Datenschutz

IT-Sicherheitsrichtlinie des Bundesinnenministeriums: Keine Kettenmails! Und zentrale Verschlüsselung!

Geplante Cybersicherheitsstrategie für Deutschland – noch will sich die Regierung nicht äußern.

Über eine Informationsfreiheitsanfrage zu den Blackberry-Kryptophones haben wir erfahren, dass es im Bundesinnenministerium (BMI) mit Anweisungen zur verschlüsselten Kommunikation ziemlich mau aussieht. Aber wir wollten wissen, wie mau genau und haben die Hausanordnung zum Einsatz von Informationstechnik im BMI per IFG-Anfrage angefordert und erhalten.


netzpolitik.org - ermöglicht durch Dich.

Zurück in die 90er

Bei ersten Durchlesen fällt auf: Das Dokument liest sich an manchen Stellen wie ein Relikt aus den 90ern. „E-Mail ist elektronische Post“, wird an einer Stelle erklärt, „das personenbezogene Postfach ist täglich mehrfach auf neue Posteingänge zu überprüfen“, an einer anderen. Auch wird dem geneigten Leser erklärt, wie man E-Mails adressieren kann und was „An“, „Cc“ und „Bcc“ bedeuten. Darüberhinaus wird der klassische Internet-Ausdrucker aufgefordert, dass Dokumente „möglichst am Bildschirm zu lesen“ sind. Beinahe charmant wirkt auch Absatz 6.2.8:

Untersagung von Kettenbriefen

Als Kettenbriefe werden insbesondere E-Mails bezeichnet, die die Aufforderung enthalten, der Empfänger solle sie an eine Reihe weiterer Empfänger weiterleiten. Der Versand oder die Weiterleitung von Kettenbriefen ist untersagt.

Wer denkt dabei nicht an die Zeiten von „Durchlesen und Weiterleiten!!! Wichtig!!! Dies ist kein Scherz!!1elf“ und schlechten, pseudowitzigen Power-Point-Präsentationen, die in Büros hin- und hergeschickt wurden? Im Innenministerium sind diese Zeiten vorbei.

IT-Sicherheit mit sechs Zeichen

Weniger lustig wird es bei den IT-Sicherheitsvorkehrungen. „Das Passwort muss eine Länge von mindestens sechs Zeichen haben“, heißt es. Doch schon 2011 gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Pressemitteilung heraus, die Passwörter mit mindestens acht Zeichen empfahl, die „nicht im Wörterbuch stehen“ und „neben Buchstaben […] auch Ziffern und Sonderzeichen enthalten“ sollen. Eigentlich sollte doch das BMI ein Interesse daran haben, die Mindestempfehlung der ihm selbst unterstellten Behörde umzusetzen. Könnte man meinen.

Nach „starken Sicherheitsvorkehrungen“ hört es sich jedoch erst einmal an, wenn vom „Umgang mit beweglichen Datenträgern“ geredet wird – also allem von Disketten bis USB-Sticks. Hier wird davon geredet, dass sowohl optische Laufwerke als auch USB-Ports standardmäßig deaktiviert seien und zum Transport von Daten personalisierte USB-Sticks mit „biometrischem Zugangsschutz (Fingerabdruckscan)“ beantragt werden müssten. Schön und gut – von der oftmals nachgewiesenen Unsicherheit biometrischer Zugangssysteme mal abgesehen –, doch die Regel erinnert unschön an eine parallele Regelung bei der Polizei Niedersachsen. Wir haben vor einiger Zeit durch interne Quellen erfahren, dass dort die Sperrung von USB-Ports und CD-Laufwerken von den Mitarbeitern dadurch umgangen wird, indem sie schlichtweg mit anderen Rechnern arbeiten, die keine Einschränkungen aufweisen und von der lästigen internen Sicherheitsarchitektur kaum befleckt sein dürften.

Verschlüsselung durch die Virtuelle Poststelle

Zu VS-Daten, also Verschlusssachen, Personalaktendaten oder „besonderen Arten“ personenbezogener Daten, gibt es zusätzliche Sicherheitshinweise. Diese dürfen zum Beispiel nicht auf Mobiltelefonen gespeichert werden, die ja „systembedingt nur über schwache Sicherheitsmechanismen“ verfügen. Ebenso dürfen sie nicht per SMS [sic] versandt werden; mit speziellen Kryptohandys dürfen zumindest Daten bis zum Verschlussgrad VS-NfD – nur für den Dienstgebrauch – übermittelt werden.

Auch das sorglose Hin- und Herschicken per Mail ist untersagt. Intern dürfen sie zwar „ohne zusätzliche Sicherungsmaßnahmen“ versandt werden, aber sie müssen, damit man gleich weiß, welche Mails interessant sind, mit dem Hinweis „VS-NfD“ im Betreff gekennzeichnet werden. Auch die Anweisung, dass der Inhalt nur im Anhang – keine Rede von verschlüsseltem Anhang – gesendet werden darf, ist hinsichtlich der Sicherheitssteigerung zumindest fragwürdig.

