Verschlüsselungs-Standort Nr. 1Wie der Bundestag die Nutzung von OpenPGP ein Jahr lang verhindert hat

Der Deutsche Bundestag tut sich schwer damit, die Verschlüsselung und Signatur von E-Mails per OpenPGP-Standard zu ermöglichen. Eine eigenes Gremium der Abgeordneten hat die OpenPGP-Nutzung im letzten Jahr effektiv verhindert. Die Gründe beinhalten Auseinandersetzungen um Freie Software, Lizenzen, Kompatibilität und jede Menge Bürokratie.

Gestern haben wir berichtet, wie mühselig es ist, mit Bundestags-Abgeordneten verschlüsselte und/oder signierte E-Mails auszutauschen. Konkreter Anlass war, dass dutzende S/MIME-Zertifikate von Abgeordneten abgelaufen waren, bis wir die Bundestags-IT darauf hingewiesen haben. Immerhin wird der Standard S/MIME Bundestags-intern genutzt. Seit Snowden ist etwa jede fünfte Mail zwischen Bundestags-Abgeordneten und ihren Mitarbeiter/innen signiert und/oder verschlüsselt.

OpenPGP: Offener Standard, Offene Implementierung

Wir nutzen lieber den alternativen Standard OpenPGP (nicht PGP!), untereinander und auch mit Bundestagsabgeordneten. Bereits in der FAZ-Story von letztem Jahr hieß es:

Auch der netzpolitische Sprecher der Grünen, Konstantin von Notz, verschlüsselt seine E-Mails regelmäßig. Vor Jahren hat er sich in der IuK-Kommission, einem Selbstverwaltungsgremium des Bundestages, für das PGP-Verfahren eingesetzt. Die Frage, welche Programme in den Bundestagsbüros laufen, sei „eigentlich ein ewiges Thema“, so Notz. Erreicht haben die Grünen, dass eine Verschlüsselungssoftware auf PGP-Basis seit 2011 zwar nicht zur Standardausstattung gehört, aber immerhin angefordert werden kann. Zuständig ist die technische Abteilung der Bundestagsverwaltung, die die Hoheit über mehr als fünftausend Computer in den Büros des Bundestages hat.

IuK-Kommission: Gremium des Ältestenrates

Bekannt wurde die IuK-Kommission vor allem durch die Bundestags-interne Vorratsdatenspeicherung in der Edathy-Affäre. Darüber hinaus widmet sich dieses Gremium des Ältestenrates laut Eigenauskunft „aller zur Wahrung der Informations- und Beteiligungsrechte des Personalrates relevanten Fragen des Einsatzes von [Informations- und Kommunikationstechnik]“. Dazu erstellt sie unter anderem eine Liste an Software, die Abgeordnete und ihre Mitarbeiter/innen verwenden dürfen. Wenig überraschend stehen auf dieser Liste vor allem proprietäre Programme großer Firmen wie Microsoft.

Will man andere oder zusätzliche Software verwenden, kann diese nicht ohne weiteres installiert werden. Das kann nur die Bundestags-IT. Stattdessen muss die gewünschte Software in der IuK-Kommission beantragt, von der Bundestags-IT geprüft, vom BSI geprüft und schließlich von der IuK-Kommission auf die Software-Whitelist gesetzt werden. Erst dann kann man bei der Bundestags-IT beantragen, die neu erlaubte Software auf seinen Rechnern installiert zu bekommen. Das klingt nicht nur bürokratisch, das ist auch in der Praxis mühsam und langwierig.

Thunderbird: Der kurze Sommer der Freien Software

Konstantin von Notz hat laut Eigenauskunft in der letzten Legislaturperiode ganze 15 Monate dafür gekämpft, neben Microsoft Outlook auch mit Mozilla Thunderbird und einem OpenPGP-Plugin mailen zu können. Tatsächlich konnten wir dann eine ganze Zeit lang mit Abgeordneten und Mitarbeiter/innen per OpenPGP-signierten und-verschlüsselten Mails kommunizieren. Also, mit den Personen, die sich die zusätzliche Software installieren lassen haben.

Aber irgendwann am Ende der letzten Legislaturperiode ist Thunderbird und andere Freie Software wieder von der Liste runter geflogen, womit beinahe ausschließlich Microsoft-Produkte übrig blieben. Zum Start der neuen Legislatur gab es daher für alle wieder nur noch Outlook – ohne Verschlüsselung. Kurz nach den Enthüllungen über die Totalüberwachung der Digitalen Welt hat der Deutsche Bundestag damit die E-Mail-Verschlüsselung mit OpenPGP wieder abgeschafft.

