FOSS und Informationssicherheit nach BSI ein Widerspruch?

Dr. Michael Stehmann anwalt at rechtsanwalt-stehmann.de
Do Mai 16 07:44:37 UTC 2019


Hallo,

Am 15.05.19 um 20:11 schrieb Dirk Haenelt:
 Aber wie
> definiert man vertrauenswürdig rechtssicher?

Eine gute Frage.

Fangen wir beim Versuch einer Antwort einmal damit an, dass nur Menschen
vertrauenwürdig (oder eben auch nicht) sein können.

Daraus folgt IMO für die Beurteilung eines Repos, dass ich ein dortiges
Softwarepaket einem Menschen als Verantwortlichem Zuordnen kann. (Es
können natürlich auch mehrere sein.) Sind also die Pakete beispielsweise
alle signiert?

Gibt es ein institutionalisiertes Mehr-Augen-Prinzip? (Personelle
Trennung von Entwickler und FTP-Master beispielsweise.)

Wird auf die Reproduzierbarkeit der Builds Wert gelegt?

Wie ist der Umgang mit Fehlern?

Wie "agil" oder "konservativ" wird das Repo gepflegt? Wird eine
Distribution überhaupt gepflegt? Oder nur teilweise? Oder wird nur an
der nächsten gearbeitet?

Es ist also bei der Beurteilung von Repos eine Gemengelage von
institutionellen und technischen Vorkehrungen und persönlicher
Vertrauenswürdigkeit zu beachten.

Als nächstes stellt sich dann die Frage: Wie "vertrauemswürdig" ist das
Projekt oder Unternehmen, dessen Software für das Repo konkret
packetiert wurde?

Wer sagt "Ich nehme Repo xy und bin damit auf der sicheren Seite!" hat
die Komplexität des Themas  (und seine Aufgabe als Verantwortlicher für
die IT-Sicherheit) nicht verstanden.

Auch Zertifizierungen helfen da nur bedingt weiter. "Best practices" IMO
schon eher.

Gruß
Michael






-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 195 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20190516/a8504c0a/attachment.sig>


Mehr Informationen über die Mailingliste FSFE-de