Über eine Informationsfreiheitsanfrage zu den Blackberry-Kryptophones haben wir erfahren, dass es im Bundesinnenministerium (BMI) mit Anweisungen zur verschlüsselten Kommunikation ziemlich mau aussieht. Aber wir wollten wissen, wie mau genau und haben die Hausanordnung zum Einsatz von Informationstechnik im BMI per IFG-Anfrage angefordert und erhalten.

Zurück in die 90er

Bei ersten Durchlesen fällt auf: Das Dokument liest sich an manchen Stellen wie ein Relikt aus den 90ern. „E‑Mail ist elektronische Post“, wird an einer Stelle erklärt, „das personenbezogene Postfach ist täglich mehrfach auf neue Posteingänge zu überprüfen“, an einer anderen. Auch wird dem geneigten Leser erklärt, wie man E‑Mails adressieren kann und was „An“, „Cc“ und „Bcc“ bedeuten. Darüberhinaus wird der klassische Internet-Ausdrucker aufgefordert, dass Dokumente „möglichst am Bildschirm zu lesen“ sind. Beinahe charmant wirkt auch Absatz 6.2.8:

Untersagung von Kettenbriefen

Als Kettenbriefe werden insbesondere E‑Mails bezeichnet, die die Aufforderung enthalten, der Empfänger solle sie an eine Reihe weiterer Empfänger weiterleiten. Der Versand oder die Weiterleitung von Kettenbriefen ist untersagt.

Wer denkt dabei nicht an die Zeiten von „Durchlesen und Weiterleiten!!! Wichtig!!! Dies ist kein Scherz!!1elf“ und schlechten, pseudowitzigen Power-Point-Präsentationen, die in Büros hin- und hergeschickt wurden? Im Innenministerium sind diese Zeiten vorbei.

IT-Sicherheit mit sechs Zeichen

Weniger lustig wird es bei den IT-Sicherheitsvorkehrungen. „Das Passwort muss eine Länge von mindestens sechs Zeichen haben“, heißt es. Doch schon 2011 gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Pressemitteilung heraus, die Passwörter mit mindestens acht Zeichen empfahl, die „nicht im Wörterbuch stehen“ und „neben Buchstaben […] auch Ziffern und Sonderzeichen enthalten“ sollen. Eigentlich sollte doch das BMI ein Interesse daran haben, die Mindestempfehlung der ihm selbst unterstellten Behörde umzusetzen. Könnte man meinen.

Nach „starken Sicherheitsvorkehrungen“ hört es sich jedoch erst einmal an, wenn vom „Umgang mit beweglichen Datenträgern“ geredet wird – also allem von Disketten bis USB-Sticks. Hier wird davon geredet, dass sowohl optische Laufwerke als auch USB-Ports standardmäßig deaktiviert seien und zum Transport von Daten personalisierte USB-Sticks mit „biometrischem Zugangsschutz (Fingerabdruckscan)“ beantragt werden müssten. Schön und gut – von der oftmals nachgewiesenen Unsicherheit biometrischer Zugangssysteme mal abgesehen –, doch die Regel erinnert unschön an eine parallele Regelung bei der Polizei Niedersachsen. Wir haben vor einiger Zeit durch interne Quellen erfahren, dass dort die Sperrung von USB-Ports und CD-Laufwerken von den Mitarbeitern dadurch umgangen wird, indem sie schlichtweg mit anderen Rechnern arbeiten, die keine Einschränkungen aufweisen und von der lästigen internen Sicherheitsarchitektur kaum befleckt sein dürften.

Verschlüsselung durch die Virtuelle Poststelle

Zu VS-Daten, also Verschlusssachen, Personalaktendaten oder „besonderen Arten“ personenbezogener Daten, gibt es zusätzliche Sicherheitshinweise. Diese dürfen zum Beispiel nicht auf Mobiltelefonen gespeichert werden, die ja „systembedingt nur über schwache Sicherheitsmechanismen“ verfügen. Ebenso dürfen sie nicht per SMS [sic] versandt werden; mit speziellen Kryptohandys dürfen zumindest Daten bis zum Verschlussgrad VS-NfD – nur für den Dienstgebrauch – übermittelt werden.

