Original-URL des Artikels: https://www.golem.de/news/kaspersky-palantir-co-bsi-macht-keine-sicherheitschecks-bei-behoerdensoftware-1811-137956.html    Veröffentlicht: 28.11.2018 14:00    Kurz-URL: https://glm.io/137956

Kaspersky, Palantir & Co.

BSI macht keine Sicherheitschecks bei Behördensoftware

Das BSI hat bislang nur bei Windows 10 den Auftrag erhalten, die Sicherheit von Software ausländischer Hersteller zu begutachten. Eine Einsicht in den Quellcode sei bislang auch dabei nicht erfolgt, sagt die Bundesregierung.

Die Bundesregierung vertraut beim Einsatz von ausländischer Software in hiesigen Behörden vor allem auf die 2015 eingeführte "No-Spy-Klausel". Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher erst in einem Fall den Auftrag erhalten, entsprechende Programme mit Blick auf die IT-Security und mögliche Funktionen zum Nach-Hause-Telefonieren oder weitergehende Datenausleitungen zu überprüfen. Dabei handelt es sich um einen Beschluss der Konferenz der IT-Beauftragten der Ressorts von Ende 2015, wonach das BSI IT-Sicherheitsaspekte bei Windows 10 von Microsoft untersucht.

Auch bei dieser laufenden Analyse sei bislang keine Einsicht in den Quellcode des Betriebssystems erfolgt, erklärte die Bundesregierung in einer Golem.de vorliegenden Antwort auf eine Anfrage der FDP-Bundestagsfraktion. Jenseits vom BSI seien zudem keine anderen Stellen tätig geworden. Zu der Windows-10-Analyse gab die Bonner Behörde jüngst erste Teilergebnisse bekannt, wonach das Betriebssystem "umfangreiche System- und Nutzungsinformationen an Microsoft" sende. Es sei zwar möglich, die entsprechende "Erfassung und Übertragung von Telemetriedaten" technisch zu unterbinden, was "für Anwender aber nur schwer umzusetzen" sei.

"Zudem haben auf dem Rechner installierte Anwendungen wie der Internet Explorer und Microsoft Office die Möglichkeit, auch ohne den zentralen Telemetriedienst des Betriebssystems Telemetriedaten zu erfassen und an den Hersteller zu versenden", schreibt das BSI und bestätigt damit eine ausführliche Prüfung niederländischer Experten. Weitere Ergebnisse aus anderen Teilbereichen der Studie, die die Firma ERNW für die Behörde durchführe, werde man "sukzessive veröffentlichen". Die Analysen umfassten unter anderem Komponenten wie das Trusted Platform Module (TPM), VBS/DeviceGuard, die Windows Powershell, die "Application Compatibility Infrastructure", das Treibermanagement und den PatchGuard. Anhand der Resultate wolle man "praktisch nutzbare Empfehlungen für Protokollierung und Härtung der jeweiligen Komponenten" aussprechen.

Geheimniskrämerei

Welche konkrete ausländische Software hiesige Sicherheitsbehörden einsetzen, will die Bundesregierung nicht öffentlich preisgeben. Die FDP hatte konkret nach dem BSI, der Bundespolizei, dem Bundeskriminalamt, dem Zollkriminalamt, dem Bundesamt für Verfassungsschutz, dem Bundesnachrichtendienst sowie dem Militärischen Abschirmdienst gefragt. Das federführende Bundesinnenministerium erwidert, dass es Auskünfte darüber aus Sicherheitsgründen teils in der Geheimschutzstelle des Bundestags hinterlege und teils gar keine Antworten geben könne.

Bundesbehörden bestellten Hard- und Software in der Regel über "Abrufe aus Rahmenverträgen des Beschaffungsamtes", berichtet die Regierung. Damit gelte die Auflage, bei allen Verträgen eine Anti-Spionage-Bestimmung aufzunehmen. Mit dieser No-Spy-Klausel versichern ausländische Unternehmen, dass sie rechtlich nicht dazu verpflichtet sind, vertrauliche Informationen an ausländische Nachrichtendienste weiterzugeben. Zugleich räumt das Innenressort aber trotz dieser juristischen Vorkehrungen ein: Ein Beweis, "dass deutsche Personendaten oder Daten deutscher Sicherheitsbehörden mittels ausländischer Software nicht ins Ausland gelangen, kann nicht erbracht werden".

