein. Nun gibt es zwei Ereignisse, welche uns (ein IT
> Dienstleister im öffentlichen Sektor) dazu zwingen, andere Wege zu
> suchen. Zum einen die Lizenzpolitik im Java-Umfeld und zum anderen die
> gezwungene Verwendung von alternativen Software Repos ala EPEL.

a) OpenJDK ist für euch keine Alternative? Ist ja jetzt das Gleiche 
nur mit anderem Label [0].

b) Ja, RedHat deckt nur relativ wenig ab, Debian ist da wesentlich
breiter aufgestellt.
 
> Nun hier meine Frage(n). Wie erfüllte ich BSI Vorgaben - daran sind wir
> gebunden - bei der Verwendung von FOSS ohne Supportvertrag? Ist das
> überhaupt möglich? Ist das ausschließlich ein rechtliches Problem? Kann
> man durch eigenes KnowHow ein Sicherheitskonzept so gestalten, dass es
> zerfizierungsreif wäre?

Ihr könnt doch Supportverträge abschließen (und solltet das vermutlich
auch tun).
Ich glaube, es handelt sich hier um Mythos 3, wie er in der Public
Money, Public Code Broschüre [1] der FSFE benannt wird:
"There is no professional support for Free Software products".

> Ich hoffe, bei meinen formulierten Fragen ist meine Situation etwas
> verdeutlicht worden. Ich weiß natürlich, dass im BSI Kompendium
> empfohlen wird, nur vertrauenswürdige Repos zu benutzen. Aber wie
> definiert man vertrauenswürdig rechtssicher?

Gute Frage! Ich vermute stark, dass Ihr hierzu auch Beratung finden
könnt, die Euch Entscheidungskriterien und Werkzeuge liefert.

> Dirk
> (Linux/FOSS seit 1996, BfIS seit 2019)

:)

Viele Grüße
Michael

[0] https://stackoverflow.com/questions/22358071/differences-between-oracle-jdk-and-openjdk
[1] https://download.fsfe.org/campaigns/pmpc/PMPC-Modernising-with-Free-Software.pdf
    https://publiccode.eu/

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 659 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20190516/69d75a5a/attachment-0001.sig>

Mehr Informationen über die Mailingliste FSFE-de