Auch das sorglose Hin- und Herschicken per Mail ist untersagt. Intern dürfen sie zwar „ohne zusätzliche Sicherungsmaßnahmen“ versandt werden, aber sie müssen, damit man gleich weiß, welche Mails interessant sind, mit dem Hinweis „VS-NfD“ im Betreff gekennzeichnet werden. Auch die Anweisung, dass der Inhalt nur im Anhang – keine Rede von verschlüsseltem Anhang – gesendet werden darf, ist hinsichtlich der Sicherheitssteigerung zumindest fragwürdig.

Schickt man eine vertrauliche Mail nach außen, wird es kompliziert. Eine Bereitstellung von Ende-zu-Ende-Mailverschlüsselung wäre wohl sinnvoll, immerhin hat das BMI die Entwicklung von „frei verfügbarer Verschlüsselungssoftware für jedermann“ auf Basis von GnuPG gefördert. Aber davon keine Spur, es wird ein bürokratischer Prozess in Gang gesetzt:

Zum Schutz der Vertraulichkeit des elektronischen Schriftverkehrs ist besonders bei der Kommunikation im Behördenumfeld der Einsatz der sogenannten Virtuellen Poststelle, die an zentraler Stelle die Ver- und Entschlüsselung des externen E‑Mail-Verkehrs automatisiert vornehmen kann, zu empfehlen.

Eine zentrale Stelle, die ver- und entschlüsselt? Erinnert ein wenig an den Entwurf für De-Mail, bei dem auch der De-Mail-Server für den Schlüssel verantwortlich ist und damit echte Ende-zu-Ende-Verschlüsselung ad Absurdum geführt wird. Aber an diesem Punkt hat die „Arbeitsgemeinschaft De-Mail“ mittlerweile eingelenkt und will ein Browser-Plugin für PGP-Verschlüsselung anbieten.

Auch von verschlüsselten https-Verbindungen scheint man im BMI nicht viel zu halten. Die werden nämlich „zur Prüfung der übertragenen Daten auf einen eventuell enthaltenen Schadcode“ vor der Firewall des BMI entschlüsselt und wiederverschlüsselt. Das BMI nennt es SSL-Proxy, man könnte es aber auch als per Dekret vertrauenswürdigen „Man-in-the-middle“ bezeichnen. Es wird jedoch zugesichert, dass keine weiteren Protokolldateien anfallen würden, denn sonst könnte man mit Leichtigkeit Online-Passwörter oder sonstige sensible Daten der Mitarbeiter abgreifen.

VDS im Kleinen

Keine weiteren Protokolldaten heißt aber auch nur, dass es reguläre Protokolldaten gibt, die gespeichert werden, und zwar im Falle der regulären Internetnutzung maximal sechs Monate und im Fall von E‑Mail- und Fax-Verkehr 90 Tage. Das betrifft Verbindungsdaten, Datum/Uhrzeit, Absender und Empfänger sowie das übertragene Datenvolumen.

Erinnert an unsere Recherchen zur Bundestags-VDS, nur dass sich dort in der gut verborgenen Dienstvereinbarung zur „Nutzung elektronischer Medien“ wenigstens noch ein Begründungsversuch für die Notwendigkeit der Speicherung finden ließ.

Was am Rande auch noch sauer aufstößt, ist die Windows-Zentriertheit im Leitfaden. Vorlagen im „Textverarbeitungsprogramm Word“ sind zu nutzen, als Beispielformate sind „MS-Word“ und „MS-Excel“ aufgeführt. Open Source wird nicht mit einem einzigen Wort erwähnt.

Fazit: Unbefriedigend. Besonders zu kritisieren ist neben der zu vermissenden Zeitgemäßheit die Zwischenschaltung zentraler Ver- und Entschlüsselungsinstanzen, die den Mitarbeitern in vielen Fällen jegliche Möglichkeit zu echter Ende-zu-Ende- und Transport-Verschlüsselung verwehrt.