Abo
  • IT-Karriere:

Kaspersky, Palantir & Co.: BSI macht keine Sicherheitschecks bei Behördensoftware

Das BSI hat bislang nur bei Windows 10 den Auftrag erhalten, die Sicherheit von Software ausländischer Hersteller zu begutachten. Eine Einsicht in den Quellcode sei bislang auch dabei nicht erfolgt, sagt die Bundesregierung.

Artikel von Stefan Krempl veröffentlicht am
Noch nicht BSI-geprüft: Antivirensoftware von Kaspersky
Noch nicht BSI-geprüft: Antivirensoftware von Kaspersky (Bild: Maxim Shemetov/Reuters)

Die Bundesregierung vertraut beim Einsatz von ausländischer Software in hiesigen Behörden vor allem auf die 2015 eingeführte "No-Spy-Klausel". Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher erst in einem Fall den Auftrag erhalten, entsprechende Programme mit Blick auf die IT-Security und mögliche Funktionen zum Nach-Hause-Telefonieren oder weitergehende Datenausleitungen zu überprüfen. Dabei handelt es sich um einen Beschluss der Konferenz der IT-Beauftragten der Ressorts von Ende 2015, wonach das BSI IT-Sicherheitsaspekte bei Windows 10 von Microsoft untersucht.

Inhalt:
  1. Kaspersky, Palantir & Co.: BSI macht keine Sicherheitschecks bei Behördensoftware
  2. Palantir in Hessen: kein Kommentar

Auch bei dieser laufenden Analyse sei bislang keine Einsicht in den Quellcode des Betriebssystems erfolgt, erklärte die Bundesregierung in einer Golem.de vorliegenden Antwort auf eine Anfrage der FDP-Bundestagsfraktion. Jenseits vom BSI seien zudem keine anderen Stellen tätig geworden. Zu der Windows-10-Analyse gab die Bonner Behörde jüngst erste Teilergebnisse bekannt, wonach das Betriebssystem "umfangreiche System- und Nutzungsinformationen an Microsoft" sende. Es sei zwar möglich, die entsprechende "Erfassung und Übertragung von Telemetriedaten" technisch zu unterbinden, was "für Anwender aber nur schwer umzusetzen" sei.

"Zudem haben auf dem Rechner installierte Anwendungen wie der Internet Explorer und Microsoft Office die Möglichkeit, auch ohne den zentralen Telemetriedienst des Betriebssystems Telemetriedaten zu erfassen und an den Hersteller zu versenden", schreibt das BSI und bestätigt damit eine ausführliche Prüfung niederländischer Experten. Weitere Ergebnisse aus anderen Teilbereichen der Studie, die die Firma ERNW für die Behörde durchführe, werde man "sukzessive veröffentlichen". Die Analysen umfassten unter anderem Komponenten wie das Trusted Platform Module (TPM), VBS/DeviceGuard, die Windows Powershell, die "Application Compatibility Infrastructure", das Treibermanagement und den PatchGuard. Anhand der Resultate wolle man "praktisch nutzbare Empfehlungen für Protokollierung und Härtung der jeweiligen Komponenten" aussprechen.

Geheimniskrämerei

Welche konkrete ausländische Software hiesige Sicherheitsbehörden einsetzen, will die Bundesregierung nicht öffentlich preisgeben. Die FDP hatte konkret nach dem BSI, der Bundespolizei, dem Bundeskriminalamt, dem Zollkriminalamt, dem Bundesamt für Verfassungsschutz, dem Bundesnachrichtendienst sowie dem Militärischen Abschirmdienst gefragt. Das federführende Bundesinnenministerium erwidert, dass es Auskünfte darüber aus Sicherheitsgründen teils in der Geheimschutzstelle des Bundestags hinterlege und teils gar keine Antworten geben könne.

Stellenmarkt
  1. Bau- und Liegenschaftsbetrieb NRW, Düsseldorf
  2. DATAGROUP Köln GmbH, Köln

Bundesbehörden bestellten Hard- und Software in der Regel über "Abrufe aus Rahmenverträgen des Beschaffungsamtes", berichtet die Regierung. Damit gelte die Auflage, bei allen Verträgen eine Anti-Spionage-Bestimmung aufzunehmen. Mit dieser No-Spy-Klausel versichern ausländische Unternehmen, dass sie rechtlich nicht dazu verpflichtet sind, vertrauliche Informationen an ausländische Nachrichtendienste weiterzugeben. Zugleich räumt das Innenressort aber trotz dieser juristischen Vorkehrungen ein: Ein Beweis, "dass deutsche Personendaten oder Daten deutscher Sicherheitsbehörden mittels ausländischer Software nicht ins Ausland gelangen, kann nicht erbracht werden".

Während Großbritannien, die USA und Litauen ihre nationalen Behörden öffentlich gewarnt beziehungsweise sogar Verbote ausgesprochen haben, Programme des russischen Antivirenspezialisten Kaspersky einzusetzen, sieht die Bundesregierung dafür keinen Grund. "Dem BSI liegen nach wie vor keine Erkenntnisse vor, die eine Manipulation von Kaspersky-Software belegen", schreibt das Innenministerium.

Palantir in Hessen: kein Kommentar 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. (-87%) 2,50€
  2. (-75%) 14,99€
  3. 1,19€
  4. (-75%) 3,75€

Cok3.Zer0 29. Nov 2018

Oder der/die TÜV die Sicherheit vom IE prüft. Oder die Bundeswehr Spezifikationen für...

Eswil 29. Nov 2018

Meiner Meinung nach hat die FDP auch nicht viel verstanden. Diese ganze Prüfung ist doch...


Folgen Sie uns
       


AMD Ryzen 9 3900X und Ryzen 7 3700X - Test

Wir testen den Ryzen 9 3900X mit zwölf Kernen und den Ryzen 7 3700X mit acht Kernen. Beide passen in den Sockel AM4, nutzen DDR4-3200-Speicher und basieren auf der Zen-2-Architektur mit 7-nm-Fertigung.

AMD Ryzen 9 3900X und Ryzen 7 3700X - Test Video aufrufen
Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
  2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  3. AMD Freier Navi-Treiber in Mesa eingepflegt

Forschung: Mehr Elektronen sollen Photovoltaik effizienter machen
Forschung
Mehr Elektronen sollen Photovoltaik effizienter machen

Zwei dünne Schichten auf einer Silizium-Solarzelle könnten ihre Effizienz erhöhen. Grünes und blaues Licht kann darin gleich zwei Elektronen statt nur eines freisetzen.
Von Frank Wunderlich-Pfeiffer

  1. ISS Tierbeobachtungssystem Icarus startet
  2. Sun To Liquid Solaranlage erzeugt Kerosin aus Sonnenlicht, Wasser und CO2
  3. Shell Ocean Discovery X Prize X-Prize für unbemannte Systeme zur Meereskartierung vergeben

Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

    •  /