Schickt man eine vertrauliche Mail nach außen, wird es kompliziert. Eine Bereitstellung von Ende-zu-Ende-Mailverschlüsselung wäre wohl sinnvoll, immerhin hat das BMI die Entwicklung von „frei verfügbarer Verschlüsselungssoftware für jedermann“ auf Basis von GnuPG gefördert. Aber davon keine Spur, es wird ein bürokratischer Prozess in Gang gesetzt:

Zum Schutz der Vertraulichkeit des elektronischen Schriftverkehrs ist besonders bei der Kommunikation im Behördenumfeld der Einsatz der sogenannten Virtuellen Poststelle, die an zentraler Stelle die Ver- und Entschlüsselung des externen E-Mail-Verkehrs automatisiert vornehmen kann, zu empfehlen.

Eine zentrale Stelle, die ver- und entschlüsselt? Erinnert ein wenig an den Entwurf für De-Mail, bei dem auch der De-Mail-Server für den Schlüssel verantwortlich ist und damit echte Ende-zu-Ende-Verschlüsselung ad Absurdum geführt wird. Aber an diesem Punkt hat die „Arbeitsgemeinschaft De-Mail“ mittlerweile eingelenkt und will ein Browser-Plugin für PGP-Verschlüsselung anbieten.

Auch von verschlüsselten https-Verbindungen scheint man im BMI nicht viel zu halten. Die werden nämlich „zur Prüfung der übertragenen Daten auf einen eventuell enthaltenen Schadcode“ vor der Firewall des BMI entschlüsselt und wiederverschlüsselt. Das BMI nennt es SSL-Proxy, man könnte es aber auch als per Dekret vertrauenswürdigen „Man-in-the-middle“ bezeichnen. Es wird jedoch zugesichert, dass keine weiteren Protokolldateien anfallen würden, denn sonst könnte man mit Leichtigkeit Online-Passwörter oder sonstige sensible Daten der Mitarbeiter abgreifen.

VDS im Kleinen

Keine weiteren Protokolldaten heißt aber auch nur, dass es reguläre Protokolldaten gibt, die gespeichert werden, und zwar im Falle der regulären Internetnutzung maximal sechs Monate und im Fall von E-Mail- und Fax-Verkehr 90 Tage. Das betrifft Verbindungsdaten, Datum/Uhrzeit, Absender und Empfänger sowie das übertragene Datenvolumen.

Erinnert an unsere Recherchen zur Bundestags-VDS, nur dass sich dort in der gut verborgenen Dienstvereinbarung zur „Nutzung elektronischer Medien“ wenigstens noch ein Begründungsversuch für die Notwendigkeit der Speicherung finden ließ.

Was am Rande auch noch sauer aufstößt, ist die Windows-Zentriertheit im Leitfaden. Vorlagen im „Textverarbeitungsprogramm Word“ sind zu nutzen, als Beispielformate sind „MS-Word“ und „MS-Excel“ aufgeführt. Open Source wird nicht mit einem einzigen Wort erwähnt.

Fazit: Unbefriedigend. Besonders zu kritisieren ist neben der zu vermissenden Zeitgemäßheit die Zwischenschaltung zentraler Ver- und Entschlüsselungsinstanzen, die den Mitarbeitern in vielen Fällen jegliche Möglichkeit zu echter Ende-zu-Ende- und Transport-Verschlüsselung verwehrt.

Weitersagen und Unterstützen. Danke!
13 Kommentare
    1. Nein, das BMI ist Teil der Regierung. Die MdB sind Teile des Parlamentes. Die sind beide strikt voneinander getrennt. Bis auf die Doppelverdiener, die im Hauptberuf Abgeordneter sind und nebenbei noch ein bisschen als Minister oder Kanzler jobben und sich was dazu verdienen.

  1. Schlechter Artikel, hier wird auf Krampf versucht übliche Vorgehensweisen in Unternehmen und Behörden schlecht zu machen. Wenn netzpolitik ein Unternehmen wäre würde es ähnlich verfahren.

    Diese Anweisung sind für Beamte geschrieben die aus dem letzten Jahrhundert stammen und da sind grundlegende Hinweise wie „elektronische Post“, „An, CC, BCC“ mehr als gerechtfertigt. Wenn ihr in einem Amt arbeitet, dann macht die Notwendigkeit Sinn.

    Ach und wenn die Mitarbeiter andere Rechner nutzen um USB-Sperren zu umgehen geschieht das auf eigene Verantwortung. Wenn dann VS abfließen sind die fällig (Abmahnung).

    Was hat eine Email im Anhang unverschlüsselt intern weitersenden mit fragwürdiger Sicherheitssteigerung zutun?

    Und das https Anfragen von der Firewall aufgebrochen werden macht so ziemlich jedes Unternehmen! Man ist ja nicht dumm und holt sich darüber den Müll ins Haus. Wer glaubt das der Traffic auf der Arbeit nicht mitgelogged wird ist eh naiv!
    Der Nebensatz mit den Passwörtern ist auch sehr reißerisch. Welchem Mitarbeiter ist es erlaubt facebook privat während der Dienstzeit zu nutzen? Genau und wer dann sein Passwort eingibt verrät sich nämlich auch noch. Also was für Passwörter sollen da jetzt abgegriffen werden?

