Wenn es um IT-Sicherheit im Europäischen Parlament geht, ist seit Beginn der NSA-Affäre nicht viel passiert. Das zeigt ein interner Zwischenbericht der Generaldirektion Innovation und technologische Unterstützung (ITEC), den wir an dieser Stelle veröffentlichen.
Der Ausschuss des EU-Parlaments für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) hat im Januar einen Folgebericht zu ihrem Abschlussbericht zum Überwachungsskandal herausgegeben, in dem deutlich die Unzufriedenheit mit den Aktionen geäußert wurde, die seit Beginn des NSA-Skandals von der EU unternommen wurden. Dieser Bericht bezieht sich auch auf das uns vorliegende Dokument:
IT-Sicherheit in EU-Institutionen
Paragraph 101 der Resolution bezieht sich auf IT-Sicherheit im EU-Parlament und der Entwicklung von Empfehlungen, die IT-Sicherheit in EU-Institutionen zu stärken, sowie eine gründliche Prüfung und Bewertung der Zuverlässigkeit der IT-Sicherheit des Parlamentes.
Diesbezüglich hat die Begleitgruppe einen Zwischenbericht von DGITEC erhalten mit einer Strategie und einem Maßnahmenplan für die Sicherheit der IT. [s. S. 11 des Folgeberichtes]
Open Source verbindlich machen? Nicht möglich.
Der LIBE-Ausschuss hat gefordert, dass Software Open Source sein muss, wenn es um sensible, sicherheitrelevante Bereiche geht. DGITEC weist diese Forderung zurück:
Ausschreibungen müssen strikt den Vorschriften für öffentliche Beschafftung folgen und die Prinzipien der Gleichbehandlung respektieren. Daher können solche Limitierungen nicht in die Spezifikationen aufgenommen werden.
Bei gleicher Eignung von Open-Source-Software soll diese jedoch bevorzugt werden.
Firmen, die mit der NSA zusammenarbeiten, können nicht ausgeschlossen werden.
Gleiches gilt für die Auftragsvergabe an IT-Firmen, über die eine Kooperation mit der NSA bekannt ist. Der LIBE-Ausschuss forderte, dass evaluiert wird ob andere Firmen, vorzugsweise europäische, die gleichen Leistungen erbringen könnten. Auch das wird abgelehnt. Sonst müsste man die Vorschriften für die öffentliche Beschaffung ändern oder „im Gesetz Prozesse etablieren, die Blacklists von Unternehmen enthalten.“
Die Europäische Zentralbank bezieht unterdessen fröhlich weiter Internetdienstleistungen des US-Anbieters Verizon, dessen Zusammenarbeit mit der NSA bekannt ist. Trotz der Tatsache, dass sich im Juli 2014 Hacker Zugang zu E-Mail-Adressen und Kontaktdaten im EZB-Netz verschafft hatten – dem Bereich, den Verizon betreut.
IT-Sicherheit vs. Performance?
LIBE verlangte außerdem die Überprüfung der Kommunikationssicherheit zwischen den Arbeitsplätzen des Parlamentes und der IT-Systeme. Die Antwort mutet seltsam an:
Eine Risikoabwägung muss durchgeführt werden, da der aktuelle Provider behauptet, dass die NSA nicht auf seine Kommunikationsnetze zugegriffen habe. Das Ausrollen von Verschlüsselungslösungen bräuchte eine sorgfältige Analyse, um eine Verschlechterung des Services bei den Hochleistungslinks zwischen den Arbeitsplätzen des Parlaments zu vermeiden.
Es wäre schade, wenn die Risikoabwägung hier einen Service-Engpass attestieren würde, denn – wenn dieses Szenario ansatzweise realistisch wäre – sollte eigentlich eine Erhöhung der Kapazitäten die Konsequenz sein und nicht das Weglassen von Sicherheit.
Es scheint, als habe man vollständig vergessen, dass vor etwa 1,5 Jahren massenweise Mail-Accounts von EU-Parlamentariern gehackt worden sind, laut Berichterstattung ohne größere Anstrengungen. Schon damals wurden die laxen Sicherheitsmaßnahmen im EU-Parlament angeprangert, Sophie in’t Veld von ALDE etwa monierte, die Schwächen des hauseigenen IT-Systems seien seit Jahren bekannt. Mittlerweile kann man noch 1,5 Jahre aufaddieren.
Mit einer Haltung wie der obigen ist es nur eine Frage der Zeit, bis sich ein Sicherheitsvorfall wie der des Mail-Hacks wiederholt.
Verschlüsselung, Signaturen, sicheres Instantmessaging – „Sobald Bedarf besteht.“
Bei E-Mail-Verschlüsselung und Signaturen scheint man noch in den Kinderschuhen zu stecken. Es seien geeignete Produkte ausgewählt worden, die zur Verfügung standen. Man habe sich für den PGP- und SMIME-Standard entschieden und könne das Ausrollen starten, sobald „Bedarf da ist und Lizenzen vorliegen.“ Dass Bedarf da ist, sollte doch mittlerweile eigentlich zweifelsfrei geklärt sein, oder?
Bei elektronischen Signaturen habe es zwar ein erfolgreiches Pilotprojekt gegeben, aber um alle EP-Nutzer miteinzubeziehen bedürfe es einer „strategischen Entscheidung“ oder „neuen Pilotstudie,“ um zu evaluieren, wie die Lösung generalisiert werden könne. Beim Einrichten von sicherem Instant Messaging müsse noch genau analysiert werden, „um Kompatibilitätsprobleme zu vermeiden, die eine Service-Störung hervorrufen könnten.“
Was bisher möglich ist.
Leider sind die Abgeordneten darauf angewiesen, dass sie Software zum Verschlüsseln, Signieren und sicheren Kommunizieren installiert bekommen, denn selbst dürfen sie keine installieren. Standardmäßig gibt es Windows 7, Outlook und Internet Explorer sowie neuerdings Firefox – ohne Plugins. Wunschsoftware kann bei DGITEC beantragt werden. Uns sind jedoch nur zwei negative Antworten von DGITEC bekannt, nachdem Abgeordnetenbüros nach gpg4win gefragt hatten. Es wurde auf andere Programme verwiesen – wie etwa die eingebaute Verschlüsselung in Office, 7zip und PDF. Das tröstet uns jetzt nicht unbedingt.
Gemischtes & Fazit
Auch die Serverstandorte sollten evaluiert werden. Diese befänden sich laut Antwort primär in zwei großen Datencentern, beide davon außerhalb der EU-Liegenschaften. Sie seien jedoch abgesichert und gegen unbefugten Zutritt geschützt. Ergebnisse zur Sicherheit und Datenschutzproblemen bei der Verwendung von Cloud-Lösungen durch das Parlament sollen im Laufe von 2015 veröffentlicht werden.
Alles in allem klingt der Zwischenbericht wie Ankündigungs- und Vertröstungspolitik. Doch das soll keine reine Anklage an DGITEC werden, denn die sind, in Relation zu der Masse an Abgeordneten und Mitarbeitern, die sie betreuen müssen, deutlich unterbesetzt. Doch hier liegt es an den verantwortlichen Stellen, die Kapazitäten für IT-Sicherheit aufzustocken, um weitere peinliche und – hinsichtlich der im EU-Parlament übertragenen Informationen – fatale Sicherheitslücken zu vermeiden.
0 Ergänzungen
Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.