Hallo allerseits,
dies ist mein erster Beitrag hier in der Liste. Bitte seht es mir nach, wenn ich hier nicht alle Etikette einhalte. Und vielleicht ist das Thema auch schon mächtig abgegriffen!?
Da ich aber selbst seit April viel mit Informationssicherheit zu tun habe, möchte ich es trotzdem auf diesem Wege versuchen.
Wir setzen im öffentlichen Bereich derzeit ausschließlich Enterprice Linux ein. Nun gibt es zwei Ereignisse, welche uns (ein IT Dienstleister im öffentlichen Sektor) dazu zwingen, andere Wege zu suchen. Zum einen die Lizenzpolitik im Java-Umfeld und zum anderen die gezwungene Verwendung von alternativen Software Repos ala EPEL.
Nun hier meine Frage(n). Wie erfüllte ich BSI Vorgaben - daran sind wir gebunden - bei der Verwendung von FOSS ohne Supportvertrag? Ist das überhaupt möglich? Ist das ausschließlich ein rechtliches Problem? Kann man durch eigenes KnowHow ein Sicherheitskonzept so gestalten, dass es zerfizierungsreif wäre?
Ähm, ich erwarte natürlich hier keine Beantwortung der Fragen, sondern eher Tipps für Ansatzpunkte zum eigenen rechergieren ;)
Ich hoffe, bei meinen formulierten Fragen ist meine Situation etwas verdeutlicht worden. Ich weiß natürlich, dass im BSI Kompendium empfohlen wird, nur vertrauenswürdige Repos zu benutzen. Aber wie definiert man vertrauenswürdig rechtssicher?
in freudiger Erwartung auf eine rege Diskussion Dirk (Linux/FOSS seit 1996, BfIS seit 2019)