    Einzig die berechtigte Kritik an der zentralen virtuellen Poststelle ist nachvollziehbar. Den Rest hätte man sich sparen können!

    1. PS: Und wenn man den Mitarbeitern nicht vorgibt in welchen Dateiformaten sie speichern sollen gibt es ein heilloses Chaos zwischen den Behören und da fast überall Microsoft Produkte im Einsatz sind ist Word und Excel eben der Standard.
      Wieder die Open-Source-Heulnummer rauszuholen ist absolut überzogen und kurzsichtig gedacht.

      1. @chris: Sehr gut! Wenn jemand Kritik übt, dann einfach als Troll diffamieren und mundtot schlagen. Dann braucht mensch sich nicht weiter damit beschäftigen und suhlt sich in seiner eigenen Selbstgerechtigkeit.

        Ich gehe zwar mit der fatalistischen Haltung von Dominik nicht d’accord, fand den Artikel dennoch selbst krampfhaft reißerisch. Getreu dem Motto: Die alten Trottel, für die das Internet noch Neuland ist. Wir sind da ja viel bessere, weil modernere Menschen.

  2. Man kann ja froh sein, wenn die überhaupt eine Policy haben – es gibt bestimmt noch Behörden, die weniger Regelungen haben. Die Sicherheitsbeauftragten haben meist keinen großen Rückhalt in der Behörde. Und bis so eine Policy dann mal geändert/aktualisiert ist, muss die durch X „Mitzeichnungsrunden“, was allein drei Jahre dauert.
    Davon abgesehen, sehen die Policies z. B. bei den DAX-Konzernen auch nicht anders aus.

  3. Das mit dem Man-in-the-Middle-Proxy find ich ja besonders spannend. Wie wir zuletzt ja gut sehen konnten kann dabei ziemlich viel schiefgehen (Superfish / Privdog).

    Falls irgendjemand dazu näheres weis fände ich das sehr spannend.

  4. Naja etwas reißerisch ist der Artikel schon…
    Aber für das Jahr 2014 sind die Richtlinien dann doch etwas lasch. Also Paßworte mit sechs Zeichen sind nicht zeitgemäß. Ich würde bei einer Behörde mit zentraler IT auch die Standards erwarteten, die in deutschen Großunternehmen Gang und Gäbe sind. Dazu gehören Paßwort-Richtlinien mit:
    * mindestens acht Zeichen
    * Sonderzeichen
    * regelmäßig Änderungen von Paßwörtern
    * bei Paßwort Änderungen ungleich der letzten 3
    Das wichtigste ist aber, daß die Richtlinien auch durchgesetzt werden. Was per GroupPolicy problemlos möglich ist.
    Ich würde erwarten, daß es für jeden Mitarbeiter mit Computer auch ein persönliches PKI-Zertifikat gibt. Das geht auch mit Funktionspostfächern.
    Ich denke es gibt auch genug Emails, die nur für einen Adressaten persönlich bestimmt sind (PersA etc.). Die sollten im Sine des Datenschutzes verschlüsselt sein. Weiß jemand ob die Behörden eine PKI pflegen?
    Daß Unternehmen und Behörden SSL-Vebindungen aufbrechen und sich für ihre PKI einen „Zweitschlüssel“ beanspruchen ist verständlich. Soweit ich das beurteilen kann, sind sie was Emails betrifft sogar dazu verpflichtet. Der Mitarbeiter tritt schließlich im Namen der Behörde/des Unternehmens auf. Entsprechend ist dieser Schriftverkehr in vielen Fällen zu archivieren.

    Also Nachholbedarf gibt es bei den Behörden sicherlich. Die deutschen Amtsstuben sind ja nicht gerade für ihre Schnelligkeit und den Innovationsgeiste bekannt ;-)

    1. Es sind immer noch die Verwaltungshochschulen, die den langsamen Takt vorgeben. Diese Veranstaltung hier z.B. hätte man eigentlich schon vor mindestens einem Jahrzehnt machen müssen:

      16. Speyerer Demokratietagung
      Transparenz contra Geheimhaltung in Staat, Verwaltung und Wirtschaft
      http://www.dhv-speyer.de/VONARNIM/Tagungen/Aktuelle%20Tagung/Programm%202014.09.11.pdf

      Man merkt förmlich, wie der ungeliebte Datenschutz jetzt auf einmal als Schutzschild vor der Horrorvision des „transoarenten Staats“ herhalten muss. Ein Gegensatz, der eigentlich keiner ist, aber aus Abwehrmassnahmen willentlich konstruiert wird.

      Und wenn man nun wissen wollte, was nun genau auf dieser Tagung besprochen wurde, muss man warten, bis der (bestimmt teure) Tagungsband erscheint…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.