Hallo allerseits,
dies ist mein erster Beitrag hier in der Liste. Bitte seht es mir nach, wenn ich hier nicht alle Etikette einhalte. Und vielleicht ist das Thema auch schon mächtig abgegriffen!?
Da ich aber selbst seit April viel mit Informationssicherheit zu tun habe, möchte ich es trotzdem auf diesem Wege versuchen.
Wir setzen im öffentlichen Bereich derzeit ausschließlich Enterprice Linux ein. Nun gibt es zwei Ereignisse, welche uns (ein IT Dienstleister im öffentlichen Sektor) dazu zwingen, andere Wege zu suchen. Zum einen die Lizenzpolitik im Java-Umfeld und zum anderen die gezwungene Verwendung von alternativen Software Repos ala EPEL.
Nun hier meine Frage(n). Wie erfüllte ich BSI Vorgaben - daran sind wir gebunden - bei der Verwendung von FOSS ohne Supportvertrag? Ist das überhaupt möglich? Ist das ausschließlich ein rechtliches Problem? Kann man durch eigenes KnowHow ein Sicherheitskonzept so gestalten, dass es zerfizierungsreif wäre?
Ähm, ich erwarte natürlich hier keine Beantwortung der Fragen, sondern eher Tipps für Ansatzpunkte zum eigenen rechergieren ;)
Ich hoffe, bei meinen formulierten Fragen ist meine Situation etwas verdeutlicht worden. Ich weiß natürlich, dass im BSI Kompendium empfohlen wird, nur vertrauenswürdige Repos zu benutzen. Aber wie definiert man vertrauenswürdig rechtssicher?
in freudiger Erwartung auf eine rege Diskussion Dirk (Linux/FOSS seit 1996, BfIS seit 2019)
Hallo zusammen,
On 15.05.19 20:11, Dirk Haenelt wrote:
Wir setzen im öffentlichen Bereich derzeit ausschließlich Enterprice Linux ein. Nun gibt es zwei Ereignisse, welche uns (ein IT Dienstleister im öffentlichen Sektor) dazu zwingen, andere Wege zu suchen. Zum einen die Lizenzpolitik im Java-Umfeld und zum anderen die gezwungene Verwendung von alternativen Software Repos ala EPEL.
a) OpenJDK ist für euch keine Alternative? Ist ja jetzt das Gleiche nur mit anderem Label [0].
b) Ja, RedHat deckt nur relativ wenig ab, Debian ist da wesentlich breiter aufgestellt.
Nun hier meine Frage(n). Wie erfüllte ich BSI Vorgaben - daran sind wir gebunden - bei der Verwendung von FOSS ohne Supportvertrag? Ist das überhaupt möglich? Ist das ausschließlich ein rechtliches Problem? Kann man durch eigenes KnowHow ein Sicherheitskonzept so gestalten, dass es zerfizierungsreif wäre?
Ihr könnt doch Supportverträge abschließen (und solltet das vermutlich auch tun). Ich glaube, es handelt sich hier um Mythos 3, wie er in der Public Money, Public Code Broschüre [1] der FSFE benannt wird: "There is no professional support for Free Software products".
Ich hoffe, bei meinen formulierten Fragen ist meine Situation etwas verdeutlicht worden. Ich weiß natürlich, dass im BSI Kompendium empfohlen wird, nur vertrauenswürdige Repos zu benutzen. Aber wie definiert man vertrauenswürdig rechtssicher?
Gute Frage! Ich vermute stark, dass Ihr hierzu auch Beratung finden könnt, die Euch Entscheidungskriterien und Werkzeuge liefert.
Dirk (Linux/FOSS seit 1996, BfIS seit 2019)
:)
Viele Grüße Michael
[0] https://stackoverflow.com/questions/22358071/differences-between-oracle-jdk-... [1] https://download.fsfe.org/campaigns/pmpc/PMPC-Modernising-with-Free-Software... https://publiccode.eu/
Hallo Dirk,
willkommen!
Du kannst hier alles schreiben, was irgendwie mit Freier Software oder FSFE zu tun hat. (Natürlich sollte es respektvoll und wenn möglich konstruktiv sein. ;) )
Am Mittwoch 15 Mai 2019 20:11:25 schrieb Dirk Haenelt:
Wir setzen im öffentlichen Bereich derzeit ausschließlich Enterprice Linux ein. Nun gibt es zwei Ereignisse, welche uns (ein IT Dienstleister im öffentlichen Sektor) dazu zwingen, andere Wege zu suchen. Zum einen die Lizenzpolitik im Java-Umfeld und zum anderen die gezwungene Verwendung von alternativen Software Repos ala EPEL.
Mich würden bei beiden Punkten mehr Einzelheiten interessieren.
Nun hier meine Frage(n). Wie erfüllte ich BSI Vorgaben - daran sind wir gebunden - bei der Verwendung von FOSS ohne Supportvertrag? Ist das überhaupt möglich? Ist das ausschließlich ein rechtliches Problem? Kann man durch eigenes KnowHow ein Sicherheitskonzept so gestalten, dass es zerfizierungsreif wäre?
