Verschlüsselung im Bundestag: Fördern Bundesregierung oder BSI die freie Software GnuPG?

logo-gnupg-light-purple-bgGnuPG oder GPG (GNU Privacy Guard) ist ein freies Kryptographiesystem und eines der wichtigsten Werkzeuge zur digitalen Selbstverteidigung. GnuPG wurde als freie Software in der Entwicklung von der Bundesregierung finanziell unterstützt. Aber seit Edward Snowden hören wir immer von der Politik, wie wichtig es doch wäre, wenn Bürgerinnen und Bürger die Sicherung ihrer Privatsphäre in Eigenverantwortung übernehmen würden, aber es passiert nichts in diese Richtung.

Eines der Probleme von GnuPG ist: Es ist immer noch etwas zu kompliziert dafür, dass wir das Werkzeug ohne Probleme unseren Eltern zum Verschlüsseln ihrer Mails installieren würden. Das wäre aber lösbar, wenn der Staat Verantwortung übernimmt und das Projekt weiter unterstützt und nicht nur erzählt, dass man das machen könnte. Im Rahmen von Heartbleed / Open SSL kam die notwendige Diskussion auf, wer sich überhaupt um kritische freie Projekte kümmert, vor allem finanziell.

Tim Schürmann berichtete in der August-Ausgabe des Linux-Magazin:

Nun würde so ein Bug nicht weiter auffallen, wäre nicht die Benutzerbasis von Open SSL so riesig. Millionen Privatanwender und sehr viele Firmen verlassen sich auf ihre Kryptosoftware. Sie soll die Sicherheit teils millionenschwerer Projekte gewährleisten, ihre Entwicklung liegt jedoch in den Händen weniger Programmierer. Wie im Falle von Gnu PG pflegt mitunter nur eine einzige Person die umfangreiche Codebasis.

Diese chronische Unterfinanzierung hat der grüne Bundestagsabgeordnete Hans-Christian Ströbele zum Anlass genommen, gestern in der Fragestunde des Deutschen Bundestages bei der Bundesregierung nachzuhaken:

Ströbele: Welche Konsequenzen zieht die Bundesregierung aus dem Umstand, dass die Software GnuPG, auf die nahezu alle freien und für Bürger und Unternehmen frei zugänglichen, vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Website als besonders sicher empfohlenen, asymmetrischen Verschlüsselungsverfahren für E-Mails aufbauen, von einer Einzelperson in Düsseldorf allein auf Spendenbasis betreut und gewartet wird (Linux-Magazin 08/2014), und ist die Bundesregierung angesichts der auch von ihr selbst anerkannten, allgemeinen Bedrohung der Datensicherheit der Gesamtbevölkerung und der deutschen Wirtschaft durch massenhaften Datendiebstahl, begangen von Unternehmen oder Geheimdiensten fremder Mächte, bereit, eine nachhaltige Finanzierung und bessere personelle Ausstattung der Betreuung und Wartung dieser Software zu unterstützen, etwa durch Förderung über das BSI?

Geantwortet hat Dr. Günter Krings, Parlamentarischer Staatssekretär beim Bundesminister des Innern. Weiter unten zitieren wir das Protokoll.

Verschlüsselung weiterhin ein Fremdwort im Bundestag

Der Deutsche Bundestag tut sich schwer damit, die Verschlüsselung und Signatur von E-Mails per OpenPGP-Standard zu ermöglichen. Eine eigenes Gremium der Abgeordneten hat die OpenPGP-Nutzung im letzten Jahr effektiv verhindert. Die Gründe beinhalten Auseinandersetzungen um Freie Software, Lizenzen, Kompatibilität und jede Menge Bürokratie. Das haben wir in zwei Artikeln im Sommer beschrieben:

Verschlüsselungs-Standort Nr. 1: Dutzende Zertifikate von Bundestags-Abgeordneten abgelaufen.
Verschlüsselungs-Standort Nr. 1: Wie der Bundestag die Nutzung von OpenPGP ein Jahr lang verhindert hat

Der Bundestag könnte Verschlüsselung fördern, indem sowas bei allen PCs im Hause installiert wird. Unter Windows XP war das unmöglich, mittlerweile gibt es Windows 7. MdBs müssen das aber selber bestellen und finanzieren. Früher kostete die Installation 100 Euro, mittlerweile sind sie auf 40 Euro pro PC runtergegangen. Die Anschaffung kann über das Sachleistungskonto abgerechnet werden. Wir können immer noch die Abgeordneten-Büros an einer Hand abzählen, die das sich haben installieren lassen.

