FOSS und Informationssicherheit nach BSI ein Widerspruch?

[Bernhard E. Reiter]

Hallo Dirk,

willkommen!

Du kannst hier alles schreiben, was irgendwie mit Freier Software 
oder FSFE zu tun hat. (Natürlich sollte es respektvoll und wenn möglich 
konstruktiv sein. ;) )


Am Mittwoch 15 Mai 2019 20:11:25 schrieb Dirk Haenelt:
> Wir setzen im öffentlichen Bereich derzeit ausschließlich Enterprice
> Linux ein. Nun gibt es zwei Ereignisse, welche uns (ein IT
> Dienstleister im öffentlichen Sektor) dazu zwingen, andere Wege zu
> suchen. Zum einen die Lizenzpolitik im Java-Umfeld und zum anderen die
> gezwungene Verwendung von alternativen Software Repos ala EPEL.

Mich würden bei beiden Punkten mehr Einzelheiten interessieren.

> Nun hier meine Frage(n). Wie erfüllte ich BSI Vorgaben - daran sind wir
> gebunden - bei der Verwendung von FOSS ohne Supportvertrag? Ist das
> überhaupt möglich? Ist das ausschließlich ein rechtliches Problem? Kann
> man durch eigenes KnowHow ein Sicherheitskonzept so gestalten, dass es
> zerfizierungsreif wäre?

Generell denke ich, dass natürlich mit dem Einsatz von Freie 
Software-Produkten ganz viele Sicherheitsanforderungen erfüllt werden können.
Das BSI selbst sieht das so [1].

Im Zweifel kommt es aber auf die genauen Anforderungen an.
Bei manchen, z.B. mit Schutzbedarf sehr hoch würde ich sagen: Ja, es sollte 
eine zeitnahe, kompetente Reaktion sicher gestellt werden. Das geht über 
einen Unterstützungsvertrag meist leichter, als selbst Resourcen vorzuhalten.
Aber es ist natürlich möglich, das mit eigenen Leute zu machen.

> Ich weiß natürlich, dass im BSI Kompendium
> empfohlen wird, nur vertrauenswürdige Repos zu benutzen. Aber wie
> definiert man vertrauenswürdig rechtssicher?

Einmal kommt es auf die Software und das Repo an.
Ich denke, wenn es eine dokumentierte und nachvollziehbare Begründung gibt,
dass diese Repository den benötigen Sicherheitsansprüchen genügt.
Also, wenn 90% der IT-Expertinnen, welche das ansehen und sagen würden: Ja, 
stimmt. Mehr geht eh nicht, bei jeder Software-Lösung, egal ob Freie Software 
oder proprietär. Ein Unternehmen kann trotzdem Mist machen, selbst wenn die 
das per Vertrag anders garantieren, dass ist dann trotzdem aus meiner Sicht 
nicht rechtssicher. 

Anders liesse sich die Frage auch stellen: Wie wie weit könnte ein 
Arbeitsplatz mit proprietärer Software überhaupt rechtssicher betrieben 
werden? Geht vermutlich noch weniger, weil die Unternehmen nicht ernsthaft 
haften und im Zweifel insolvent gehen. Dass ist eine starke Belastung für die 
Verfügbarkeit und kann bei Freie Software so nicht passieren.

Viele Grüße,
Bernhard


[1]
https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/FreieSoftware/freiesoftware_node.html


-- 
FSFE -- Founding Member     Support our work for Free Software: 
blogs.fsfe.org/bernhard     https://fsfe.org/donate | contribute
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 488 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20190516/2e115584/attachment.sig>