Während Großbritannien, die USA und Litauen ihre nationalen Behörden öffentlich gewarnt beziehungsweise sogar Verbote ausgesprochen haben, Programme des russischen Antivirenspezialisten Kaspersky einzusetzen, sieht die Bundesregierung dafür keinen Grund. "Dem BSI liegen nach wie vor keine Erkenntnisse vor, die eine Manipulation von Kaspersky-Software belegen", schreibt das Innenministerium.

Palantir in Hessen: kein Kommentar

Auch den hierzulande nicht weniger umstrittenen Einsatz von Programmen zur Big-Data-Analyse des kalifornischen Anbieters Palantir hält die Regierung prinzipiell "für mit dem deutschen Recht vereinbar". Es spreche zumindest nichts dagegen, verschiedene Polizeidatenbanken zu verknüpfen und dabei Verbindungsdaten etwa mit Informationen aus ausgelesenen Mobiltelefonen Verdächtiger oder aus sozialen Medien zusammenzuführen.

Hierzulande arbeitet Hessens Polizei als erste Sicherheitsbehörde mit Software des 2003 von Peter Thiel gegründeten Unternehmens, in das unter anderem die CIA Geld gesteckt hat. Bürgerrechtler und Oppositionspolitiker beklagen, dass das einschlägige System Hessendata faktisch eine Rasterfahndung durchführe, der eigentlich enge rechtliche Grenzen gesetzt seien. Die Bundesregierung will sich dazu nicht konkret äußern, da es sich um eine Ländersache handle. Vergabeverfahren für vergleichbare Big-Data-Software liefen auf Bundesebene derzeit nicht.

Gleichzeitig verwies das Innenministerium darauf, dass das BSI einen eigenen Warn- und Informationsdienst (WID) rund um Schwachstellen in Softwareprodukten betreibt. Dieser richte sich primär an Bundesbehörden, kann aber von jedermann abonniert werden: 2016 seien darüber 2.041, im vorigen Jahr 2.225, in diesem Jahr mit Stand Mitte November bisher 1.088 "Kurzinformationen" veröffentlicht worden.

FDP rügt unverantwortliche IT-Sicherheitspolitik

Stephan Thomae, Vizefraktionschef der Liberalen im Bundestag, bezeichnete es gegenüber Golem.de als "staatliche Aufgabe ersten Ranges, die digitale Infrastruktur zu schützen". Die Bundesregierung setze dabei aber einen "völlig falschen Fokus". Dass das BSI seit 2015 nur ein einziges Mal von oben beauftragt worden sei, die Sicherheit von Software eines ausländischen Herstellers zu überprüfen, "ist unverantwortlich".

Das Kabinett belegt laut dem FDP-Politiker damit seine "vollständige Untätigkeit in einem hochsensiblen Bereich" und nehme mit seiner Leichtfertigkeit "Sicherheitslücken in der Informations- und Kommunikationstechnik billigend in Kauf". Darüber könnten Daten und Informationen an die Hersteller, ausländische Geheimdienste oder sonstige unberechtigte Dritte fließen.  (skr)


Verwandte Artikel:
Polizeisoftware: Berliner Polizei hält trotz neuem System an Altsoftware fest   
(27.11.2018, https://glm.io/137937 )
5G: Huawei eröffnet Security Lab in Bonn   
(16.11.2018, https://glm.io/137768 )
Software: 15 Jahre altes Programm der Berliner Polizei stürzt oft ab   
(19.10.2018, https://glm.io/137221 )
BSI-Lagebericht: Die bösen Hacker und das fliegende Einhorn   
(11.10.2018, https://glm.io/137075 )
BSI: Hackerangriffe bedrohen Energieversorger   
(14.06.2018, https://glm.io/134968 )

© 1997–2020 Golem.de, https://www.golem.de/