IT Sicherheitskonzept gesucht

Hallo Mitstreiter,

ich bin auf der Suche nach einen IT Sicherheitskonzept welches durch die BNetzA als solches anerkannt ist.

Dies spricht natürlich in erster Linie Vereine an, die als Provider dort registriert sind.

Danke euch!

Wir haben zwar eines, wie die meisten anderen registrierten Provider, ich fürchte aber, dass copy&paste eher zur Ablehnung führen dürfte…
Letztlich ist das überhaupt kein Hexenwerk und erfordert weder Studium noch Ausbildung. einfach nur etwas geschwafel…

@anon68922371: Ich hab schon eins fertig gemacht, ist im Nord EV channel gepostet

Was ist dabei eigentlich herausgekommen?

Ich nehme an, dass dass auch der Grund ist, warum das nicht hier (oder bei Github) veröffentlicht wurde, damit kein Ablehnungs-Risko durch Cut&Paste (oder Google-Treffer/„Plagiats-Verdacht“ seitens von Behördenmitarbeitenden) entsteht.

Nö es wurde nicht veröffentlicht weil es keiner gemacht hat.

Das Konzept ist einige Zeit später in geänderter Form anerkannt worden und der Verein hat den Providerstatus behalten können.

Sicherheitskonzept: Wir haben da jemanden, der auf die Sicherheit achtet, damit niemand über Kabel stolpert. Wir weisen unsere Tüftler darauf hin, dass ein Passwort mindestens 3 Buchstaben haben sollte. Wir haben eine Firewall, an der man sich leicht die Finger verbrennen kann. Deshalb haben wir einen Warnhinweis auf die Server geklebt.

https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/ISP-Empfehlung/Internet-Service-Provider_node.html

Danke für die Rückmeldung.

Wobei ich das zugrundeliegende Ansinnen schon durchaus für sinnvoll erachte:

  • Dass auch Freifunk-Initiativen überlegen, welchen Stellenwert/Relevanz sie für versorgte Bereiche (Menschen!) haben. Die Erwartungshaltung und das Vertrauen das eine langfristige Verfügbarkeit eines kostenlosen Dienstes erzeugt.
  • dass Freifunkende sich Desaster-Recovery-Pläne bauen, um Szenarien „unterhalb der Zombiapokalypse“ nicht zu einem Totalausfall für Tage und Wochen werden zu lassen.

Genau das ist dieser in Teilen des CCC gefeierte Nonsens-Ansatz, Alles und Jedes erstmal lächerlich machen zu müssen.
Das mag einer Spaßguerilla gut zu Gesicht stehen. Uns hier aber nicht, wenn wir uns auf der anderen Seite ernsthaft um Anerkennung der Gemeinnützigkeit bemühen wollen!

Die Ansprüche an Sicherheit, die durchgewunken werden, sind nicht einmal so hoch, wie die Anforderungen des BSI.

Wer so etwas bei Behörden als Sicherheitskonzept einreicht, der oder die sollte sich nicht wundern, wenn Freifunk dort nicht mehr ernst genommen wird.

Ich hoffe, dass niemand diese Aussage ernst nimmt.

Am wichtigsten für dieses Sicherheitskonzept ist, dass man einen Sicherheitsbeauftragten hat. Einen Ansprechpartner, falls mal etwas passiert. DNSSEC usw. ist Luxus. Wenn du sagst, dass regelmäßig mit Sicherheitsscannern wie Nessus geschaut wird, dass man automatisch Updates macht, dass man übermäßiges Trafficaufkommen und Routingtabellen kontrolliert und dass es einen Datenschutzbeauftragten gibt, dann ist man da ganz vorne mit dabei.

Bitte tragt euren „hypothetischen Disput“ woanders aus, hier gibt es genug andere SUB Foren. Danke.

Mir geht es nicht um „Hypothetisches“, sondern darum, was andere hier als Sicherheitskonzept nutzen und vor allem was es dann seitens Behörden (Datenschutzbeauftragten, BSI) für Rückmeldungen oder gar dringenden Nachbesserungebedarf (im Sinne von „übersehe Falle“) gegeben hat.

Wenn hier Sicherheitskonzepte vorgeschlagen werden,die in die Richtung von „Cyber Klebeband am Boden und ‚Vorsicht heiss‘-Stickern auf dem Firewall-Blech“ gehen, dann ist das meines Erachtens durchaus auch eine politische Positionierung, die sich begründen lässt.

Also etwa in der Richtung ‚Wir wissen selbst viel besser was notwendig ist und werden das Euch nicht auf die Nase binden. Von Euch lassen wir uns schonmal gar nichts sagen.‘
Die Linie kann man durchaus fahren und auch da wäre ich interessiert, wie denn da so die Reaktion vom BSI/xyz-Beauftragten und RegTP sind.

Davon steht aber nichts in unserem auf GitHub verlinkten Konzept.

Ihr zickt euch hier schon wieder an und zieht euch an irgendwelchen an den Haaren herbeigezogenen Argumentationen auf.

Sorry wenn ich das so direkt sage aber das geht mir einfach nur noch auf die Eier.

Macht es im restlichen Forum aber lasst es im Subforum für Nord bleiben.

Es ist müßig das zu lesen und absolut nicht zielführend für den Thread.

2 Likes

Hast Du den Link eventuell nochmal?

Ist wohl grad nicht mehr im Git.

Ich stell es die Tage rein. Wenn ich’s bis zum WE nicht gemacht habe Ping mich nochmal an, grad etwas busy.

#Edit
@adorfer

Ist jetzt im Git:

2 Likes

Moin.
Mit aktueller Resonanz aus der Presse steht „Bürgernetz“ vor der Frage „Zutrittskontrolle“ ,
die auf „zertifizierte Dienstleister“ abgewälzt, nur einen Teilaspekt anspricht und abdeckt.
Thema „Site Access“ zum Anlass vom Spiel ausgeschlossen zu sein, dürfte niemanden gefallen.

Was bitte?!

Das hab ich auch nicht verstanden, auch nach dreimal lesen.
Worauf beziehst Du Dich, @qatuno? Und was willst Du sagen?

LG J.

Danke, das hilft deutlich weiter.
Falls ihr „von Behörde“ Feedback bekommt (wie auch immer das aussehen mag, z.B. „wir hätten jetzt noch gern x/y vom RZ-Betreiber“ oder auch „die geschilderten Maßnahmen hätten wir jetzt aber auch noch gern protokolliert pro Durchführung / pro Vorfall gemäß ISO z“, dann wäre das ebenfalls interessant.)

Die haben wir ja bekommen.

Das Konzept was online ist ist in Gänze anerkannt und die BNetzA hatte keine weiteren Anmerkungen/Bedenken/Auflagen.

2 Likes