FOSS und Informationssicherheit nach BSI ein Widerspruch?

Hailfinger, Carl-Daniel Carl-Daniel.Hailfinger at bsi.bund.de
Do Mai 16 11:36:56 UTC 2019 

Hallo Dirk,

"Bernhard E. Reiter" <bernhard at fsfe.org> schrieb am 16. Mai 2019, 08:58:24:
> [...]
> Am Mittwoch 15 Mai 2019 20:11:25 schrieb Dirk Haenelt:
> > Wir setzen im öffentlichen Bereich derzeit ausschließlich Enterprice
> > Linux ein. Nun gibt es zwei Ereignisse, welche uns (ein IT
> > Dienstleister im öffentlichen Sektor) dazu zwingen, andere Wege zu
> > suchen. Zum einen die Lizenzpolitik im Java-Umfeld und zum anderen die
> > gezwungene Verwendung von alternativen Software Repos ala EPEL.
>
> Mich würden bei beiden Punkten mehr Einzelheiten interessieren.

Mich auch.


> > Nun hier meine Frage(n). Wie erfüllte ich BSI Vorgaben - daran sind wir
> > gebunden - bei der Verwendung von FOSS ohne Supportvertrag? Ist das
> > überhaupt möglich? Ist das ausschließlich ein rechtliches Problem? Kann
> > man durch eigenes KnowHow ein Sicherheitskonzept so gestalten, dass es
> > zerfizierungsreif wäre?

Vom BSI gibt es viele Veröffentlichungen. Grundschutz alt, Grundschutz neu (komplett anders strukturiert, andere Inhalte), BSI für Bürger, Mindeststandards, usw.. Auf welche Veröffentlichung (und welche Textstelle genau) bezieht sich das konkret?


> Generell denke ich, dass natürlich mit dem Einsatz von Freie
> Software-Produkten ganz viele Sicherheitsanforderungen erfüllt werden
> können. Das BSI selbst sieht das so [1].
> [1]
> https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/FreieSoftware/freies
>oftware_node.html

Ja. Alles andere wäre mMn ein Bug in der Doku.


> Im Zweifel kommt es aber auf die genauen Anforderungen an.
> Bei manchen, z.B. mit Schutzbedarf sehr hoch würde ich sagen: Ja, es sollte
> eine zeitnahe, kompetente Reaktion sicher gestellt werden. Das geht über
> einen Unterstützungsvertrag meist leichter, als selbst Resourcen
> vorzuhalten. Aber es ist natürlich möglich, das mit eigenen Leute zu
> machen.

Stimmt. Kompetenten(!) Support extern einzukaufen hat zwei Vorteile: Jemand anderes hat das Problem an der Backe (ein sogenannter Chief Take-the-blame Officer) und dieser andere hat auch die für die Fehlerbehebung notwendige Kompetenz.


> > Ich weiß natürlich, dass im BSI Kompendium
> > empfohlen wird, nur vertrauenswürdige Repos zu benutzen.

Darf ich da die konkrete Textstelle haben?


> > Aber wie definiert man vertrauenswürdig rechtssicher?
>
> Einmal kommt es auf die Software und das Repo an.
> Ich denke, wenn es eine dokumentierte und nachvollziehbare Begründung gibt,
> dass diese Repository den benötigen Sicherheitsansprüchen genügt.
> Also, wenn 90% der IT-Expertinnen, welche das ansehen und sagen würden: Ja,
> stimmt. Mehr geht eh nicht, bei jeder Software-Lösung, egal ob Freie
> Software oder proprietär. Ein Unternehmen kann trotzdem Mist machen, selbst
> wenn die das per Vertrag anders garantieren, dass ist dann trotzdem aus
> meiner Sicht nicht rechtssicher.

Ich würde das persönlich anhand einiger Ausschlusskriterien beantworten wollen, die Liste ist aber nicht abschließend, und nicht verbindlich:
Harte Kriterien:
- Werden die Pakete im Repository gepflegt, d.h. hat die jeweils aktuellste Version eines Pakets keine bekannten Sicherheitsprobleme?
- Wird die Pflege zeitnah/unverzüglich durchgeführt?
- Ist das Repository und/oder die Pakete signiert?
- Ist dokumentiert, wer Pakete hochladen und signieren kann?
- Ist dokumentiert, wie zusätzliche Personen Schreibrechte im Repository bekommen können?
- Ist dokumentiert, wie mit Sicherheitsproblemen im Repository selbst (also nicht die Pakete) umgegangen wird?
- Gibt es eine langfristige (d.h. zumindest für den geplanten Einsatzzeitraum) Planung der Pflege des Repository?
- Werden die o.g. Kriterien ernst genommen?
Weichere Kriterien:
- Ist der Sourcecode für jedes Paket verfügbar?
- Ist der Build reproduzierbar?
- Busfaktor>1?


> Anders liesse sich die Frage auch stellen: Wie wie weit könnte ein
> Arbeitsplatz mit proprietärer Software überhaupt rechtssicher betrieben
> werden? Geht vermutlich noch weniger, weil die Unternehmen nicht ernsthaft
> haften und im Zweifel insolvent gehen. Dass ist eine starke Belastung für
> die Verfügbarkeit und kann bei Freie Software so nicht passieren.

Ja, die großen proprietären Softwarehersteller haften nur in Ausnahmefällen. Die Lizenzbedingungen sind da oft relativ eindeuitg.



Ich bin dankbar für jeden konkreten Hinweis, wo in BSI-Publikationen Konflikte zu oder Unumsetzbarkeiten mit Freier Software wahrgenommen werden. Sofern die entsprechenden Dokumente noch gepflegt werden, können sie auch entsprechend aktualisiert werden.

Viele Grüße
Carl-Daniel
-- 
Hailfinger, Carl-Daniel
_________________________________________
Referat TK 12 - Betriebssysteme
Bundesamt für Sicherheit in der Informationstechnik

Godesberger Allee 185-189
53175 Bonn
Telefon:	+49 (0)228 99 9582-5939
Fax:		+49 (0)228 99 10 9582-5939
E-Mail:	Carl-Daniel.Hailfinger at bsi.bund.de
Internet:	www.bsi.bund.de
		www.bsi-fuer-buerger.de

Besucheradresse: Dreizehnmorgenweg 40-42, 53175 Bonn
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20190516/2b315c28/attachment.html>

Mehr Informationen über die Mailingliste FSFE-de