Bundesregierung will GnuPG nicht weiter fördern, weil das ja Open Source ist

Es ist interessant, was Günter Krings wie antwortet. Im Endeffekt ist es egal, ob jetzt eine Person das weiterentwickelt oder wenige Firmen zusammen. Die Frage ist ja, ob das auch weiterhin finanziert wird. Krings erklärt, dass der Bund zwischen 2004 – 2014 Fördergeld gezahlt habe. Die Formulierung klingt aber nicht so, als ob seit Snowden auch Geld für eine Weiterentwicklung ausgegeben wurde. Und er schiebt die Verantwortung vom Staat weg und erklärt, dass der jetzt genug getan hätte und andere mal dran seien, weil das ja Open Source wäre.

Aber genau hier macht die Bundesregierung einen entscheidenden Fehler, wo unklar ist, ob das bewusst oder unbewusst passiert: Denn GnuPG ist eine kritische Infrastruktur. Durch die Snowden-Enthüllungen haben wir gelernt, dass wir keiner kommerziellen Verschlüsselung vertrauen können, wenn niemand in den Code schauen kann. Wer sich effektiv schützen will, sei es vor Totalüberwachung oder vor Wirtschaftsspionage, ist auf Werkzeuge wie GnuPG angewiesen.

Wir haben Karsten Gerloff, den Präsidenten der Free Software Foundation Europe, um eine kurze Stellungnahme gebeten:

Eine der wichtigsten Pflichten eines Staates ist es, seine Bürger zu schützen. In Zeiten der globalen Überwachung ist GnuPG dafür eines der besten Werkzeuge, die uns zur Verfügung stehen. GnuPG bietet hohe Sicherheit, die auch überprüft werden kann, da das Programm Freie Software ist. Wenn die Bundesregierung tatsächlich etwas gegen die umfassende Überwachung der Menschen in Deutschland tun möchte, muss sie hier investieren.

Wir schließen uns dem an.

Und hier ist das komplette Transcript:

Dr. Günter Krings, Parl. Staatssekretär beim Bundesminister des Innern: Frau Präsidentin! Meine sehr verehrten Damen und Herren! Lieber Herr Kollege Ströbele! Zum krönenden Abschluss dieser Fragestunde darf das Innenressorts noch einmal auftreten. Ich bedanke mich, dass Sie – dies ist die einzige mündlich zu beantwortende Frage – bei der Stange geblieben sind.

Ich kann mit einer guten Nachricht aufwarten, lieber Herr Ströbele; denn die von Ihnen in Ihrer Frage zitierte Annahme des Linux-Magazins vom August 2014, dass die – ich sage das einmal etwas salopp – Verschlüsselungssoftware GnuPG ausschließlich von einer Einzelperson in Düsseldorf auf Spendenbasis – so hieß es da – betreut wird, ist glücklicherweise unzutreffend.

GnuPG ist die zentrale Komponente der umfassenderen Lösung Gpg4win, also einer Windows-Anwendung, die wiederum vom Bundesamt für Sicherheit in der Informationstechnik, BSI, beauftragt wurde. Auftragnehmer dieses Entwicklungsvorhabens waren die deutschen Unternehmen Intevation GmbH und g10 Code GmbH sowie die schwedische KDAB. Darüber hinaus erfolgt eine Weiterentwicklung und Pflege von Gpg4win und GnuPG im Rahmen eines etablierten, funktionierenden und verteilten Entwicklungsmodells für eine unter freier Lizenz stehende quelloffene Software durch eine größere Gemeinschaft, also das, was wir als Open-Source-Community bezeichnen, Herr Ströbele.

Transparent dargestellt werden übrigens die kommerzielle Beauftragung, die Rolle des BSI sowie der mitwirkenden Unternehmen auf den Internetseiten des Projekts. Ich erspare mir jetzt, dies vorzulesen. Ich kann Ihnen dies gerne gleich in die Hand geben, damit Sie wissen, was Sie in Ihren Browser eingeben müssen, um das im Einzelnen zu lesen. Bei der vom Linux-Magazin genannten Einzelperson handelt es sich um den Geschäftsführer der g10 Code GmbH in Düsseldorf, die ebenfalls, wie gesagt, an den oben genannten Beauftragungen beteiligt war.

Vizepräsidentin Claudia Roth: Herr Ströbele, haben Sie eine Rückfrage? – Ja.

