Abo
  • Services:
Anzeige
De-Mail bietet nur mangelhafte Verschlüsselung.
De-Mail bietet nur mangelhafte Verschlüsselung. (Bild: BSI)

IMHO: Keine Krypto vom Staat

Das BSI verbreitet über Jahre eine komplett unsichere Software zur Verschlüsselung. Es ist aber nicht die einzige Panne bei staatlichen Verschlüsselungsprodukten.

Anzeige

Was Jan Schejbal über das BSI berichtet, hinterlässt eine Mischung aus Schmunzeln und Entsetzen über so viel Inkompetenz. Die Behörde, die in Deutschland für IT-Sicherheit zuständig ist, verletzt so ziemlich jede gute Praxis bei der Behandlung von Sicherheitslücken.

Statt mit Sicherheitsforschern zusammenzuarbeiten und diese für ihre wertvollen Hinweise entsprechend zu entlohnen, droht das BSI mit juristischen Konsequenzen. Um eine gravierende Sicherheitslücke in einem Tool, das Unternehmen eigentlich bei der IT-Sicherheit unterstützen soll, zu beheben, benötigt das BSI fast zwei Jahre. Und statt auf bewährte und standardisierte Verfahren zu setzen, verwendet man einen Geheimalgorithmus, von dem niemand weiß, wie sicher er ist.

Ein Hinweis auf Kollaboration mit der NSA ist das alles sicher nicht. Es ist schlicht Inkompetenz. Aber es ist auch eine deutliche Warnung: Wenn es um IT-Sicherheit und insbesondere um Verschlüsselung geht, sollte man staatlichen Behörden nicht vertrauen.

Jan Schejbal hatte das BSI schon einmal bloßgestellt: Die Ausweis-App musste wenige Tage nach ihrem Erscheinen wieder zurückgezogen werden. Die Absicherung der Updatefunktion des Programms war komplett unbrauchbar.

Beim Projekt De-Mail sieht es wenig besser aus: Die angeblich "sicheren" E-Mails werden auf den Mailservern der Unternehmen entschlüsselt. Genau dort, wo Überwachungsbehörden den leichtesten Zugriff haben. Fachleute fordern eine Ende-zu-Ende-Verschlüsselung, der Chaos Computer Club bezeichnete die Sicherheit von De-Mail völlig zurecht als "schlechten Scherz". Doch alle Kritik prallte bisher an der Bundesregierung ab. Sie will an der unsicheren De-Mail festhalten.

Der Staat hat bei der IT-Sicherheit einen Interessenskonflikt. Einerseits haben Behörden wie das BSI die Aufgabe, Bevölkerung und Unternehmen bei der sicheren Nutzung von IT-Technologie zu unterstützen. Andererseits wollen Geheimdienste die Kommunikation mitlesen und - Stichwort Onlinedurchsuchung - Trojaner auf den Rechnern von Verdächtigen installieren. Der Staat hat also ein Interesse daran, dass Sicherheitslücken geheim bleiben, wenn diese für Staatstrojaner zum Einsatz kommen.

Die Alternative dazu ist offenkundig: Sicherheitstechnologien müssen transparent und offen entwickelt werden, Software muss im Quelltext verfügbar sein. Dass es geht, beweist eine andere Software: GnuPG. Die Entwicklung des freien Verschlüsselungsprogramms wurde mit Geldern des Innenministeriums und des Wirtschaftsministeriums unterstützt. Auch wenn natürlich hier ebenfalls Interessenskonflikte der entsprechenden Ministerien vorliegen: GnuPG liegt im Quellcode vor und nutzt bewährte und standardisierte Technologien.

Klar, auch GnuPG hatte schon kritische Sicherheitsprobleme und setzt manchmal leider nicht auf die besten verfügbaren Verschlüsselungstechnologien. Aber dank der Offenheit und des verfügbaren Quellcodes kann jeder dazu beitragen, die Sicherheit von GnuPG zu verbessern.

Das BSI täte gut daran, aus dem Vorfall zu lernen. Es sollte schnellstmöglich den Geheimalgorithmus Chiasmus öffentlich dokumentieren und den Quelltext von GSTOOL veröffentlichen. Dasselbe gilt für andere sicherheitskritische Applikationen von staatlichen Behörden wie die Steuersoftware Elster Formular. Eine Entschuldigung bei Jan Schejbal und anderen Sicherheitsforschern wäre ebenfalls angebracht.

Die Konsequenz aus dem NSA-Skandal kann nicht sein, auf Software von deutschen Behörden zu vertrauen. Auch die Idee von Sicherheitssoftware "Made in Germany" ist nicht geeignet, Vertrauen wiederherzustellen. Die Lösung heißt: Offenheit, Transparenz und freie Software.


eye home zur Startseite
Julius Csar 17. Sep 2013

Auch OpenSource ist insbesondere durch Code-Injection gefährdet, da nicht immer alles...

hannob (golem.de) 12. Sep 2013

Laut Wikipedia wurde sowohl die Dokumentation für GnuPG selber als auch der Port GPG4win...

phade 12. Sep 2013

1) korrekt, abe jeder vernuenftige Provider unterstuetzt SPOP/SIMAP und SSMTP 2) korrekt...

meine_meinung 12. Sep 2013

in diesem Fall dürfte es für das BSI relativ leicht fallen, da sie meines Wissens nach...

Charles Marlow 11. Sep 2013

Ich seh das immer so, beim Korruptions-Index sind wir auch "Weltspitze". ;)



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Wolfsburg
  2. Universität Passau, Passau
  3. über JobLeads GmbH, Berlin
  4. Fraunhofer-Institut für Materialfluss und Logistik, Dortmund


Anzeige
Blu-ray-Angebote
  1. (u. a. Django, Elysium, The Equalizer, White House Down, Ghostbusters 2)
  2. (u. a. Die Goonies, John Mick, Auf der Flucht, Last Man Standing)
  3. 18,00€ (ohne Prime bzw. unter 29€-Einkaufswert zzgl. 3€ Versand)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Gulp-Umfrage

    Welche Kenntnisse IT-Freiberufler brauchen

  2. HPE

    650 Millionen Dollar für den Einstieg in die Hyperkonvergenz

  3. Begnadigung

    Danke, Chelsea Manning!

  4. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  5. Simplygon

    Microsoft reduziert 3D-Details

  6. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  7. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  8. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  9. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  10. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Switch Eltern bekommen totale Kontrolle per App
  2. Nintendo Switch erscheint am 3. März
  3. Nintendo Switch Drei Stunden Mobilnutzung und 32 GByte interner Speicher

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

  1. Re: Statt FaktenFaktenFakten nur LügenLügenLügen?

    DY | 07:23

  2. Re: Keine #3

    sk3wy | 07:18

  3. Re: Mmmmh, 30 FPS

    NaruHina | 07:09

  4. Re: Quasi die Cloud zurück ins LAN holen

    Theholger | 07:09

  5. Re: das muss man allerdings vervollständigen

    sk3wy | 07:06


  1. 19:06

  2. 17:37

  3. 17:23

  4. 17:07

  5. 16:53

  6. 16:39

  7. 16:27

  8. 16:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel