Kaspersky, Palantir & Co.: BSI macht keine Sicherheitschecks bei Behördensoftware

Das BSI hat bislang nur bei Windows 10 den Auftrag erhalten, die Sicherheit von Software ausländischer Hersteller zu begutachten. Eine Einsicht in den Quellcode sei bislang auch dabei nicht erfolgt, sagt die Bundesregierung.

Artikel von Stefan Krempl veröffentlicht am
Noch nicht BSI-geprüft: Antivirensoftware von Kaspersky
Noch nicht BSI-geprüft: Antivirensoftware von Kaspersky (Bild: Maxim Shemetov/Reuters)

Die Bundesregierung vertraut beim Einsatz von ausländischer Software in hiesigen Behörden vor allem auf die 2015 eingeführte "No-Spy-Klausel". Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher erst in einem Fall den Auftrag erhalten, entsprechende Programme mit Blick auf die IT-Security und mögliche Funktionen zum Nach-Hause-Telefonieren oder weitergehende Datenausleitungen zu überprüfen. Dabei handelt es sich um einen Beschluss der Konferenz der IT-Beauftragten der Ressorts von Ende 2015, wonach das BSI IT-Sicherheitsaspekte bei Windows 10 von Microsoft untersucht.

Inhalt:
  1. Kaspersky, Palantir & Co.: BSI macht keine Sicherheitschecks bei Behördensoftware
  2. Palantir in Hessen: kein Kommentar

Auch bei dieser laufenden Analyse sei bislang keine Einsicht in den Quellcode des Betriebssystems erfolgt, erklärte die Bundesregierung in einer Golem.de vorliegenden Antwort auf eine Anfrage der FDP-Bundestagsfraktion. Jenseits vom BSI seien zudem keine anderen Stellen tätig geworden. Zu der Windows-10-Analyse gab die Bonner Behörde jüngst erste Teilergebnisse bekannt, wonach das Betriebssystem "umfangreiche System- und Nutzungsinformationen an Microsoft" sende. Es sei zwar möglich, die entsprechende "Erfassung und Übertragung von Telemetriedaten" technisch zu unterbinden, was "für Anwender aber nur schwer umzusetzen" sei.

"Zudem haben auf dem Rechner installierte Anwendungen wie der Internet Explorer und Microsoft Office die Möglichkeit, auch ohne den zentralen Telemetriedienst des Betriebssystems Telemetriedaten zu erfassen und an den Hersteller zu versenden", schreibt das BSI und bestätigt damit eine ausführliche Prüfung niederländischer Experten. Weitere Ergebnisse aus anderen Teilbereichen der Studie, die die Firma ERNW für die Behörde durchführe, werde man "sukzessive veröffentlichen". Die Analysen umfassten unter anderem Komponenten wie das Trusted Platform Module (TPM), VBS/DeviceGuard, die Windows Powershell, die "Application Compatibility Infrastructure", das Treibermanagement und den PatchGuard. Anhand der Resultate wolle man "praktisch nutzbare Empfehlungen für Protokollierung und Härtung der jeweiligen Komponenten" aussprechen.

Geheimniskrämerei

Welche konkrete ausländische Software hiesige Sicherheitsbehörden einsetzen, will die Bundesregierung nicht öffentlich preisgeben. Die FDP hatte konkret nach dem BSI, der Bundespolizei, dem Bundeskriminalamt, dem Zollkriminalamt, dem Bundesamt für Verfassungsschutz, dem Bundesnachrichtendienst sowie dem Militärischen Abschirmdienst gefragt. Das federführende Bundesinnenministerium erwidert, dass es Auskünfte darüber aus Sicherheitsgründen teils in der Geheimschutzstelle des Bundestags hinterlege und teils gar keine Antworten geben könne.

Stellenmarkt
  1. Software Developer (w/m/d)
    Intrum Hanseatische Inkasso-Treuhand GmbH, Hamburg
  2. Java Software Developer (w/m/d) Customer Service
    SSI SCHÄFER Automation GmbH, Giebelstadt, Dortmund, Münster, Oberviechtach
Detailsuche

Bundesbehörden bestellten Hard- und Software in der Regel über "Abrufe aus Rahmenverträgen des Beschaffungsamtes", berichtet die Regierung. Damit gelte die Auflage, bei allen Verträgen eine Anti-Spionage-Bestimmung aufzunehmen. Mit dieser No-Spy-Klausel versichern ausländische Unternehmen, dass sie rechtlich nicht dazu verpflichtet sind, vertrauliche Informationen an ausländische Nachrichtendienste weiterzugeben. Zugleich räumt das Innenressort aber trotz dieser juristischen Vorkehrungen ein: Ein Beweis, "dass deutsche Personendaten oder Daten deutscher Sicherheitsbehörden mittels ausländischer Software nicht ins Ausland gelangen, kann nicht erbracht werden".

Während Großbritannien, die USA und Litauen ihre nationalen Behörden öffentlich gewarnt beziehungsweise sogar Verbote ausgesprochen haben, Programme des russischen Antivirenspezialisten Kaspersky einzusetzen, sieht die Bundesregierung dafür keinen Grund. "Dem BSI liegen nach wie vor keine Erkenntnisse vor, die eine Manipulation von Kaspersky-Software belegen", schreibt das Innenministerium.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Palantir in Hessen: kein Kommentar 
  1. 1
  2. 2
  3.  


Cok3.Zer0 29. Nov 2018

Oder der/die TÜV die Sicherheit vom IE prüft. Oder die Bundeswehr Spezifikationen für...

Eswil 29. Nov 2018

Meiner Meinung nach hat die FDP auch nicht viel verstanden. Diese ganze Prüfung ist doch...



Aktuell auf der Startseite von Golem.de
Kubernetes-Kontrollcenter
Mit YTT-Templates Kubernetes-Cluster besser verwalten

Wir zeigen, wie man mit zentraler und automatisierter YAML-Generierung Hunderte Microservices spielend verwalten kann.
Eine Anleitung von Jochen R. Meyer

Kubernetes-Kontrollcenter: Mit YTT-Templates Kubernetes-Cluster besser verwalten
Artikel
  1. LG HU915QE: Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung
    LG HU915QE
    Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung

    LG hat einen Kurzdistanzprojektor mit Lasertechnik vorgestellt. Der HU915QE erzeugt ein riesiges Bild und steht dabei fast an der Wand.

  2. Mendocino: Verbesserter Steam-Deck-Chip erscheint für Laptops
    Mendocino
    Verbesserter Steam-Deck-Chip erscheint für Laptops

    Computex 2022 Mit dem Mendocino-SoC plant AMD eine Kombination aus Zen-2-Quadcore und integrierter RDNA2-Grafik für günstige Ryzen-Notebooks.

  3. Verkaufsstart des 9-Euro-Tickets: Was Fahrgäste wissen müssen
    Verkaufsstart des 9-Euro-Tickets
    Was Fahrgäste wissen müssen

    Das 9-Euro-Ticket für den ÖPNV ist beschlossene Sache, Verkehrsverbünde und -unternehmen sehen sich auf den Verkaufsstart in diesen Tagen gut vorbereitet. Doch es gibt viele offene Fragen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. AMD Ryzen 9 5950X 488€, MSI RTX 3090 Gaming X Trio 1.799€) • Cyber Week: Jetzt alle Deals freigeschaltet • LG OLED TV 77" 62% günstiger: 1.749€ • Bis zu 35% auf MSI • Alternate (u. a. AKRacing Core EX SE Gaming-Stuhl 169€) [Werbung]
    •  /