Hans-Christian Ströbele (BÜNDNIS 90/DIE GRÜNEN): Danke. – Herr Staatssekretär, wenn ich das richtig weiß, dann ist dieser Verschlüsselungsspezialist, -experte, sage ich einmal, ja in der Vergangenheit bereits durch die Bundesregierung gefördert worden. Diese Förderung ist dann aber eingestellt worden. Ich erinnere mich an die Erklärung des früheren Innenministers Friedrich – ich glaube, sogar im Bundestag, aber jedenfalls in der Öffentlichkeit – vom Juli 2013, dass die Bundesbürger aufgefordert wurden, jeder einzelne, selber etwas gegen die Datenspionage, die Datenausspähung zu tun und das nicht allein dem Staat zu überlassen.

(Manfred Grund [CDU/CSU]: Sollte er nicht eine Frage stellen?)

Deshalb meine Frage:

(Manfred Grund [CDU/CSU]: Oh!)

Gibt es eine ganz konkrete Finanzierung der Weiterentwicklung dieser Verschlüsselungssoftware, die nach meiner Kenntnis von ein oder zwei Leuten in Düsseldorf betrieben wird? Denn wir gehen doch alle davon aus, dass das eine ungeheuer wichtige Arbeit ist.

Vizepräsidentin Claudia Roth: Herr Dr. Krings.

Dr. Günter Krings, Parl. Staatssekretär beim Bundesminister des Innern: Vielen Dank. – Herr Ströbele, ich habe ja bereits ausgeführt, dass es sich nicht um eine Einzelperson handelt, sondern dass mehrere Unternehmen beteiligt sind. Der Bund hat auch hier Fördermittel gegeben. Wir haben in dem Zeitraum von 2004 bis 2014 insgesamt knapp 630 000 Euro inklusive Mehrwertsteuer in dieses Projekt investiert. Es gibt noch eine Reihe anderer Projekte. Wir haben im Gesamtetat, glaube ich, etwa 15 Millionen Euro als Verpflichtungsermächtigungen für diesen Bereich der Entwicklungsvorhaben des BSI. Es gehört also zu den Kernaufgaben des BSI, solche Förderungen vorzunehmen. Auch dieses Projekt hat in nennenswertem Umfang Fördergelder bekommen.

Noch einmal: Der Open-Source-Gedanke ist, dass auch von anderer Seite gefördert wird. In Ihrer Fraktion gibt es wahrscheinlich noch größere Enthusiasten für die Open-Source-Bewegung, als ich es bin. Insofern ist es ganz normal, dass der Staat die Finanzierung nicht komplett übernimmt, dass er diese Person nicht in einem Beamtenverhältnis beschäftigt, sondern den Open-Source-Gedanken mit Beauftragung, mit Geldern fördert. Das ist in der eben genannten Größenordnung erfolgt. Unter anderem dieser Beitrag des Bundes zu dem Projekt hat zu erheblichen Download-Zahlen dieses Programms von etwa 30 000 Downloads pro Woche geführt. Die Zahl der Downloads ist übrigens seit der Snowden-Affäre gestiegen.

Hans-Christian Ströbele (BÜNDNIS 90/DIE GRÜNEN): Ja. Ich habe noch eine weitere Frage, Frau Präsidentin, wenn Sie gestatten.

Vizepräsidentin Claudia Roth: Ich gestatte.

Hans-Christian Ströbele (BÜNDNIS 90/DIE GRÜNEN): Können Sie denn Zahlen nennen, wie viel von den einigen Hundertausend Euro, die Sie genannt haben, im Rahmen dieser Förderung an GnuPG gegangen sind, konkret an diese Person bzw. seinen Helfer, und wie viel an die anderen Firmen oder die anderen Abteilungen? Ich stimme ja mit Ihnen völlig überein, dass es das Falscheste wäre, daraus eine Beamtenbeauftragung zu machen. Das soll möglichst unabhängig sein, weil nur dann für den Bürger etwas Vernünftiges dabei herauskommen kann. Dies denke ich, nicht weil ich grundsätzlich Bedenken gegen Beamtenarbeit habe, sondern weil es in diesem Falle das Falscheste wäre, was man machen könnte.

Vizepräsidentin Claudia Roth: Herr Dr. Krings.

