Security Challenge Schnelltest

Das Bundesministerium des Innern und für Heimat hat auf der Plattform Open CoDE den Source Code des Projekts „OZG-Security-Challenge 2023“ veröffentlicht. Dieses Projekt zielte darauf ab, die Umsetzung von IT-Sicherheitsmaßnahmen und Best Practices im Rahmen der Umsetzung des „Online-Zugangsgesetzes“ der öffentlichen Verwaltung zu steigern. Der Source Code wurde von dem Ministerium unter der European Public License (EUPL-1.2) veröffentlicht und steht, unter Einhaltung der Lizenzbedingungen, frei zur Verfügung.

• Mehr IT-Sicherheit. Erhöhen Sie die Sicherheit Ihrer digitalen Dienste mit bewährten Maßnahmen und Best Practices.
• Open-Source. Beteilligen Sie sich an der Weiterentwicklung.
• Austausch fördern. Teilen Sie Ihre Erfahrungen und Erkenntnisse mit anderen.

Wir haben dieses Projekt nachgenutzt und eine Kopie des Web-Frontends mit einem angepassten Design erstellt (Code auf GitHub, EUPL-1.2 ). Mit dem ebenfalls im Rahmen des Projekts erstellten Helm-Charts haben wir das System in einem Kubernetes-Cluster installiert. Wir stellen die Schnelltest-Funktion mit dieser Instanz der Öffentlichkeit zur freien Nutzung zur Verfügung.

Die folgenden Maßnahmen werden von dem System abgetestet:

• Responsible Disclosure
• Transport Layer Security (TLS) 1.3
• TLS 1.0 & 1.1 deaktivieren
• HTTP Strict Transport Security (HSTS)
• Domain Name System Security Extensions (DNSSEC)
• Resource Public Key Infrastructure (RPKI)

Das BMI hat zu jeder Maßnahme einen sogenannten One-Pager erstellt, welchen Sie bei den Prüfergebnissen abrufen können. Dieser erläutert jede Maßnahme auf einer Seite, aufgeteilt in eine „Management-Summary“, eine „Erläuterung für Onlinedienst-Verantwortliche“ und einen „Technischen Umsetzungsansatz“.