Widersprüche in der deutschen Kryptopolitik: Verschlüsselung stärken, Verschlüsselung brechen

Das Bundesamt für Sicherheit in der Informationstechnik unterstützt das Projekt Mailvelope. Es soll Verschlüsselung einfacher machen, bei Mails ebenso wie bei Online-Formularen. Die Förderung vertraulicher Kommunikation ist wichtig, sie zeigt aber einen der Widersprüche in der deutschen Kryptopolitik auf.

Brieföffner mit Briefumschlag
Die einen wollen die Briefe zukleben, die anderen wollen sie öffnen. CC-BY-SA 2.0 Frank C. Müller

Schon seit geraumer Zeit tritt das Open-Source-Projekt „Mailvelope“ an, Ende-zu-Ende-verschlüsselte Kommunikation so einfach wie möglich zu machen. Einige E-Mailanbieter, darunter Posteo und GMX, unterstützen die freie Browsererweiterung und können mit wenigen Klicks OpenPGP-verschlüsselte Mails verschicken und zu empfangen.

Doch die Software kann weit mehr als das: Mit Unterstützung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) lassen sich nun vertrauenswürdige Formulare auf Webseiten aufsetzen. Damit gelingt die sichere Übertragung vertraulicher Daten, und zwar durchgängig Ende-zu-Ende-verschlüsselt. Das zielt etwa auf Kommunikation mit Arztpraxen ab, denn oftmals gibt es für die sensiblen Gesundheitsinformationen keine vertrauliche, digitale Austauschmöglichkeit.

Widersprüchliche Kryptopolitik der Bundesregierung

Die Aktivitäten der Bonner Behörde verdeutlichen die Widersprüche im Umgang der deutschen Politik mit vertraulicher Kommunikation. Zum einen ist schon im Koalitionsvertrag der Großen Koalition und zuvor in der Digitalen Agenda der letzten Regierung niedergeschrieben, dass Deutschland Verschlüsselungstechnologien vorantreiben und Forschung dazu fördern soll.

Auf der anderen Seite verhält sich vor allem das übergeordnete Bundesinnenministerium so, als würde es etwas ganz anderes wollen: In der letzten Legislatur rief es die sogenannte Zentrale Stelle für Informationstechnik im Sicherheitsbereich – kurz ZITiS – ins Leben. Sie soll unter anderem daran arbeiten, Verschlüsselung zu brechen. In der aktuellen Regierung bringt Innenminister Horst Seehofer (CSU) immer neue Vorschläge, etwa den Staatstrojanereinsatz auszuweiten – was wiederum die IT-Sicherheit für alle schwächen würde.

BSI verbessert unter der Haube

Seit Anfang 2018 greift das BSI dem Open-Source-Projekt Mailvelope unter die Arme. Erklärtes Ziel der Behörde ist es, die „Installation, Konfiguration und Anwendung von Ende-zu-Ende-Verschlüsselung deutlich nutzerfreundlicher zu gestalten und damit eine größere Verbreitung von Verschlüsselung beim E-Mail- und Formular-Austausch zu erreichen“. Die Bonner Behörde hat vor allem unter der Haube zu Verbesserungen beigetragen und etwa eine verwendete Kryptographie-Bibliothek erweitert und die Schlüsselverwaltung vereinfacht.

Zugleich hat das Berliner IT-Sicherheitsunternehmen SEC Consult im Auftrag des BSI ein umfangreiches Audit der Software durchgeführt. Überprüft wurde dabei unter anderem die Umsetzung der kryptographischen Verfahren.

Probleme seien „direkt im Anschluss an die Entwicklung erkannt und vor der Freigabe im Rahmen des Koordinierten Schwachstellenmanagements mit den Entwicklern erfolgreich gelöst“ worden, gab das BSI in einer Pressemitteilung bekannt. Ebenfalls überprüft wurde, ob sich nicht möglichweise Routinen in der Software befinden, mit denen sich Nutzer überwachen oder deren private Daten kompromittieren lassen.

„Mehr Verschlüsselung bedeutet mehr Privatsphäre in der Kommunikation“, sagt BSI-Präsident Arne Schönbohm. „Dies sollte kein nice-to-have, sondern ein absolutes must-have sein. Unser Ziel als Cyber-Sicherheitsbehörde ist es deshalb, Verbraucherinnen und Verbrauchern einfach anwendbare Lösungen an die Hand zu geben, mit denen sie ihre Privatsphäre besser schützen können“.

3 Ergänzungen
  1. Die Widersprüche findet man nicht nur in der Politik, sondern auch im Organigramm des BSI. Insofern gibt es keine Widersprüche sondern Abhängigkeiten.

  2. Könnte man diese Ausgaben – und weitere im InfoSec-Bereich – eigentlich als Rüstungsausgaben im Sinne der NATO deklarieren?

    Aktuell wird viel über die „zu niedrigen“ Militärausgaben in DE diskutiert und mit der „benötigten“ Aufstockung von ca. 0,6% des BIP ließe sich viel Verschlüsselung erforschen oder sichere Systeme im öffentlichen Sektor aufbauen (Stichwort Energieversorger und Bahn).

    Wären das nicht im Endeffekt Verteidigungsausgaben gegen (ausländsche) Hacker?

Ergänzung an Mike Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.