Generell denke ich, dass natürlich mit dem Einsatz von Freie Software-Produkten ganz viele Sicherheitsanforderungen erfüllt werden können. Das BSI selbst sieht das so [1].
Im Zweifel kommt es aber auf die genauen Anforderungen an. Bei manchen, z.B. mit Schutzbedarf sehr hoch würde ich sagen: Ja, es sollte eine zeitnahe, kompetente Reaktion sicher gestellt werden. Das geht über einen Unterstützungsvertrag meist leichter, als selbst Resourcen vorzuhalten. Aber es ist natürlich möglich, das mit eigenen Leute zu machen.
Ich weiß natürlich, dass im BSI Kompendium empfohlen wird, nur vertrauenswürdige Repos zu benutzen. Aber wie definiert man vertrauenswürdig rechtssicher?
Einmal kommt es auf die Software und das Repo an. Ich denke, wenn es eine dokumentierte und nachvollziehbare Begründung gibt, dass diese Repository den benötigen Sicherheitsansprüchen genügt. Also, wenn 90% der IT-Expertinnen, welche das ansehen und sagen würden: Ja, stimmt. Mehr geht eh nicht, bei jeder Software-Lösung, egal ob Freie Software oder proprietär. Ein Unternehmen kann trotzdem Mist machen, selbst wenn die das per Vertrag anders garantieren, dass ist dann trotzdem aus meiner Sicht nicht rechtssicher.
Anders liesse sich die Frage auch stellen: Wie wie weit könnte ein Arbeitsplatz mit proprietärer Software überhaupt rechtssicher betrieben werden? Geht vermutlich noch weniger, weil die Unternehmen nicht ernsthaft haften und im Zweifel insolvent gehen. Dass ist eine starke Belastung für die Verfügbarkeit und kann bei Freie Software so nicht passieren.
Viele Grüße, Bernhard
[1] https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/FreieSoftware/freieso...
Hallo Dirk,
"Bernhard E. Reiter" bernhard@fsfe.org schrieb am 16. Mai 2019, 08:58:24:
[...] Am Mittwoch 15 Mai 2019 20:11:25 schrieb Dirk Haenelt:
Wir setzen im öffentlichen Bereich derzeit ausschließlich Enterprice Linux ein. Nun gibt es zwei Ereignisse, welche uns (ein IT Dienstleister im öffentlichen Sektor) dazu zwingen, andere Wege zu suchen. Zum einen die Lizenzpolitik im Java-Umfeld und zum anderen die gezwungene Verwendung von alternativen Software Repos ala EPEL.
Mich würden bei beiden Punkten mehr Einzelheiten interessieren.
Mich auch.
Nun hier meine Frage(n). Wie erfüllte ich BSI Vorgaben - daran sind wir gebunden - bei der Verwendung von FOSS ohne Supportvertrag? Ist das überhaupt möglich? Ist das ausschließlich ein rechtliches Problem? Kann man durch eigenes KnowHow ein Sicherheitskonzept so gestalten, dass es zerfizierungsreif wäre?
Vom BSI gibt es viele Veröffentlichungen. Grundschutz alt, Grundschutz neu (komplett anders strukturiert, andere Inhalte), BSI für Bürger, Mindeststandards, usw.. Auf welche Veröffentlichung (und welche Textstelle genau) bezieht sich das konkret?
Generell denke ich, dass natürlich mit dem Einsatz von Freie Software-Produkten ganz viele Sicherheitsanforderungen erfüllt werden können. Das BSI selbst sieht das so [1]. [1] https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/FreieSoftware/freies oftware_node.html
Ja. Alles andere wäre mMn ein Bug in der Doku.
Im Zweifel kommt es aber auf die genauen Anforderungen an. Bei manchen, z.B. mit Schutzbedarf sehr hoch würde ich sagen: Ja, es sollte eine zeitnahe, kompetente Reaktion sicher gestellt werden. Das geht über einen Unterstützungsvertrag meist leichter, als selbst Resourcen vorzuhalten. Aber es ist natürlich möglich, das mit eigenen Leute zu machen.
Stimmt. Kompetenten(!) Support extern einzukaufen hat zwei Vorteile: Jemand anderes hat das Problem an der Backe (ein sogenannter Chief Take-the-blame Officer) und dieser andere hat auch die für die Fehlerbehebung notwendige Kompetenz.
Ich weiß natürlich, dass im BSI Kompendium empfohlen wird, nur vertrauenswürdige Repos zu benutzen.
Darf ich da die konkrete Textstelle haben?
Aber wie definiert man vertrauenswürdig rechtssicher?
Einmal kommt es auf die Software und das Repo an. Ich denke, wenn es eine dokumentierte und nachvollziehbare Begründung gibt, dass diese Repository den benötigen Sicherheitsansprüchen genügt. Also, wenn 90% der IT-Expertinnen, welche das ansehen und sagen würden: Ja, stimmt. Mehr geht eh nicht, bei jeder Software-Lösung, egal ob Freie Software oder proprietär. Ein Unternehmen kann trotzdem Mist machen, selbst wenn die das per Vertrag anders garantieren, dass ist dann trotzdem aus meiner Sicht nicht rechtssicher.
