Abo
  • Services:
Anzeige
De-Mail bietet nur mangelhafte Verschlüsselung.
De-Mail bietet nur mangelhafte Verschlüsselung. (Bild: BSI)

IMHO: Keine Krypto vom Staat

Das BSI verbreitet über Jahre eine komplett unsichere Software zur Verschlüsselung. Es ist aber nicht die einzige Panne bei staatlichen Verschlüsselungsprodukten.

Anzeige

Was Jan Schejbal über das BSI berichtet, hinterlässt eine Mischung aus Schmunzeln und Entsetzen über so viel Inkompetenz. Die Behörde, die in Deutschland für IT-Sicherheit zuständig ist, verletzt so ziemlich jede gute Praxis bei der Behandlung von Sicherheitslücken.

Statt mit Sicherheitsforschern zusammenzuarbeiten und diese für ihre wertvollen Hinweise entsprechend zu entlohnen, droht das BSI mit juristischen Konsequenzen. Um eine gravierende Sicherheitslücke in einem Tool, das Unternehmen eigentlich bei der IT-Sicherheit unterstützen soll, zu beheben, benötigt das BSI fast zwei Jahre. Und statt auf bewährte und standardisierte Verfahren zu setzen, verwendet man einen Geheimalgorithmus, von dem niemand weiß, wie sicher er ist.

Ein Hinweis auf Kollaboration mit der NSA ist das alles sicher nicht. Es ist schlicht Inkompetenz. Aber es ist auch eine deutliche Warnung: Wenn es um IT-Sicherheit und insbesondere um Verschlüsselung geht, sollte man staatlichen Behörden nicht vertrauen.

Jan Schejbal hatte das BSI schon einmal bloßgestellt: Die Ausweis-App musste wenige Tage nach ihrem Erscheinen wieder zurückgezogen werden. Die Absicherung der Updatefunktion des Programms war komplett unbrauchbar.

Beim Projekt De-Mail sieht es wenig besser aus: Die angeblich "sicheren" E-Mails werden auf den Mailservern der Unternehmen entschlüsselt. Genau dort, wo Überwachungsbehörden den leichtesten Zugriff haben. Fachleute fordern eine Ende-zu-Ende-Verschlüsselung, der Chaos Computer Club bezeichnete die Sicherheit von De-Mail völlig zurecht als "schlechten Scherz". Doch alle Kritik prallte bisher an der Bundesregierung ab. Sie will an der unsicheren De-Mail festhalten.

Der Staat hat bei der IT-Sicherheit einen Interessenskonflikt. Einerseits haben Behörden wie das BSI die Aufgabe, Bevölkerung und Unternehmen bei der sicheren Nutzung von IT-Technologie zu unterstützen. Andererseits wollen Geheimdienste die Kommunikation mitlesen und - Stichwort Onlinedurchsuchung - Trojaner auf den Rechnern von Verdächtigen installieren. Der Staat hat also ein Interesse daran, dass Sicherheitslücken geheim bleiben, wenn diese für Staatstrojaner zum Einsatz kommen.

Die Alternative dazu ist offenkundig: Sicherheitstechnologien müssen transparent und offen entwickelt werden, Software muss im Quelltext verfügbar sein. Dass es geht, beweist eine andere Software: GnuPG. Die Entwicklung des freien Verschlüsselungsprogramms wurde mit Geldern des Innenministeriums und des Wirtschaftsministeriums unterstützt. Auch wenn natürlich hier ebenfalls Interessenskonflikte der entsprechenden Ministerien vorliegen: GnuPG liegt im Quellcode vor und nutzt bewährte und standardisierte Technologien.

Klar, auch GnuPG hatte schon kritische Sicherheitsprobleme und setzt manchmal leider nicht auf die besten verfügbaren Verschlüsselungstechnologien. Aber dank der Offenheit und des verfügbaren Quellcodes kann jeder dazu beitragen, die Sicherheit von GnuPG zu verbessern.

Das BSI täte gut daran, aus dem Vorfall zu lernen. Es sollte schnellstmöglich den Geheimalgorithmus Chiasmus öffentlich dokumentieren und den Quelltext von GSTOOL veröffentlichen. Dasselbe gilt für andere sicherheitskritische Applikationen von staatlichen Behörden wie die Steuersoftware Elster Formular. Eine Entschuldigung bei Jan Schejbal und anderen Sicherheitsforschern wäre ebenfalls angebracht.

Die Konsequenz aus dem NSA-Skandal kann nicht sein, auf Software von deutschen Behörden zu vertrauen. Auch die Idee von Sicherheitssoftware "Made in Germany" ist nicht geeignet, Vertrauen wiederherzustellen. Die Lösung heißt: Offenheit, Transparenz und freie Software.


eye home zur Startseite
Julius Csar 17. Sep 2013

Auch OpenSource ist insbesondere durch Code-Injection gefährdet, da nicht immer alles...

hannob (golem.de) 12. Sep 2013

Laut Wikipedia wurde sowohl die Dokumentation für GnuPG selber als auch der Port GPG4win...

phade 12. Sep 2013

1) korrekt, abe jeder vernuenftige Provider unterstuetzt SPOP/SIMAP und SSMTP 2) korrekt...

meine_meinung 12. Sep 2013

in diesem Fall dürfte es für das BSI relativ leicht fallen, da sie meines Wissens nach...

Charles Marlow 11. Sep 2013

Ich seh das immer so, beim Korruptions-Index sind wir auch "Weltspitze". ;)



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. Schwarz IT Infrastructure & Operations Services GmbH & Co. KG, Neckarsulm
  3. Landeshauptstadt Potsdam, Potsdam
  4. über HRM CONSULTING GmbH, Konstanz (Home-Office)


Anzeige
Hardware-Angebote
  1. (u. a. DXRacer OH/RE9/NW für 199,90€ statt 226€ im Preisvergleich)
  2. ab 799,90€
  3. ab 649,90€

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Re: Machen wir doch mal die Probe aufs Exempel

    Sharra | 19:32

  2. "mangelnde Transparenz"

    Lord Gamma | 19:32

  3. Re: Siri und diktieren

    Lord Gamma | 19:30

  4. Anbindung an Passwortmanager

    nille02 | 19:23

  5. Von Maas lernen

    klaus9999 | 19:12


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel