Abo
  • Services:
Anzeige
De-Mail bietet nur mangelhafte Verschlüsselung.
De-Mail bietet nur mangelhafte Verschlüsselung. (Bild: BSI)

IMHO: Keine Krypto vom Staat

Das BSI verbreitet über Jahre eine komplett unsichere Software zur Verschlüsselung. Es ist aber nicht die einzige Panne bei staatlichen Verschlüsselungsprodukten.

Anzeige

Was Jan Schejbal über das BSI berichtet, hinterlässt eine Mischung aus Schmunzeln und Entsetzen über so viel Inkompetenz. Die Behörde, die in Deutschland für IT-Sicherheit zuständig ist, verletzt so ziemlich jede gute Praxis bei der Behandlung von Sicherheitslücken.

Statt mit Sicherheitsforschern zusammenzuarbeiten und diese für ihre wertvollen Hinweise entsprechend zu entlohnen, droht das BSI mit juristischen Konsequenzen. Um eine gravierende Sicherheitslücke in einem Tool, das Unternehmen eigentlich bei der IT-Sicherheit unterstützen soll, zu beheben, benötigt das BSI fast zwei Jahre. Und statt auf bewährte und standardisierte Verfahren zu setzen, verwendet man einen Geheimalgorithmus, von dem niemand weiß, wie sicher er ist.

Ein Hinweis auf Kollaboration mit der NSA ist das alles sicher nicht. Es ist schlicht Inkompetenz. Aber es ist auch eine deutliche Warnung: Wenn es um IT-Sicherheit und insbesondere um Verschlüsselung geht, sollte man staatlichen Behörden nicht vertrauen.

Jan Schejbal hatte das BSI schon einmal bloßgestellt: Die Ausweis-App musste wenige Tage nach ihrem Erscheinen wieder zurückgezogen werden. Die Absicherung der Updatefunktion des Programms war komplett unbrauchbar.

Beim Projekt De-Mail sieht es wenig besser aus: Die angeblich "sicheren" E-Mails werden auf den Mailservern der Unternehmen entschlüsselt. Genau dort, wo Überwachungsbehörden den leichtesten Zugriff haben. Fachleute fordern eine Ende-zu-Ende-Verschlüsselung, der Chaos Computer Club bezeichnete die Sicherheit von De-Mail völlig zurecht als "schlechten Scherz". Doch alle Kritik prallte bisher an der Bundesregierung ab. Sie will an der unsicheren De-Mail festhalten.

Der Staat hat bei der IT-Sicherheit einen Interessenskonflikt. Einerseits haben Behörden wie das BSI die Aufgabe, Bevölkerung und Unternehmen bei der sicheren Nutzung von IT-Technologie zu unterstützen. Andererseits wollen Geheimdienste die Kommunikation mitlesen und - Stichwort Onlinedurchsuchung - Trojaner auf den Rechnern von Verdächtigen installieren. Der Staat hat also ein Interesse daran, dass Sicherheitslücken geheim bleiben, wenn diese für Staatstrojaner zum Einsatz kommen.

Die Alternative dazu ist offenkundig: Sicherheitstechnologien müssen transparent und offen entwickelt werden, Software muss im Quelltext verfügbar sein. Dass es geht, beweist eine andere Software: GnuPG. Die Entwicklung des freien Verschlüsselungsprogramms wurde mit Geldern des Innenministeriums und des Wirtschaftsministeriums unterstützt. Auch wenn natürlich hier ebenfalls Interessenskonflikte der entsprechenden Ministerien vorliegen: GnuPG liegt im Quellcode vor und nutzt bewährte und standardisierte Technologien.

Klar, auch GnuPG hatte schon kritische Sicherheitsprobleme und setzt manchmal leider nicht auf die besten verfügbaren Verschlüsselungstechnologien. Aber dank der Offenheit und des verfügbaren Quellcodes kann jeder dazu beitragen, die Sicherheit von GnuPG zu verbessern.