Ich würde das persönlich anhand einiger Ausschlusskriterien beantworten wollen, die Liste ist aber nicht abschließend, und nicht verbindlich: Harte Kriterien: - Werden die Pakete im Repository gepflegt, d.h. hat die jeweils aktuellste Version eines Pakets keine bekannten Sicherheitsprobleme? - Wird die Pflege zeitnah/unverzüglich durchgeführt? - Ist das Repository und/oder die Pakete signiert? - Ist dokumentiert, wer Pakete hochladen und signieren kann? - Ist dokumentiert, wie zusätzliche Personen Schreibrechte im Repository bekommen können? - Ist dokumentiert, wie mit Sicherheitsproblemen im Repository selbst (also nicht die Pakete) umgegangen wird? - Gibt es eine langfristige (d.h. zumindest für den geplanten Einsatzzeitraum) Planung der Pflege des Repository? - Werden die o.g. Kriterien ernst genommen? Weichere Kriterien: - Ist der Sourcecode für jedes Paket verfügbar? - Ist der Build reproduzierbar? - Busfaktor>1?
Anders liesse sich die Frage auch stellen: Wie wie weit könnte ein Arbeitsplatz mit proprietärer Software überhaupt rechtssicher betrieben werden? Geht vermutlich noch weniger, weil die Unternehmen nicht ernsthaft haften und im Zweifel insolvent gehen. Dass ist eine starke Belastung für die Verfügbarkeit und kann bei Freie Software so nicht passieren.
Ja, die großen proprietären Softwarehersteller haften nur in Ausnahmefällen. Die Lizenzbedingungen sind da oft relativ eindeuitg.
Ich bin dankbar für jeden konkreten Hinweis, wo in BSI-Publikationen Konflikte zu oder Unumsetzbarkeiten mit Freier Software wahrgenommen werden. Sofern die entsprechenden Dokumente noch gepflegt werden, können sie auch entsprechend aktualisiert werden.
Viele Grüße Carl-Daniel
Hallo,
Am 15.05.19 um 20:11 schrieb Dirk Haenelt: Aber wie
definiert man vertrauenswürdig rechtssicher?
Eine gute Frage.
Fangen wir beim Versuch einer Antwort einmal damit an, dass nur Menschen vertrauenwürdig (oder eben auch nicht) sein können.
Daraus folgt IMO für die Beurteilung eines Repos, dass ich ein dortiges Softwarepaket einem Menschen als Verantwortlichem Zuordnen kann. (Es können natürlich auch mehrere sein.) Sind also die Pakete beispielsweise alle signiert?
Gibt es ein institutionalisiertes Mehr-Augen-Prinzip? (Personelle Trennung von Entwickler und FTP-Master beispielsweise.)
Wird auf die Reproduzierbarkeit der Builds Wert gelegt?
Wie ist der Umgang mit Fehlern?
Wie "agil" oder "konservativ" wird das Repo gepflegt? Wird eine Distribution überhaupt gepflegt? Oder nur teilweise? Oder wird nur an der nächsten gearbeitet?
Es ist also bei der Beurteilung von Repos eine Gemengelage von institutionellen und technischen Vorkehrungen und persönlicher Vertrauenswürdigkeit zu beachten.
Als nächstes stellt sich dann die Frage: Wie "vertrauemswürdig" ist das Projekt oder Unternehmen, dessen Software für das Repo konkret packetiert wurde?
Wer sagt "Ich nehme Repo xy und bin damit auf der sicheren Seite!" hat die Komplexität des Themas (und seine Aufgabe als Verantwortlicher für die IT-Sicherheit) nicht verstanden.
Auch Zertifizierungen helfen da nur bedingt weiter. "Best practices" IMO schon eher.
Gruß Michael
* Dirk Haenelt:
Wir setzen im öffentlichen Bereich derzeit ausschließlich Enterprice Linux ein. Nun gibt es zwei Ereignisse, welche uns (ein IT Dienstleister im öffentlichen Sektor) dazu zwingen, andere Wege zu suchen. Zum einen die Lizenzpolitik im Java-Umfeld und zum anderen die gezwungene Verwendung von alternativen Software Repos ala EPEL.
Um welche EPEL-Pakete geht es denn? Grundsätzlich ist ja das, was in EL ist und was in EPEL nicht gottgegeben. Änderungen sind durchaus möglich. (Anhand des Paketnames läßt sich häufig abschätzen, ob es sich überhaupt lohnt, um eine Verschiebung zu bitten.)
Nun hier meine Frage(n). Wie erfüllte ich BSI Vorgaben - daran sind wir gebunden - bei der Verwendung von FOSS ohne Supportvertrag?
Warum liefert der IT-Dienstleister die Extra-Pakete nicht selbst aus und sichert für sie Support zu (im Zusammenhang mit der eigenen Software)? Solange er die Dateien nicht in die Systemverzeichnisse kopiert, dürfte das der gängige Weg sein.