Ganz nach dem Motto "Public Money – Public Code" könnten Interessierte jetzt den Web-Schnelltest, der im Rahmen der OZG-Security-Challenge 2023 entstanden ist, als Open-Source-Software (OSS) beziehen. Der Quellcode der Anwendung wurde nun auf Open CoDE, der gemeinsamen Plattform der öffentlichen Verwaltung für den Austausch von Open-Source-Software, veröffentlicht.

Die Challenge

Von März bis Oktober 2023 hatten OZG-Dienstverantwortliche die Möglichkeit, an der verwaltungsinternen "OZG-Security-Challenge 2023" teilzunehmen. Ziel war es, die Bekanntheit und Anwendung der neusten IT-Sicherheitsmaßnahmen – insbesondere für die OZG-Umsetzung – spielerisch im Rahmen einer Challenge zu steigern. Herzstück der Challenge war ein Schnelltest welcher den Umsetzungsgrad von sechs ausgewählten IT-Sicherheitsmaßnahmen auf den eingegebenen URLs prüfte, Potenziale zur weiteren Stärkung der IT-Sicherheit aufzeigte und Hilfestellung bei deren Umsetzung gab. Zudem stand Teilnehmenden ein Benchmarking Dashboard zur Verfügung und One-Pager mit weiteren zielgruppen-spezifisch-aufbereiteten Information zu den Einzelmaßnahmen.

Der Schnelltest

Der so entstandene Schnelltest prüft folgende IT-Sicherheitsstandards und -maßnahmen:

• Responsible Disclosure,
• Transport Layer Security (TLS) 1.3,
• Deaktivierung TLS 1.1,
• HTTP Strict Transport Security (HSTS),
• Domain Name System Security Extensions (DNSSEC)
• Resource Public Key Infrastructure (RPKI).

Zudem stellt die Anwendung ein Benchmarking-Dashboard bereit, mit der Nutzende einen Überblick zum Umsetzungsstand über eine Vielzahl verwalteter Domains erhalten. Zu den einzelnen Maßnahmen stehen One-Pager mit adressatengerechten Informationen zur Umsetzung der Maßnahmen bereit.

Quelle: Neuland/BMI

Public Money – Public Code: Open CoDE

Ralf Käck, Referent für Standardisierung im BMI und zuständig für die OZG-Security-Challenge, betont: "IT-Sicherheit ist keine rein technische Notwendigkeit, sondern elementar wichtig zum Schutz der Bürgerinnen und Bürger sowie zur Vertrauensbildung in die öffentliche Verwaltung. Neueste Standards werden längst noch nicht überall angewendet. Mit der Challenge wollten wir spielerisch über das Thema aufklären und neueste Sicherheitsstandards in die Fläche bringen. Ersteres ist uns gelungen, am zweiten arbeiten wir stetig weiter. Ich freue mich sehr, dass der entstandene Schnelltest nun als OSS bereitsteht und nachgenutzt und weiterentwickelt werden kann. Wir selbst prüfen gerade, wie der Test ggf. auf weitere Qualitätsstandards wie Barrierefreiheit ausgeweitet werden kann."

Der Schnelltest war während der Challenge in einem geschützten Bereich exklusiv für die OZG-Umsetzungsverantwortlichen in Bund, Ländern und Kommunen zugänglich. Nun kann der Quellcode der Anwendung via Open CoDE bezogen werden. Hier geht es zur Anwendung: OSS auf OpenCoDE