FOSS und Informationssicherheit nach BSI ein Widerspruch?
Bernhard E. Reiter
bernhard at fsfe.org
Do Mai 16 06:58:24 UTC 2019
Hallo Dirk,
willkommen!
Du kannst hier alles schreiben, was irgendwie mit Freier Software
oder FSFE zu tun hat. (Natürlich sollte es respektvoll und wenn möglich
konstruktiv sein. ;) )
Am Mittwoch 15 Mai 2019 20:11:25 schrieb Dirk Haenelt:
> Wir setzen im öffentlichen Bereich derzeit ausschließlich Enterprice
> Linux ein. Nun gibt es zwei Ereignisse, welche uns (ein IT
> Dienstleister im öffentlichen Sektor) dazu zwingen, andere Wege zu
> suchen. Zum einen die Lizenzpolitik im Java-Umfeld und zum anderen die
> gezwungene Verwendung von alternativen Software Repos ala EPEL.
Mich würden bei beiden Punkten mehr Einzelheiten interessieren.
> Nun hier meine Frage(n). Wie erfüllte ich BSI Vorgaben - daran sind wir
> gebunden - bei der Verwendung von FOSS ohne Supportvertrag? Ist das
> überhaupt möglich? Ist das ausschließlich ein rechtliches Problem? Kann
> man durch eigenes KnowHow ein Sicherheitskonzept so gestalten, dass es
> zerfizierungsreif wäre?
Generell denke ich, dass natürlich mit dem Einsatz von Freie
Software-Produkten ganz viele Sicherheitsanforderungen erfüllt werden können.
Das BSI selbst sieht das so [1].
Im Zweifel kommt es aber auf die genauen Anforderungen an.
Bei manchen, z.B. mit Schutzbedarf sehr hoch würde ich sagen: Ja, es sollte
eine zeitnahe, kompetente Reaktion sicher gestellt werden. Das geht über
einen Unterstützungsvertrag meist leichter, als selbst Resourcen vorzuhalten.
Aber es ist natürlich möglich, das mit eigenen Leute zu machen.
> Ich weiß natürlich, dass im BSI Kompendium
> empfohlen wird, nur vertrauenswürdige Repos zu benutzen. Aber wie
> definiert man vertrauenswürdig rechtssicher?
Einmal kommt es auf die Software und das Repo an.
Ich denke, wenn es eine dokumentierte und nachvollziehbare Begründung gibt,
dass diese Repository den benötigen Sicherheitsansprüchen genügt.
Also, wenn 90% der IT-Expertinnen, welche das ansehen und sagen würden: Ja,
stimmt. Mehr geht eh nicht, bei jeder Software-Lösung, egal ob Freie Software
oder proprietär. Ein Unternehmen kann trotzdem Mist machen, selbst wenn die
das per Vertrag anders garantieren, dass ist dann trotzdem aus meiner Sicht
nicht rechtssicher.
Anders liesse sich die Frage auch stellen: Wie wie weit könnte ein
Arbeitsplatz mit proprietärer Software überhaupt rechtssicher betrieben
werden? Geht vermutlich noch weniger, weil die Unternehmen nicht ernsthaft
haften und im Zweifel insolvent gehen. Dass ist eine starke Belastung für die
Verfügbarkeit und kann bei Freie Software so nicht passieren.
Viele Grüße,
Bernhard
[1]
https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/FreieSoftware/freiesoftware_node.html
--
FSFE -- Founding Member Support our work for Free Software:
blogs.fsfe.org/bernhard https://fsfe.org/donate | contribute
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 488 bytes
Beschreibung: This is a digitally signed message part.
URL : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20190516/2e115584/attachment.sig>
Mehr Informationen über die Mailingliste FSFE-de