GnuPG oder GPG (GNU Privacy Guard) ist ein freies Kryptographiesystem und eines der wichtigsten Werkzeuge zur digitalen Selbstverteidigung. GnuPG wurde als freie Software in der Entwicklung von der Bundesregierung finanziell unterstützt. Aber seit Edward Snowden hören wir immer von der Politik, wie wichtig es doch wäre, wenn Bürgerinnen und Bürger die Sicherung ihrer Privatsphäre in Eigenverantwortung übernehmen würden, aber es passiert nichts in diese Richtung.

Eines der Probleme von GnuPG ist: Es ist immer noch etwas zu kompliziert dafür, dass wir das Werkzeug ohne Probleme unseren Eltern zum Verschlüsseln ihrer Mails installieren würden. Das wäre aber lösbar, wenn der Staat Verantwortung übernimmt und das Projekt weiter unterstützt und nicht nur erzählt, dass man das machen könnte. Im Rahmen von Heartbleed / Open SSL kam die notwendige Diskussion auf, wer sich überhaupt um kritische freie Projekte kümmert, vor allem finanziell.

Tim Schürmann berichtete in der August-Ausgabe des Linux-Magazin:

Nun würde so ein Bug nicht weiter auffallen, wäre nicht die Benutzerbasis von Open SSL so riesig. Millionen Privatanwender und sehr viele Firmen verlassen sich auf ihre Kryptosoftware. Sie soll die Sicherheit teils millionenschwerer Projekte gewährleisten, ihre Entwicklung liegt jedoch in den Händen weniger Programmierer. Wie im Falle von Gnu PG pflegt mitunter nur eine einzige Person die umfangreiche Codebasis.

Diese chronische Unterfinanzierung hat der grüne Bundestagsabgeordnete Hans-Christian Ströbele zum Anlass genommen, gestern in der Fragestunde des Deutschen Bundestages bei der Bundesregierung nachzuhaken:

Ströbele: Welche Konsequenzen zieht die Bundesregierung aus dem Umstand, dass die Software GnuPG, auf die nahezu alle freien und für Bürger und Unternehmen frei zugänglichen, vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Website als besonders sicher empfohlenen, asymmetrischen Verschlüsselungsverfahren für E‑Mails aufbauen, von einer Einzelperson in Düsseldorf allein auf Spendenbasis betreut und gewartet wird (Linux-Magazin 08/2014), und ist die Bundesregierung angesichts der auch von ihr selbst anerkannten, allgemeinen Bedrohung der Datensicherheit der Gesamtbevölkerung und der deutschen Wirtschaft durch massenhaften Datendiebstahl, begangen von Unternehmen oder Geheimdiensten fremder Mächte, bereit, eine nachhaltige Finanzierung und bessere personelle Ausstattung der Betreuung und Wartung dieser Software zu unterstützen, etwa durch Förderung über das BSI?

Geantwortet hat Dr. Günter Krings, Parlamentarischer Staatssekretär beim Bundesminister des Innern. Weiter unten zitieren wir das Protokoll.

Verschlüsselung weiterhin ein Fremdwort im Bundestag

Der Deutsche Bundestag tut sich schwer damit, die Verschlüsselung und Signatur von E‑Mails per OpenPGP-Standard zu ermöglichen. Eine eigenes Gremium der Abgeordneten hat die OpenPGP-Nutzung im letzten Jahr effektiv verhindert. Die Gründe beinhalten Auseinandersetzungen um Freie Software, Lizenzen, Kompatibilität und jede Menge Bürokratie. Das haben wir in zwei Artikeln im Sommer beschrieben:

Verschlüsselungs-Standort Nr. 1: Dutzende Zertifikate von Bundestags-Abgeordneten abgelaufen.
Verschlüsselungs-Standort Nr. 1: Wie der Bundestag die Nutzung von OpenPGP ein Jahr lang verhindert hat

Der Bundestag könnte Verschlüsselung fördern, indem sowas bei allen PCs im Hause installiert wird. Unter Windows XP war das unmöglich, mittlerweile gibt es Windows 7. MdBs müssen das aber selber bestellen und finanzieren. Früher kostete die Installation 100 Euro, mittlerweile sind sie auf 40 Euro pro PC runtergegangen. Die Anschaffung kann über das Sachleistungskonto abgerechnet werden. Wir können immer noch die Abgeordneten-Büros an einer Hand abzählen, die das sich haben installieren lassen.

