• IT-Karriere:
  • Services:

Kaspersky, Palantir & Co.: BSI macht keine Sicherheitschecks bei Behördensoftware

Das BSI hat bislang nur bei Windows 10 den Auftrag erhalten, die Sicherheit von Software ausländischer Hersteller zu begutachten. Eine Einsicht in den Quellcode sei bislang auch dabei nicht erfolgt, sagt die Bundesregierung.

Artikel von Stefan Krempl veröffentlicht am
Noch nicht BSI-geprüft: Antivirensoftware von Kaspersky
Noch nicht BSI-geprüft: Antivirensoftware von Kaspersky (Bild: Maxim Shemetov/Reuters)

Die Bundesregierung vertraut beim Einsatz von ausländischer Software in hiesigen Behörden vor allem auf die 2015 eingeführte "No-Spy-Klausel". Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher erst in einem Fall den Auftrag erhalten, entsprechende Programme mit Blick auf die IT-Security und mögliche Funktionen zum Nach-Hause-Telefonieren oder weitergehende Datenausleitungen zu überprüfen. Dabei handelt es sich um einen Beschluss der Konferenz der IT-Beauftragten der Ressorts von Ende 2015, wonach das BSI IT-Sicherheitsaspekte bei Windows 10 von Microsoft untersucht.

Inhalt:
  1. Kaspersky, Palantir & Co.: BSI macht keine Sicherheitschecks bei Behördensoftware
  2. Palantir in Hessen: kein Kommentar

Auch bei dieser laufenden Analyse sei bislang keine Einsicht in den Quellcode des Betriebssystems erfolgt, erklärte die Bundesregierung in einer Golem.de vorliegenden Antwort auf eine Anfrage der FDP-Bundestagsfraktion. Jenseits vom BSI seien zudem keine anderen Stellen tätig geworden. Zu der Windows-10-Analyse gab die Bonner Behörde jüngst erste Teilergebnisse bekannt, wonach das Betriebssystem "umfangreiche System- und Nutzungsinformationen an Microsoft" sende. Es sei zwar möglich, die entsprechende "Erfassung und Übertragung von Telemetriedaten" technisch zu unterbinden, was "für Anwender aber nur schwer umzusetzen" sei.

"Zudem haben auf dem Rechner installierte Anwendungen wie der Internet Explorer und Microsoft Office die Möglichkeit, auch ohne den zentralen Telemetriedienst des Betriebssystems Telemetriedaten zu erfassen und an den Hersteller zu versenden", schreibt das BSI und bestätigt damit eine ausführliche Prüfung niederländischer Experten. Weitere Ergebnisse aus anderen Teilbereichen der Studie, die die Firma ERNW für die Behörde durchführe, werde man "sukzessive veröffentlichen". Die Analysen umfassten unter anderem Komponenten wie das Trusted Platform Module (TPM), VBS/DeviceGuard, die Windows Powershell, die "Application Compatibility Infrastructure", das Treibermanagement und den PatchGuard. Anhand der Resultate wolle man "praktisch nutzbare Empfehlungen für Protokollierung und Härtung der jeweiligen Komponenten" aussprechen.

Geheimniskrämerei

Welche konkrete ausländische Software hiesige Sicherheitsbehörden einsetzen, will die Bundesregierung nicht öffentlich preisgeben. Die FDP hatte konkret nach dem BSI, der Bundespolizei, dem Bundeskriminalamt, dem Zollkriminalamt, dem Bundesamt für Verfassungsschutz, dem Bundesnachrichtendienst sowie dem Militärischen Abschirmdienst gefragt. Das federführende Bundesinnenministerium erwidert, dass es Auskünfte darüber aus Sicherheitsgründen teils in der Geheimschutzstelle des Bundestags hinterlege und teils gar keine Antworten geben könne.

Stellenmarkt
  1. SIZ GmbH, Bonn
  2. IHK Industrie- und Handelskammer Gießen-Friedberg, Friedberg

Bundesbehörden bestellten Hard- und Software in der Regel über "Abrufe aus Rahmenverträgen des Beschaffungsamtes", berichtet die Regierung. Damit gelte die Auflage, bei allen Verträgen eine Anti-Spionage-Bestimmung aufzunehmen. Mit dieser No-Spy-Klausel versichern ausländische Unternehmen, dass sie rechtlich nicht dazu verpflichtet sind, vertrauliche Informationen an ausländische Nachrichtendienste weiterzugeben. Zugleich räumt das Innenressort aber trotz dieser juristischen Vorkehrungen ein: Ein Beweis, "dass deutsche Personendaten oder Daten deutscher Sicherheitsbehörden mittels ausländischer Software nicht ins Ausland gelangen, kann nicht erbracht werden".

Während Großbritannien, die USA und Litauen ihre nationalen Behörden öffentlich gewarnt beziehungsweise sogar Verbote ausgesprochen haben, Programme des russischen Antivirenspezialisten Kaspersky einzusetzen, sieht die Bundesregierung dafür keinen Grund. "Dem BSI liegen nach wie vor keine Erkenntnisse vor, die eine Manipulation von Kaspersky-Software belegen", schreibt das Innenministerium.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Palantir in Hessen: kein Kommentar 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 1439,90€ (Vergleichspreis: 1530,95€)

Cok3.Zer0 29. Nov 2018

Oder der/die TÜV die Sicherheit vom IE prüft. Oder die Bundeswehr Spezifikationen für...

Eswil 29. Nov 2018

Meiner Meinung nach hat die FDP auch nicht viel verstanden. Diese ganze Prüfung ist doch...


Folgen Sie uns
       


Galaxy Fold im Test

Das Galaxy Fold ist Samsungs erstes Smartphone mit faltbarem Display. Die Technologie ist spannend, im Alltag nervt uns das ständige Auf- und Zuklappen aber etwas.

Galaxy Fold im Test Video aufrufen
Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

    •  /