Abo
  • IT-Karriere:

IMHO: Keine Krypto vom Staat

Das BSI verbreitet über Jahre eine komplett unsichere Software zur Verschlüsselung. Es ist aber nicht die einzige Panne bei staatlichen Verschlüsselungsprodukten.

Artikel veröffentlicht am , Hanno Böck
De-Mail bietet nur mangelhafte Verschlüsselung.
De-Mail bietet nur mangelhafte Verschlüsselung. (Bild: BSI)

Was Jan Schejbal über das BSI berichtet, hinterlässt eine Mischung aus Schmunzeln und Entsetzen über so viel Inkompetenz. Die Behörde, die in Deutschland für IT-Sicherheit zuständig ist, verletzt so ziemlich jede gute Praxis bei der Behandlung von Sicherheitslücken.

Stellenmarkt
  1. alpha Tonträger Vertriebs GmbH, Erding
  2. Hessisches Ministerium für Soziales und Integration, Wiesbaden

Statt mit Sicherheitsforschern zusammenzuarbeiten und diese für ihre wertvollen Hinweise entsprechend zu entlohnen, droht das BSI mit juristischen Konsequenzen. Um eine gravierende Sicherheitslücke in einem Tool, das Unternehmen eigentlich bei der IT-Sicherheit unterstützen soll, zu beheben, benötigt das BSI fast zwei Jahre. Und statt auf bewährte und standardisierte Verfahren zu setzen, verwendet man einen Geheimalgorithmus, von dem niemand weiß, wie sicher er ist.

Ein Hinweis auf Kollaboration mit der NSA ist das alles sicher nicht. Es ist schlicht Inkompetenz. Aber es ist auch eine deutliche Warnung: Wenn es um IT-Sicherheit und insbesondere um Verschlüsselung geht, sollte man staatlichen Behörden nicht vertrauen.

Jan Schejbal hatte das BSI schon einmal bloßgestellt: Die Ausweis-App musste wenige Tage nach ihrem Erscheinen wieder zurückgezogen werden. Die Absicherung der Updatefunktion des Programms war komplett unbrauchbar.

Beim Projekt De-Mail sieht es wenig besser aus: Die angeblich "sicheren" E-Mails werden auf den Mailservern der Unternehmen entschlüsselt. Genau dort, wo Überwachungsbehörden den leichtesten Zugriff haben. Fachleute fordern eine Ende-zu-Ende-Verschlüsselung, der Chaos Computer Club bezeichnete die Sicherheit von De-Mail völlig zurecht als "schlechten Scherz". Doch alle Kritik prallte bisher an der Bundesregierung ab. Sie will an der unsicheren De-Mail festhalten.

Der Staat hat bei der IT-Sicherheit einen Interessenskonflikt. Einerseits haben Behörden wie das BSI die Aufgabe, Bevölkerung und Unternehmen bei der sicheren Nutzung von IT-Technologie zu unterstützen. Andererseits wollen Geheimdienste die Kommunikation mitlesen und - Stichwort Onlinedurchsuchung - Trojaner auf den Rechnern von Verdächtigen installieren. Der Staat hat also ein Interesse daran, dass Sicherheitslücken geheim bleiben, wenn diese für Staatstrojaner zum Einsatz kommen.

Die Alternative dazu ist offenkundig: Sicherheitstechnologien müssen transparent und offen entwickelt werden, Software muss im Quelltext verfügbar sein. Dass es geht, beweist eine andere Software: GnuPG. Die Entwicklung des freien Verschlüsselungsprogramms wurde mit Geldern des Innenministeriums und des Wirtschaftsministeriums unterstützt. Auch wenn natürlich hier ebenfalls Interessenskonflikte der entsprechenden Ministerien vorliegen: GnuPG liegt im Quellcode vor und nutzt bewährte und standardisierte Technologien.

Klar, auch GnuPG hatte schon kritische Sicherheitsprobleme und setzt manchmal leider nicht auf die besten verfügbaren Verschlüsselungstechnologien. Aber dank der Offenheit und des verfügbaren Quellcodes kann jeder dazu beitragen, die Sicherheit von GnuPG zu verbessern.

Das BSI täte gut daran, aus dem Vorfall zu lernen. Es sollte schnellstmöglich den Geheimalgorithmus Chiasmus öffentlich dokumentieren und den Quelltext von GSTOOL veröffentlichen. Dasselbe gilt für andere sicherheitskritische Applikationen von staatlichen Behörden wie die Steuersoftware Elster Formular. Eine Entschuldigung bei Jan Schejbal und anderen Sicherheitsforschern wäre ebenfalls angebracht.

Die Konsequenz aus dem NSA-Skandal kann nicht sein, auf Software von deutschen Behörden zu vertrauen. Auch die Idee von Sicherheitssoftware "Made in Germany" ist nicht geeignet, Vertrauen wiederherzustellen. Die Lösung heißt: Offenheit, Transparenz und freie Software.



Anzeige
Hardware-Angebote
  1. 529,00€ (zzgl. Versand)
  2. 135,00€ (Bestpreis!)

Julius Csar 17. Sep 2013

Auch OpenSource ist insbesondere durch Code-Injection gefährdet, da nicht immer alles...

hannob (golem.de) 12. Sep 2013

Laut Wikipedia wurde sowohl die Dokumentation für GnuPG selber als auch der Port GPG4win...

phade 12. Sep 2013

1) korrekt, abe jeder vernuenftige Provider unterstuetzt SPOP/SIMAP und SSMTP 2) korrekt...

meine_meinung 12. Sep 2013

in diesem Fall dürfte es für das BSI relativ leicht fallen, da sie meines Wissens nach...

Charles Marlow 11. Sep 2013

Ich seh das immer so, beim Korruptions-Index sind wir auch "Weltspitze". ;)


Folgen Sie uns
       


Boses Noise Cancelling Headphones 700 im Vergleich

Wir haben die ANC-Leistung von drei ANC-Kopfhörern miteinander verglichen. Wir ließen Boses neue Noise Cancelling Headphones 700 gegen Boses Quiet Comfort 35 II und Sonys WH-1000XM3 antreten.

Boses Noise Cancelling Headphones 700 im Vergleich Video aufrufen
Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Elektroauto Porsches Elektroauto Taycan im 24-Stunden-Dauertest
  2. Be emobil Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
  3. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen

IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  2. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  3. IT-Fachkräftemangel Arbeit ohne Ende

Zephyrus G GA502 im Test: Das Gaming-Notebook, das auch zum Arbeiten taugt
Zephyrus G GA502 im Test
Das Gaming-Notebook, das auch zum Arbeiten taugt

Mit AMDs Ryzen 7 und Nvidia-GPU ist das Zephyrus G GA502 ein klares Gaming-Gerät. Überraschenderweise eignet es sich aber auch als mobiles Office-Notebook. Das liegt an der beeindruckenden Akkulaufzeit.
Ein Test von Oliver Nickel

  1. Vivobook (X403) Asus packt 72-Wh-Akku in günstigen 14-Zöller
  2. ROG Swift PG35VQ Asus' 35-Zoll-Display nutzt 200 Hz, HDR und G-Sync
  3. ROG Gaming Phone II Asus plant neue Version seines Gaming-Smartphones

    •  /