Dr. Günter Krings, Parl. Staatssekretär beim Bundesminister des Innern: Ich lasse das einmal unkommentiert. Ich glaube, dass es für alles sinnvolle Lösungen gibt. Das BSI macht eine hervorragende Arbeit, übrigens mit Beamten, die wichtig und bei unserer Informationssicherheit nicht mehr wegzudenken ist. Aber es gibt bei der Entwicklung von Software, gerade mit offenem Quellcode, bestimmte Punkte, bei denen in der Tat – da stimme ich Ihnen vollkommen zu; ich habe es eben gesagt – dieses Entwickeln aus der Open-Source-Community einige Vorteile bietet. Deshalb will ich es noch einmal etwas deutlicher machen – ich neige auch dazu, etwas zu schnell zu sprechen –:GnuPG, also die Software, die Sie genannt haben, ist Teil einer umfassenderen Lösung, die sich Gpg4win nennt. Im Hinblick auf diese umfassendere Lösung, von der GnuPG ein Teil ist, haben wir seitens des Bundes bzw. durch das BSI im Zeitraum von 2004 bis 2014 zur Entwicklung und Weiterentwicklung der Software insgesamt 630 000 Euro inklusive Mehrwertsteuer ausgegeben.

21 Ergänzungen

  1. EU und BRD geben hunderte Milliarden für Wirtschaftssubventionen aus, aber verschlüsselung möchte man nicht fördern weil es OpenSource ist. Aber für Großkonzern Subventionen und Bankenrettungen sind natürlich immer Milliardenbeträge verfügbar.

    Da sieht man mal wie heuchlerisch SPD/CDU so drauf sind.

  2. Ich sehe da in den Videos kein Dialog, sondern ein Monolog von der Frau Roth. Falsches Video verlinkt?

  3. Antwort: Das Projekt wurde mit 630.000 Tausend Euro gefördert.
    Frage: Wie viel von diesem Geld ging an das Teil Projekt GnuPG?
    Antwort: Das Gesamtprojekt, von dem GnuPG ein Teil ist, wurde mit 630.000 Euro gefördert.

    Yoa, also Werner hat gar nichts bekommen. Danke für die Info.

    Wie kommen Leute, die eine einfache Frage nicht verstehen und beantworten können, auf solche Positionen. Behindertenförderung finde ich großartig, aber Analphabetismus ist etwas, was man mit Bildung lösen kann.

    1. Naja, Werner Koch steckt immerhin hinter dem genannten Unternehmen g10 Code.

      Gleichzeitig scheint er aber auch GnuPG praktisch allein weiter zu entwickeln (siehe git commit log), und dafür gibt’s aus Steuergeldern wohl nichts.

  4. „Behindertenförderung finde ich großartig, aber Analphabetismus ist etwas, was man mit Bildung lösen kann.“
    ymmd

  5. Besonders interessant finde ich auch, dass die angeblich „umfassendere“, allerdings nur auf eine Plattform beschränkte Lösung gpg4win deutlich unterstützt wird, die plattformunabhängige Grundlage dafür aber anscheinend als weniger fördernswert angesehen wird.

  6. Krass. Ich bin fassungslos. Gnupg hat so wenige Mittel?! Mir steht die Kinnlade offen.
    Das müssen wir ändern.

    Ich fang dann mal an.

    Laut website gab es dieses Jahr 6214€ Spenden.
    Machen wir 10000€ draus. Da fehlt nicht viel. Jeder ein bißchen.

    Und los!

  7. Dieses rumgeeiere ist doch nur Ablenkung. Der eigentliche Punkt ist, das der Staat niemals seinen Bürgern ein Kommunikationsmittel zur Verfügung stellen (oder ein Solches fördern) wird, bei dem er nicht mithören kann. DeMail lässt grüssen…

  8. „GnuPG, also die Software, die Sie genannt haben, ist Teil einer umfassenderen Lösung, die sich Gpg4win nennt. Im Hinblick auf diese umfassendere Lösung, von der GnuPG ein Teil ist, haben wir seitens des Bundes bzw. durch das BSI im Zeitraum von 2004 bis 2014 zur Entwicklung und Weiterentwicklung der Software insgesamt 630 000 Euro inklusive Mehrwertsteuer ausgegeben.“

    Vielleicht verstehen ich hier etwas falsch,
    aber kann es sein, dass die die gesamten 630k komplett in Gpg4win gesteckt haben?

    Das wäre wirklich Unverantwortlich.

    1. Nein, damit sind auch Verbesserungen für andere Plattformen, sozusagen als Kollateralnutzen mit abgefallen. Bis auf GpgOL und GpgEX ist Gpg4win ziemlich Platform unabhängig. Das Gpg4win Projekt/Konsortium hat 542000 Euro für Gpg4win erhalten (woher die Differenz kommt, haben wir noch nicht ermittelt). Es war übrigens im November 2010 abgeschlossen und nicht erst 2014.