Microsoft: Wenn schon Outlook, dann OpenPGP

Einen offiziellen Grund dafür konnten wir leider bisher nicht erfahren. Gewöhnlich gut informierte Kreise berichten uns, dass es die üblichen Ausreden sind, wie sie auch in München angewendet werden: „zu viel Aufwand, zu viel Schulung, zu viel Support….“. Und die meisten Abgeordneten in der Kommission sind, um das mal vorsichtig auszudrücken, nicht gerade Informatiker.

Mehrere Abgeordnete verschiedener Fraktionen haben sich daraufhin erneut beschwert. Wenn schon Outlook, dann will man wenigstens damit auch OpenPGP nutzen. Immerhin gibt es verschiedene Plugins dafür, zum Beispiel Gpg4win. Das wurde (mehrere Monate lang) geprüft – und abgelehnt. Es sei nicht kompatibel mit dem hausinternen System „Parlakom“ (Parlamentarische Kommunikation) und führe zu Abstürzen. Eine Anpassung durch den Anbieter in Kooperation mit dem BSI wäre durchaus möglich, müsste aber formal ausgeschrieben und finanziert werden.

Passierschein A 38: Die Wege der Bürokratie

Also neue Beschwerde, neuer Anlauf, neuer Passierschein A 38: Diesmal mit gpg4o. Wieder ein paar Monate später: Es geht! Für nur leicht über 150 Euro pro Rechner. Für alle Mitarbeiter/innen und Arbeitsplätze in einem Büro also leicht tausend Euro pro Abgeordnetem. Falls eine nennenswerte Anzahl von Abgeordneten das tatsächlich annähme, was eigentlich zu erhoffen wäre, würde das viel teurer werden als eine einmalige Anpassung von Gpg4win. Nach weiteren Verhandlungen kann jetzt jede Fraktion drei Büros benennen, denen gpg4o kostenlos zur Verfügung gestellt wird, bis Gpg4win angepasst ist (was noch eine ganze Zeit dauern wird).

Aber immerhin können jetzt, fast ein Jahr nach der Wahl, ein Dutzend Bundestags-Büros wieder kostenlos OpenPGP verwenden. Und mit zweien haben wir das seit letzter Woche auch schon getan!

Digitale Agenda: Verschlüsselungs-Standort Nr. 1?

Doch auch damit gibt es noch Probleme. So dürfen die Büros aus dem Bundestags-Netz beispielsweise nicht auf die Schlüssel-Server zugreifen. Der Grund: irgendwas mit Sicherheit. Die Schlüsselübermittlung muss also händisch passieren, was den empfohlenen Best Practices widerspricht.

All dies zeigt: Es ist noch ein weiter Weg bis zum „Verschlüsselungs-Standort Nr. 1 auf der Welt“, wie ihn die Bundesregierung in der Digitalen Agenda versprochen hat.

19 Ergänzungen

  1. Kein Zugriff auf Schlüsselserver?? Sind die namentlich gesperrt (andere nutzen), oder wie sperren die das? AFAIK kann man auch per http zugreifen etc….

    1. ich habe bisher mit dem Landesbeauftragten für Datenschutz & Informationsfreiheit sowie Herrn Ströbele via E-Mail verschlüsselt kommuniziert. (gnupg)
      Bei beiden hatte ich das Problem, dass Windows unter Outlook eine .dat erstellt hat und ein lesen nicht möglich war.
      Keyserver kommunizieren via ldap, hkps und http.

      1. bei den ersten ging das ganze dann per Brief, beim zweiten dann, nachdem der Client gewechselt wurde.

      2. @blubb: winmail.dat ist eine rtf-Email als ms-tnef-Anhang.
        Für Thunderbird, Windows-GUI und Linux gibt’s Konverter/Plugins.

        Am sinnvollsten wäre es jedoch wenn der Betreiber des Exchange-Servers einstellen würde, dass die Emails von RTF auf HTML gewandelt werden, bevor sie “das Unternehmen“ verlassen.
        Aber dann wäre man ja wieder “kompatibel“ zum Rest der Welt und müsste nicht zwingend Outlook einsetzen. :-P

        Grüße

  2. Ich vermute mal das die Ablehnung freier Software durch die deutschen politik Bonzen ideologische Gründe hat.

    Zum einen ist ja bekannt das Microsoft mit dem NSA kooperiert, wenn man also nur Microsoft Software zulässt kann man also sicherstellen das auch alle Bundestagsabgeordneten leicht und kostengünstig überwacht werden können.
    Zum anderen ist Freie Software ja auch ein real existierendes Beispiel dafür das es auch technologische Entwicklungen jenseits des Konzern Kapitalismus gibt, und es wäre ja durchaus denkbar das man versucht die Abgeordneten genau davon fernzuhalten, damit sie erst gar nicht wissen das es da noch ein „Neuland“ jenseits des Konzern Monopolismus geben könnte.

