• IT-Karriere:
  • Services:

IMHO: Keine Krypto vom Staat

Das BSI verbreitet über Jahre eine komplett unsichere Software zur Verschlüsselung. Es ist aber nicht die einzige Panne bei staatlichen Verschlüsselungsprodukten.

Artikel veröffentlicht am , Hanno Böck
De-Mail bietet nur mangelhafte Verschlüsselung.
De-Mail bietet nur mangelhafte Verschlüsselung. (Bild: BSI)

Was Jan Schejbal über das BSI berichtet, hinterlässt eine Mischung aus Schmunzeln und Entsetzen über so viel Inkompetenz. Die Behörde, die in Deutschland für IT-Sicherheit zuständig ist, verletzt so ziemlich jede gute Praxis bei der Behandlung von Sicherheitslücken.

Stellenmarkt
  1. TenneT TSO GmbH, Lehrte
  2. EBB Truck-Center GmbH, Baden-Baden

Statt mit Sicherheitsforschern zusammenzuarbeiten und diese für ihre wertvollen Hinweise entsprechend zu entlohnen, droht das BSI mit juristischen Konsequenzen. Um eine gravierende Sicherheitslücke in einem Tool, das Unternehmen eigentlich bei der IT-Sicherheit unterstützen soll, zu beheben, benötigt das BSI fast zwei Jahre. Und statt auf bewährte und standardisierte Verfahren zu setzen, verwendet man einen Geheimalgorithmus, von dem niemand weiß, wie sicher er ist.

Ein Hinweis auf Kollaboration mit der NSA ist das alles sicher nicht. Es ist schlicht Inkompetenz. Aber es ist auch eine deutliche Warnung: Wenn es um IT-Sicherheit und insbesondere um Verschlüsselung geht, sollte man staatlichen Behörden nicht vertrauen.

Jan Schejbal hatte das BSI schon einmal bloßgestellt: Die Ausweis-App musste wenige Tage nach ihrem Erscheinen wieder zurückgezogen werden. Die Absicherung der Updatefunktion des Programms war komplett unbrauchbar.

Beim Projekt De-Mail sieht es wenig besser aus: Die angeblich "sicheren" E-Mails werden auf den Mailservern der Unternehmen entschlüsselt. Genau dort, wo Überwachungsbehörden den leichtesten Zugriff haben. Fachleute fordern eine Ende-zu-Ende-Verschlüsselung, der Chaos Computer Club bezeichnete die Sicherheit von De-Mail völlig zurecht als "schlechten Scherz". Doch alle Kritik prallte bisher an der Bundesregierung ab. Sie will an der unsicheren De-Mail festhalten.

Der Staat hat bei der IT-Sicherheit einen Interessenskonflikt. Einerseits haben Behörden wie das BSI die Aufgabe, Bevölkerung und Unternehmen bei der sicheren Nutzung von IT-Technologie zu unterstützen. Andererseits wollen Geheimdienste die Kommunikation mitlesen und - Stichwort Onlinedurchsuchung - Trojaner auf den Rechnern von Verdächtigen installieren. Der Staat hat also ein Interesse daran, dass Sicherheitslücken geheim bleiben, wenn diese für Staatstrojaner zum Einsatz kommen.

Die Alternative dazu ist offenkundig: Sicherheitstechnologien müssen transparent und offen entwickelt werden, Software muss im Quelltext verfügbar sein. Dass es geht, beweist eine andere Software: GnuPG. Die Entwicklung des freien Verschlüsselungsprogramms wurde mit Geldern des Innenministeriums und des Wirtschaftsministeriums unterstützt. Auch wenn natürlich hier ebenfalls Interessenskonflikte der entsprechenden Ministerien vorliegen: GnuPG liegt im Quellcode vor und nutzt bewährte und standardisierte Technologien.

Klar, auch GnuPG hatte schon kritische Sicherheitsprobleme und setzt manchmal leider nicht auf die besten verfügbaren Verschlüsselungstechnologien. Aber dank der Offenheit und des verfügbaren Quellcodes kann jeder dazu beitragen, die Sicherheit von GnuPG zu verbessern.

Das BSI täte gut daran, aus dem Vorfall zu lernen. Es sollte schnellstmöglich den Geheimalgorithmus Chiasmus öffentlich dokumentieren und den Quelltext von GSTOOL veröffentlichen. Dasselbe gilt für andere sicherheitskritische Applikationen von staatlichen Behörden wie die Steuersoftware Elster Formular. Eine Entschuldigung bei Jan Schejbal und anderen Sicherheitsforschern wäre ebenfalls angebracht.

Die Konsequenz aus dem NSA-Skandal kann nicht sein, auf Software von deutschen Behörden zu vertrauen. Auch die Idee von Sicherheitssoftware "Made in Germany" ist nicht geeignet, Vertrauen wiederherzustellen. Die Lösung heißt: Offenheit, Transparenz und freie Software.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Gainward GeForce RTX 3060 Ti Phoenix GS für 619€)
  2. 111,11€
  3. 1.499€
  4. (u. a. Gainward GeForce RTX 3060Ti Phoenix 8GB GDDR6 für 579€)

Julius Csar 17. Sep 2013

Auch OpenSource ist insbesondere durch Code-Injection gefährdet, da nicht immer alles...

hab (Golem.de) 12. Sep 2013

Laut Wikipedia wurde sowohl die Dokumentation für GnuPG selber als auch der Port GPG4win...

phade 12. Sep 2013

1) korrekt, abe jeder vernuenftige Provider unterstuetzt SPOP/SIMAP und SSMTP 2) korrekt...

meine_meinung 12. Sep 2013

in diesem Fall dürfte es für das BSI relativ leicht fallen, da sie meines Wissens nach...

Charles Marlow 11. Sep 2013

Ich seh das immer so, beim Korruptions-Index sind wir auch "Weltspitze". ;)


Folgen Sie uns
       


Sony Playstation 5 - Fazit

Im Video zum Test der Playstation 5 zeigt Golem.de die Hardware und das Dashboard der Konsole von Sony.

Sony Playstation 5 - Fazit Video aufrufen
Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

Smarte Lautsprecher im Vergleichstest: Amazon hat den Besten
Smarte Lautsprecher im Vergleichstest
Amazon hat den Besten

Echo 4, Nest Audio, Echo Dot 4 oder Homepod Mini? Bei smarten Lautsprechern für maximal 100 Euro ist die Größe entscheidend.
Ein Test von Ingo Pakalski

  1. Smarter Lautsprecher Google zeigt Nest Audio für 100 Euro
  2. Harman Kardon Portabler Lautsprecher mit Google Assistant und Airplay 2
  3. Smarter Lautsprecher Google bestätigt offiziell neuen Nest-Lautsprecher

No One Lives Forever: Ein Retrogamer stirbt nie
No One Lives Forever
Ein Retrogamer stirbt nie

Kompatibilitätsprobleme und schlimme Sprachausgabe - egal. Golem.de hat den 20 Jahre alten Shooter-Klassiker No One Lives Forever trotzdem neu gespielt.
Von Benedikt Plass-Fleßenkämper

  1. Heimcomputer Retro Games plant Amiga-500-Nachbau
  2. Klassische Spielkonzepte Retro, brandneu
  3. Gaming-Handheld Analogue Pocket erscheint erst 2021

    •  /