Open-Source-Software BSI-Grundschutzfähig machen [23. Kielux 2025]

Ein Vortrag von Stefan Schumacher Open Source Software ist fundamental, um die digitale Souveränität unserer Demokratie zu sichern. Aber auch aus Sicherheitssicht ist FLOSS kommerzieller Closed-Source meist weit überlegen. Doch die Sicherheitsfreigabe von Software erfolgt im Öffentlichen Dienst in der Regel über eine BSI-Grundschutz-Zertifizierung. Und diese ist für FLOSS mit einigen Herausforderungen verbunden, denn (noch) bevorzugen die Anforderungen des Grundschutzkompendiums kommerzielle Lösungen. Da wir in unserem Projekt den öffentlichen Dienst mit FLOSS digitalisieren wollen, müssen wir auch diese BSI-Anforderungen (vor allem APP.3, APP.6 und OPS) erfüllen. Dazu haben wir einige eigene Methoden entwickelt, die ich in diesem Vortrag vorstellen möchte. Dazu gehört u.a. eine Richtlinie zur Bewertung von FLOSS-Quellen und -Projekten, um diese BSI-konform betreiben zu können. Auch einige Erfahrungen zur Containerisierung im Kubernetes-Betrieb werde ich vorstellen. In diesem Vortra