    Sieht man ja auch bei Behörden, z.B. Finanzamt wo man Steuererklärungen und so weiter nicht mit Linux einreichen kann. Es scheint das es da große ideologische Abneigungen gegenüber nicht kommerzieller Software gibt. Was ja auch kein wunder ist, freie Software ist schließlich nicht wirklich Systemkonform. Ist weder das Produkt großer Konzerne noch das Staatlicher Planung. Passt also nicht so recht in das Bild einer Gesellschaft in dem sich das Kapital und der Staat das uneingeschränkte Machtmonopol teilen.

    Zumal Microsoft ja auch ein Garant für die Machtstellung der USA im Internet ist, solange vor allem mit US Software und Hardware gearbeitet wird bedeutet das Geld und Clandestine Macht für die USA und deren Konzerne. Ein Abweichen von US Technologiestandards wäre daher für einen Vasalenstaat des digitalen US Imperialismus wie Deutschland einer ist kaum denkbar.

    Freie Software zeigt auf das es eine Welt jenseits von Staatsmonopolismus und Kapitalismus gibt, und das kann folgerichtig von den kräften des Systems nur als Infragestellung ihrer eigenen Ideologie aufgefasst werden. Die Ablehnung freier Software durch die Bundesdeutschen Behörden ist somit nur konsequent. Denn hier geht es nicht einfach nur um Software sondern um ganz handfeste Machtstrategische Aspekte die durch freie Software infrage gestellt werden würden.

    1. Oh abgründige, verkehrte Welt … nicht proprietäre Software ist in öffentlichen Institutionen tabu, sondern freie Software? Das hat den Namen Republik nicht verdient, das ist eine Reprivat. Selbst wenn die Herren aus Redmond der BRD Quellcode-Einblick gewähren (wem genau, irgendwelchen Beamten die davon null Ahnung haben?), gibt es dafür keine Entschuldigung. Keine.

    1. Eigentlich coole Idee. Setzt nur vorraus, dass die USB Ports nicht gesperrt sind und man als Mitarbeiter etwas Ahnung von Technik hat…

    2. Falls du etwas wirklich ernsthaftes für unterwegs suchst, schau dir lieber Tails an. Das ist ein komplettes Betriebssystem (GNU/Linux), das man von DVD oder USB-Stick booten kann und das auch keine Spuren auf dem Rechner hinterlässt. Der Internet-Zugang wird dabei grundsätzlich durch Tor geleitet.
      https://tails.boum.org/index.de.html

      1. Es geht darum, in einer vorhandenen Infrastruktur verschlüsselte Mails zu schreiben. Das ermöglicht portable Thunderbird ohne in die Infrastruktur einzugreifen. USB ist nicht zwingend notwendig, man kann das auch lokal ohne Adminrechte installieren. Runterladen und auspacken – fertig.

  3. Blah. Ein 4096bit pgp key ist im moment sicher. Deswegen scheissen sich „die Kreise“ auch ganz gewaltig ein. Keiner hindert uns dran, die nächste Revilution zu planen. Lasst uns das tun.

  4. Nutzten die gutbezahlten und wohlsituierten Bundestags-Abgeordneten nicht eh alle OS X? Gibt es da zahlen? Würde mich brennend interessieren. Die sitzen da doch nicht mit der Windows-Kiste und nem Samsung Smartphone – oder doch?

  5. @blubb, 28. Aug 2014 @ 20:43:

    Ich glaube, wenn man in Outlook die Option (keie Ahnung mehr wie die richtig heist) „eMail in RTF-Format“ ausschaltet, wird dieses Format nicht mehr als „irgendwas.dat“ über das Standard Protokoll getunnelt.

    1. Tatsächlich gibt es mehrere Orte, an denen TNEF (Winmail.dat) deaktiviert werden kann und sollte.
      Da sich Outlook gerne dummstellt und auch etwas vom Exchange Server getrietzt wird.