      1. Ah der Werner, danke für die Anwort.

        Verstehe das so, dass das BSI damals keine Ahnung hatte, was es alles „kollateral“ mitfördern würde? Sehr schön. Nehme mal an, dass ging dann in Richtung GnuPG? Oder werdet ihr dort noch immer unterstüzt? Vielleicht kannst Du da irgendeinen Hinweis geben wo die Förderung bis 2010 gelandet ist, mich würde das interessieren.

        Ob 2004 Geld für eine Linux basierte Lösung geflossen wäre, wer weiss – nun sind die ja alle schon versorgt.
        Aber wenn der Regierung/BSI freie Software wichtig wäre, dann hätten die bereits vor langem damit angefangen richtig dafür zu werben, erst recht nach dem SommerGAU ’13 … Gpg4win ist für uns alle halt Neuland ;-)

      2. gallo: Ja ich könnte jetzt eine längeren Reply schreiben in dem ich das erlautere. Ich glaube es macht da aber mehr Sinn eine Artikel zu zu schreiben. Allerdings waren hier immer 2 oder 3 Firmen beteiligt. Daher sollte ich die Veröffentlichung von Projektinterna besser vorher mit ihnen abstimmen.

      3. Ja bitte, ein Artikel wäre gut.
        Eine lose Mischung aus Transparenzbericht, staatlicher Zusammenarbeit, Funding, Reputation, bragging über Anwenderzahl und zukünftiger Reichweite/Distribution…okayokay, das war jetzt vielleicht doch zuviel.
        Darum, falls so ein Artikel zum Werdegang und Vision zustande kommen sollte, egal ob verbloggt, in der Zeitung oder sonstwie Veröffentlicht, würde ich mich sehr freuen wenn ein Link oder der Artikel selber bei der Netzpolitik eingehen würde damit auch ich das mitbekomme.
        Danke & viel Erfolg

      4. @Gallo Umgekehrt, die Linux Projekte der Verwaltungen stammen gerade aus dieser Zeit, siehe Behördendesktop ERPOSS, Projekt Sphinx, gpg aegypten smime x.500 Unterstützung…
        archive.org/web/20071231185640/http://www.bsi.bund.de/produkte/erposs/index.htm

        @Werner, warum wurde das staatlicherseits eigentlich eingestellt oder abgeschottet, zu wirkungsam, um es dem zahlenden Bürger zu überlassen? Welche Interessen haben da zur Einstellung geführt? :)

  9. „Im Hinblick auf diese umfassendere Lösung, von der GnuPG ein Teil ist, haben wir seitens des Bundes bzw. durch das BSI im Zeitraum von 2004 bis 2014 zur Entwicklung und Weiterentwicklung der Software insgesamt 630 000 Euro inklusive Mehrwertsteuer ausgegeben.“

    Wow, ihr Helden!

    Innerhalb von 10 Jahren 630000€ für OSS ausgegeben, die jedem etwas bringt.
    Aber innerhalb eines Wimpernschlages Millionen € für CSS ausgeben mit der man Bürger überwachen kann…

  10. Die Sache hat aber einen Haken:

    „Eine der wichtigsten Pflichten eines Staates ist es, seine Bürger zu schützen. “

    Das ist falsch, weil es kein Recht auf Sicherheit gibt. Daraus folgt auch, dass es falsch ist, vom Staat eine Förderung für eine Software zu verlangen, deren Zweck es unter anderem ist, die Bürger VOR dem Staat zu schützen.

    Unser Staat hat vor allem ein Interesse: uns so umfassend wie nur irgend möglich zu überwachen. Wieso um alles in der Welt sollte man sich ausgerechnet an eben diesen Staat wenden, um Hilfe beim Schutz vor Überwachung zu erhalten? Das ist doch widersinnig.

    Gruss,
    Tom

  11. What a mess. Bei einem so immens wichtigen Projekt wie GnuPG arbeitet Werner als Einzelkämpfer mit einem lächerlichen Budget. Aber die Dummbatzigkeit des Innenministeriums ist nicht allein für das Dilemma verantwortlich:
    Red Hat, Canonical und viele mehr setzen GnuPG zur Integritätsüberprüfung mit ihren Paketmanagern ein – also für eine extrem sicherheitsrelevante Aufgabe. Da wäre es eigentlich eine Selbstverständlichkeit, einen Entwickler auf Kosten des Hauses für GnuPG abzustellen oder wenigstens ein paar Tausender zu spenden.

  12. Wie sieht es denn jetzt aus?, wo quasi die gesamte IT des Bundestags komprimiert ist? Wird jetzt nur eine neue Version von Outlook installiert oder endlich eine sichere Lösung ohne NSA-Backdoor und mit konsequenter Mail-Verschlüsselung eingeführt…? IFG?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.