BSI: Deutsche Behörden bekommen GPG zur Verschlüsselung

Der GnuPG-Projektgründer und langjährige Hauptentwickler Werner Koch schreibt in einem eher seltenen Statusupdate zu dem Verschlüsselungsprojekt, dass die freie Software inzwischen auf geschätzt 250.000 Behörden-Desktops zum Einsatz komme. Koch schreibt dazu weiter: "Unser längerfristiger Plan ist es, alle Arbeitsplätze in Behörden mit einer End-to-End-Verschlüsselungssoftware auszustatten". Der Hintergrund dieser Erfolgsnachricht aus Sicht des Projekts ist leicht nachvollziehbar: Für die Behörden gibt es kaum Alternativen.

So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Vertrieb der von der Behörde selbst entwickelten Software Chiasmus bereits mit Ende des Jahres 2021 eingestellt. Ursprünglich geplant war zu diesem Datum auch, dass Chiasmus die Zulassung zur Nutzung für die Geheimhaltungsstufe VS-NfD verliert. Dies ist nun aber vorerst auf den 30.06.2022 verschoben worden. Als Alternative für Chiasmus zugelassen sind derzeit nur das proprietäre Greenshield von Cryptovision, die zu Atos gehören, und eben GnuPG. Nach einer ersten Ankündigung dieser Zulassung von GnuPG waren die dazugehörigen Dokumente bald danach aber wieder von den Seiten des BSI verschwunden.

Das Team von GnuPG arbeitet seit Jahren gemeinsam mit Partnern mit dem BSI zusammen. Daraus ist etwa das Projekt GPG4Win entstanden, worauf Koch nun erneut hinweist. Mit der Zulassung von GnuPG für die Verschlüsselung von Dokumenten unter VS-NfD entstand dann auch ein erster echter kommerzieller Zweig der Entwicklung mit dem Markennamen GnuPG VS-Desktop, wie Koch schreibt. Zahlende Kunden für die freie Software erhalten damit einen Support-Vertrag, garantierte Sicherheitsupdates und weiteres. Zu den Kunden zählen inzwischen nicht nur Behörden, sondern eben auch ein daran angeschlossener privater Sektor, der mit diesen kommuniziert. Koch stellt dabei auch die Vorzüge von GnuPG heraus, wie eine Integration in Active Directory oder die Unterstützung des Smartcard-Administrationssystems von Rohde & Schwarz.

Bisher finanzierte sich GnuPG-Entwicklung hauptsächlich über Spenden und kleinere Projekte, was das Projekt und Koch selbst vor einigen Jahren in eine schwierige Situation brachte. Durch die vielen Kunden und einen offenbar sehr erfolgreichen Verkaufsprozess im Jahr 2021 sei das Projekt inzwischen aber überhaupt nicht mehr auf Spenden angewiesen. Koch schreibt zu den neuen kontinuierlichen Einnahmen: "Dies ist für uns eine ziemlich neue Erfahrung und ich bin tatsächlich ein bisschen stolz darauf, eines der wenigen selbsttragenden Freie-Software-Projekte zu leiten, die die Ziele der Bewegung nicht opfern mussten."