Das BSI täte gut daran, aus dem Vorfall zu lernen. Es sollte schnellstmöglich den Geheimalgorithmus Chiasmus öffentlich dokumentieren und den Quelltext von GSTOOL veröffentlichen. Dasselbe gilt für andere sicherheitskritische Applikationen von staatlichen Behörden wie die Steuersoftware Elster Formular. Eine Entschuldigung bei Jan Schejbal und anderen Sicherheitsforschern wäre ebenfalls angebracht.

Die Konsequenz aus dem NSA-Skandal kann nicht sein, auf Software von deutschen Behörden zu vertrauen. Auch die Idee von Sicherheitssoftware "Made in Germany" ist nicht geeignet, Vertrauen wiederherzustellen. Die Lösung heißt: Offenheit, Transparenz und freie Software.


eye home zur Startseite
Julius Csar 17. Sep 2013

Auch OpenSource ist insbesondere durch Code-Injection gefährdet, da nicht immer alles...

hannob (golem.de) 12. Sep 2013

Laut Wikipedia wurde sowohl die Dokumentation für GnuPG selber als auch der Port GPG4win...

phade 12. Sep 2013

1) korrekt, abe jeder vernuenftige Provider unterstuetzt SPOP/SIMAP und SSMTP 2) korrekt...

meine_meinung 12. Sep 2013

in diesem Fall dürfte es für das BSI relativ leicht fallen, da sie meines Wissens nach...

Charles Marlow 11. Sep 2013

Ich seh das immer so, beim Korruptions-Index sind wir auch "Weltspitze". ;)



Anzeige

Stellenmarkt
  1. TD Deutsche Klimakompressor GmbH, Bernsdorf
  2. EOS GmbH Electro Optical Systems, Krailling bei München
  3. MBtech Group GmbH & Co. KGaA, Sindelfingen, Stuttgart, Neu-Ulm, Ulm
  4. Robert Bosch GmbH, Leonberg


Anzeige
Top-Angebote
  1. 274,90€ + 3,99€ Versand (Vergleichspreis Karte 294€ und Pad 40€)
  2. 286,99€ (Bestpreis!)
  3. 219,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Suchmaschine

    Google macht angepasste Site Search dicht

  2. Hawkspex mobile

    Diese App macht das Smartphone zum Spektrometer

  3. Asus Tinker Board im Test

    Buntes Lotterielos rechnet schnell

  4. Netflix

    Ein Stethoskop für mehr Freiheit und Sicherheit

  5. Windows 10 Mobile

    Continuum kommt ins Polizeiauto

  6. DSM 6.1

    Synology bringt Btrfs auf mehr alte NAS-Systeme

  7. Mobilfunk

    Telefónica verspricht Verbesserungen bei der Netzperformance

  8. Neue Version für Smartphones

    Remix OS wird zum Continuum-Konkurrenten

  9. Ford

    Automatisiertes Fahren ist einschläfernd

  10. Sony SF-G

    SD-Karte liest und schreibt mit fast 300 MByte/s



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Schiffbruch auf der Milchstraße für mobile Spieler
Mobile-Games-Auslese
Schiffbruch auf der Milchstraße für mobile Spieler

München: Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
München
Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Kernfusion: Angewandte Science-Fiction
Kernfusion
Angewandte Science-Fiction
  1. Kernfusion Wendelstein 7-X funktioniert nach Plan

  1. Re: Tipp: Öffentlicher Dienst

    tunnelblick | 13:54

  2. Re: "Erfolg ist die Summe richtiger Entscheidungen"

    My1 | 13:54

  3. Re: Frage: Für was nutzt ihre eure "Bastelrechner"?

    gadthrawn | 13:54

  4. Re: Gibt es (irgendwann) ein Spezialadapter...

    My1 | 13:53

  5. Re: 64 gb karte kostet 20 euro

    smirg0l | 13:51


  1. 13:04

  2. 13:00

  3. 12:05

  4. 12:03

  5. 11:55

  6. 11:51

  7. 11:44

  8. 11:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel