Letzte Woche habe wir darüber berichtet, dass im Europaparlament seit Beginn der NSA-Affäre wenig in Hinsicht IT-Sicherheit passiert ist. Wir veröffentlichen nun das ganze Schreiben der Generaldirektion Innovation und technologische Unterstützung (DG ITEC), das zeigt, wie versucht wird, statt PGP auf die „internen Verschlüsselungsmethoden von Office, 7zip und PDF“ zu verweisen. Grundlage des Schreibens ist eine Anfrage, GPG4Win auf einem Rechner innerhalb des EU-Parlamentes zu installieren.
In dem Zwischenbericht hatte DG ITEC noch darauf verwiesen, man könne das Ausrollen von PGP- und SMIME-basierter Verschlüsselung und Signierung starten, sobald „Bedarf da ist und Lizenzen vorliegen.“ In der uns vorliegenden Antwort – die deutlich nach der Erstellung des Zwischenberichts entstand – klingt das anders:
Aktuell gibt es keine passende „Out-of-the-Box“-Lösung für Ihre Anfrage. Ein Paket für PGP-artige Software ist gerade in Entwicklung, um die Integration in die Standardkonfiguration zu ermöglichen. Aber wir waren noch auf Informationen von den Diensten, die in die technischen Fragestellungen involviert sind.
Abgesehen von der Frage, was „PGP-artige Software“ sein soll, ist auch zweifelhaft, wie das mit dem früheren Zwischenbericht zusammenpasst. Der suggerierte zumindest einen etwas fortgeschritteneren Arbeitsstand.
DG ITEC rät, sich mit der „internen Verschlüsselung“ von Office, 7zip und PDF in der Zwischenzeit Abhilfe zu verschaffen. Dafür müsse man jedoch ein Passwort austauschen – mündlich. Wir können uns leider bereits vorstellen, wie das über ungesicherte Telefonleitungen passiert.
Doch DG ITEC schlägt, neben der Verwendung von Office, 7zip und PDF, noch ein anderes Workaround vor:
[…], z. B. die Installation der Software auf der zweiten Partition des Laptops, da diese Aktion keine Administratorrechte benötigt. In der Praxis gibt es hier jedoch einige Beschränkungen, die diesen Vorschlag inkompatibel mit ihrer Arbeit im Büro machen.
Das Betriebssystem auf der zweiten Partition darf sich nicht mit dem internen Netzwerk des Parlaments verbinden. Beide Methoden hätten ihre Stärken und Schwächen und „ihre Zuverlässigkeit hängt auch von gesundem Menschenverstand und gutem Verhalten ab.“
Englischer Volltext
For the time being there is no suitable and standard „out-of-the-box“ solution for your request. A package for a PGP-like software is currently in development in order to make possible its integration into the standard configuration but we are still awaiting informations from the services involved in this technical issue.
Nowadays, we can only propose workarounds – i.e installation of the software on the second partition of the laptops because this action doesn’t require administrator privileges but it has in practice some constraints making this proposal incompatible with your work at the office because the operating system on the second partition is not allowed to connect on the internal network of the EP, but it may fit your need for encryption if this need is not systematic.
There are some alternatives, some are available on our systems although they do not follow PGP’s principle of asymmetric cryptography. I can mention the built-in encryption methods in Office, 7zip and PDF. In the case of built-in encryption (and this is true for asymmetric encryption), the transmission of a „key“ will be necessary – it can be a password (provided verbally), or certificates (electronic files, usually sent by email of mobile storage devices like USB keys), the password can be transmitted verbally while the certificates (or encryption keys) cannot because they are too complex.
Both have their strenghts and weaknesses and their reliability also depend on common sense and good practices.