Hallo zusammen,
Ihr habt vermutlich in den letzten Tagen und Wochen von Sicherheitslücken in Citrix ("Shitrix") und der Zertifikateprüfung von Microsoft ("Curveball") gelesen. Beides vereint, dass es sich dabei um proprietäre Software handelt, die großflächig in sogenannter kritischen Infrastrukturen eingesetzt wird.
Die AG KRITIS, eine unabhängige Arbeitsgruppe mit namhaften Sicherheitsexperten an Bord, hat zum Fall Curveball eine Zusammenfassung sowie darauf aufbauende politische Forderungen veröffentlicht [^1]. Einige davon entsprechen, zumindest teilweise, denen der FSFE:
"Durch Open Source oder treuhänderische Verwaltung von Quellcode und ggf. zugehöriger Patente kann die Überprüfbarkeit als auch eine sichere und dauerhafte Weiternutzung der Software gewährleistet werden, sofern der Hersteller irgendwann einmal nicht mehr verfügbar ist (Stichwort Insolvenz)."
"Unsignierte Software, die nicht Open Source ist, und wo sich der Quellcode nicht in treuhändischer Verwaltung befindet, darf im KRITIS-Umfeld unserer Meinung nach nicht eingesetzt werden."
Was haltet Ihr von der Analyse und den Forderungen? Sind sie für den Anfang ausreichend, oder muss da noch mehr in den Maßnahmenkatalog?
Viele Grüße Max
[^1]: https://ag.kritis.info/2020/01/18/implikationen-fuer-kritis-durch-schwachste...