Hallo Dirk, willkommen!
Du kannst hier alles schreiben, was irgendwie mit Freier Software oder FSFE zu tun hat. (Natürlich sollte es respektvoll und wenn möglich konstruktiv sein. ;) ) Am Mittwoch 15 Mai 2019 20:11:25 schrieb Dirk Haenelt: > Wir setzen im öffentlichen Bereich derzeit ausschließlich Enterprice > Linux ein. Nun gibt es zwei Ereignisse, welche uns (ein IT > Dienstleister im öffentlichen Sektor) dazu zwingen, andere Wege zu > suchen. Zum einen die Lizenzpolitik im Java-Umfeld und zum anderen die > gezwungene Verwendung von alternativen Software Repos ala EPEL. Mich würden bei beiden Punkten mehr Einzelheiten interessieren. > Nun hier meine Frage(n). Wie erfüllte ich BSI Vorgaben - daran sind wir > gebunden - bei der Verwendung von FOSS ohne Supportvertrag? Ist das > überhaupt möglich? Ist das ausschließlich ein rechtliches Problem? Kann > man durch eigenes KnowHow ein Sicherheitskonzept so gestalten, dass es > zerfizierungsreif wäre? Generell denke ich, dass natürlich mit dem Einsatz von Freie Software-Produkten ganz viele Sicherheitsanforderungen erfüllt werden können. Das BSI selbst sieht das so [1]. Im Zweifel kommt es aber auf die genauen Anforderungen an. Bei manchen, z.B. mit Schutzbedarf sehr hoch würde ich sagen: Ja, es sollte eine zeitnahe, kompetente Reaktion sicher gestellt werden. Das geht über einen Unterstützungsvertrag meist leichter, als selbst Resourcen vorzuhalten. Aber es ist natürlich möglich, das mit eigenen Leute zu machen. > Ich weiß natürlich, dass im BSI Kompendium > empfohlen wird, nur vertrauenswürdige Repos zu benutzen. Aber wie > definiert man vertrauenswürdig rechtssicher? Einmal kommt es auf die Software und das Repo an. Ich denke, wenn es eine dokumentierte und nachvollziehbare Begründung gibt, dass diese Repository den benötigen Sicherheitsansprüchen genügt. Also, wenn 90% der IT-Expertinnen, welche das ansehen und sagen würden: Ja, stimmt. Mehr geht eh nicht, bei jeder Software-Lösung, egal ob Freie Software oder proprietär. Ein Unternehmen kann trotzdem Mist machen, selbst wenn die das per Vertrag anders garantieren, dass ist dann trotzdem aus meiner Sicht nicht rechtssicher. Anders liesse sich die Frage auch stellen: Wie wie weit könnte ein Arbeitsplatz mit proprietärer Software überhaupt rechtssicher betrieben werden? Geht vermutlich noch weniger, weil die Unternehmen nicht ernsthaft haften und im Zweifel insolvent gehen. Dass ist eine starke Belastung für die Verfügbarkeit und kann bei Freie Software so nicht passieren. Viele Grüße, Bernhard [1] https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/FreieSoftware/freiesoftware_node.html -- FSFE -- Founding Member Support our work for Free Software: blogs.fsfe.org/bernhard https://fsfe.org/donate | contribute
signature.asc
Description: This is a digitally signed message part.
_______________________________________________ FSFE-de mailing list [email protected] https://lists.fsfe.org/mailman/listinfo/fsfe-de Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt. Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu behandeln: https://fsfe.org/about/codeofconduct