      Ich empfehle der Bundestags-IT die Lektüre folgender Links:

      * http://support.microsoft.com/kb/958012/de
      * http://support.microsoft.com/kb/290809/de
      * http://www.cool-it.at/blog/November-2012/Immer-wieder-Winmail-dat
      * https://julianscorner.com/wiki/windows/outlook/disable_tnef

      Eine Suche nach „Disable TNEF“ liefert noch weitere Ansatzpunkte.

  6. @Andre
    Irgendwie hat sich ein Fehler in deinen Artikel geschlichen, denn gpg4o kostet laut Website 93,99 EUR incl. USt und nicht „Für nur leicht über 150 Euro pro Rechner“ zumal es dazu sicher auch noch Mengenrabatt geben würde (wenn der Umfang der Bestellung entsprechend wäre).

    1. Mal davon abgesehen, dass gpg4o nicht so teuer ist wie in dem Artikel behauptet, ist es zusätzlich auch noch so, dass gpg4o pro natürliche Person lizensiert wird und nicht pro Rechner!
      Da wurde der im Artikel befragte/sich äußernde Abgeordnete wohl nur ungenügend informiert…

  7. von dem haben was diese Programme auf technischer Ebene tun und nein das
    müssen sie auch nicht das ist nicht deren Job. Die Probleme beim Einsatz von
    Kryptographie die in Fachkreisen debattiert werden sind nicht die Probleme
    die den praktischen Einsatz verhindern.

    Ein AMATEUR muss das bedienen können sonst wird sich Kryptographie niemals
    flächig durchsetzen, leider. Mal ehrlich wer von euch kann ein Auto fahren
    (benutzen) und wer ist in der Lage den Motor bis ins letzte Bauelement zu
    zerlegen und zusammen zu bauen? (Nur zur Veranschaulichung des Problems)

    Wir haben bei einem Ministerium im vorigen Jahr eine kleinere Anzahl Rechner
    umgestellt (knapp 2000) und ja man arbeitet dort zum größten Teil mit Windows)
    dennoch sind die entstehenden Kosten enorm, und wenn hier nur die Lizenzkosten
    betrachtet werden ist das zu einseitig.

    prüfen der neuen Software 4 Wochen (und das ist sehr positiv geschätzt, idR
    sind da Monate im Spiel, und die Kriterien und Verfahren sind nicht zum Spass
    so) Stillstand halber Tag (reden wir hier mal nur von der Umstellung von
    Clients dazu die Folgekosten) Schulungsaufwand 4 Stunden, (niemand nutzt was
    wenn er erstens nicht weis wie das geht, und zweitens warum er das tun sollte,
    der Mensch neigt zur Bequemlichkeit) Nachbearbeitung/erhöhtes Supportaufkommen
    20 Minuten per Client und ganz nebenbei, müssen die ganzen Änderungen bei den
    Clients auch in ihren Auswirkungen aufs gesamte Netz beachtet werden dazu dann
    die Kosten für die Leute etc… machts nicht an den Lizenzen weg, die sind
    so ein kleiner Bruchteil.. der kackt sich weg

    Microsoft wird nur aus einem Grund eingesetzt, weils diesen Mist aus einer
    Hand gibt, die Leute dran gewöhnt sind,und ja man kann mit Linux viel machen,
    nur fehlt es da an der Bequemlichkeit, und $$ nur um dieDebatte vorweg zu nehmen.
    Möchte jemand von euch einem Beamten 50+ der nie etwas anderes als MS kennen-
    gelernt hat, und auch das nur oberflächlich jetzt für seine Arbeit mit nem
    vernünftigen System fit machen wenn der das garnicht will? Der will nur eins,
    da bei abc klicken um das xyz zu tun.

    es gibt einen einzigen langen und schweren Weg um zu mehr Sicherheit zu gelangen
    Weniger dafür agitieren und mehr tun! Es braucht mehr Leute die Anwendungen
    entwickeln die einfach leicht zu bedienen sind und sicher. Idealfalls sogar
    offen und nicht nur Linux ODER Windows, ihr könnt das? Haut rein! Es braucht
    Leute die Anwendern erklären warum und die man damit umgeht, idealerweise nicht
    in Fachchinesisch, wenn ihr das könnt.. haut rein! Es braucht Leute die die ersten
    beiden Gruppen unterstützen, ihr habt ne Idee wie … haut rein!

    und die Links da oben @almeryda die sind auch in der Bundestagsit durchaus bekannt ;-)

  8. *snip* erste Zeile nachliefer:

    Tatsache ist das die Nutzer in den Ministerien(und anderswo) keine Ahnung

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.