Freie Software für sicherere kritische Infrastrukturen

Max Mehl max.mehl at fsfe.org
Mo Jan 20 12:18:17 UTC 2020


Hallo zusammen,

Ihr habt vermutlich in den letzten Tagen und Wochen von
Sicherheitslücken in Citrix ("Shitrix") und der Zertifikateprüfung von
Microsoft ("Curveball") gelesen. Beides vereint, dass es sich dabei um
proprietäre Software handelt, die großflächig in sogenannter kritischen
Infrastrukturen eingesetzt wird.

Die AG KRITIS, eine unabhängige Arbeitsgruppe mit namhaften
Sicherheitsexperten an Bord, hat zum Fall Curveball eine Zusammenfassung
sowie darauf aufbauende politische Forderungen veröffentlicht [^1].
Einige davon entsprechen, zumindest teilweise, denen der FSFE:

  "Durch Open Source oder treuhänderische Verwaltung von Quellcode und
  ggf. zugehöriger Patente kann die Überprüfbarkeit als auch eine
  sichere und dauerhafte Weiternutzung der Software gewährleistet
  werden, sofern der Hersteller irgendwann einmal nicht mehr verfügbar
  ist (Stichwort Insolvenz)."

  "Unsignierte Software, die nicht Open Source ist, und wo sich der
  Quellcode nicht in treuhändischer Verwaltung befindet, darf im
  KRITIS-Umfeld unserer Meinung nach nicht eingesetzt werden."


Was haltet Ihr von der Analyse und den Forderungen? Sind sie für den
Anfang ausreichend, oder muss da noch mehr in den Maßnahmenkatalog?

Viele Grüße
Max


[^1]: https://ag.kritis.info/2020/01/18/implikationen-fuer-kritis-durch-schwachstelle-in-microsoft-krypto-bibliothek/

-- 
Max Mehl - Programme Manager - Free Software Foundation Europe
Contact and information: https://fsfe.org/about/mehl | @mxmehl
Become a supporter of software freedom:  https://fsfe.org/join


Mehr Informationen über die Mailingliste FSFE-de