Bundesregierung will GnuPG nicht weiter fördern, weil das ja Open Source ist

Es ist interessant, was Günter Krings wie antwortet. Im Endeffekt ist es egal, ob jetzt eine Person das weiterentwickelt oder wenige Firmen zusammen. Die Frage ist ja, ob das auch weiterhin finanziert wird. Krings erklärt, dass der Bund zwischen 2004 – 2014 Fördergeld gezahlt habe. Die Formulierung klingt aber nicht so, als ob seit Snowden auch Geld für eine Weiterentwicklung ausgegeben wurde. Und er schiebt die Verantwortung vom Staat weg und erklärt, dass der jetzt genug getan hätte und andere mal dran seien, weil das ja Open Source wäre.

Aber genau hier macht die Bundesregierung einen entscheidenden Fehler, wo unklar ist, ob das bewusst oder unbewusst passiert: Denn GnuPG ist eine kritische Infrastruktur. Durch die Snowden-Enthüllungen haben wir gelernt, dass wir keiner kommerziellen Verschlüsselung vertrauen können, wenn niemand in den Code schauen kann. Wer sich effektiv schützen will, sei es vor Totalüberwachung oder vor Wirtschaftsspionage, ist auf Werkzeuge wie GnuPG angewiesen.

Wir haben Karsten Gerloff, den Präsidenten der Free Software Foundation Europe, um eine kurze Stellungnahme gebeten:

Eine der wichtigsten Pflichten eines Staates ist es, seine Bürger zu schützen. In Zeiten der globalen Überwachung ist GnuPG dafür eines der besten Werkzeuge, die uns zur Verfügung stehen. GnuPG bietet hohe Sicherheit, die auch überprüft werden kann, da das Programm Freie Software ist. Wenn die Bundesregierung tatsächlich etwas gegen die umfassende Überwachung der Menschen in Deutschland tun möchte, muss sie hier investieren.

Wir schließen uns dem an.

Und hier ist das komplette Transcript:

Dr. Günter Krings, Parl. Staatssekretär beim Bundesminister des Innern: Frau Präsidentin! Meine sehr verehrten Damen und Herren! Lieber Herr Kollege Ströbele! Zum krönenden Abschluss dieser Fragestunde darf das Innenressorts noch einmal auftreten. Ich bedanke mich, dass Sie – dies ist die einzige mündlich zu beantwortende Frage – bei der Stange geblieben sind.

Ich kann mit einer guten Nachricht aufwarten, lieber Herr Ströbele; denn die von Ihnen in Ihrer Frage zitierte Annahme des Linux-Magazins vom August 2014, dass die – ich sage das einmal etwas salopp – Verschlüsselungssoftware GnuPG ausschließlich von einer Einzelperson in Düsseldorf auf Spendenbasis – so hieß es da – betreut wird, ist glücklicherweise unzutreffend.

GnuPG ist die zentrale Komponente der umfassenderen Lösung Gpg4win, also einer Windows-Anwendung, die wiederum vom Bundesamt für Sicherheit in der Informationstechnik, BSI, beauftragt wurde. Auftragnehmer dieses Entwicklungsvorhabens waren die deutschen Unternehmen Intevation GmbH und g10 Code GmbH sowie die schwedische KDAB. Darüber hinaus erfolgt eine Weiterentwicklung und Pflege von Gpg4win und GnuPG im Rahmen eines etablierten, funktionierenden und verteilten Entwicklungsmodells für eine unter freier Lizenz stehende quelloffene Software durch eine größere Gemeinschaft, also das, was wir als Open-Source-Community bezeichnen, Herr Ströbele.

Transparent dargestellt werden übrigens die kommerzielle Beauftragung, die Rolle des BSI sowie der mitwirkenden Unternehmen auf den Internetseiten des Projekts. Ich erspare mir jetzt, dies vorzulesen. Ich kann Ihnen dies gerne gleich in die Hand geben, damit Sie wissen, was Sie in Ihren Browser eingeben müssen, um das im Einzelnen zu lesen. Bei der vom Linux-Magazin genannten Einzelperson handelt es sich um den Geschäftsführer der g10 Code GmbH in Düsseldorf, die ebenfalls, wie gesagt, an den oben genannten Beauftragungen beteiligt war.

Vizepräsidentin Claudia Roth: Herr Ströbele, haben Sie eine Rückfrage? – Ja.

Hans-Christian Ströbele (BÜNDNIS 90/DIE GRÜNEN): Danke. – Herr Staatssekretär, wenn ich das richtig weiß, dann ist dieser Verschlüsselungsspezialist, ‑experte, sage ich einmal, ja in der Vergangenheit bereits durch die Bundesregierung gefördert worden. Diese Förderung ist dann aber eingestellt worden. Ich erinnere mich an die Erklärung des früheren Innenministers Friedrich – ich glaube, sogar im Bundestag, aber jedenfalls in der Öffentlichkeit – vom Juli 2013, dass die Bundesbürger aufgefordert wurden, jeder einzelne, selber etwas gegen die Datenspionage, die Datenausspähung zu tun und das nicht allein dem Staat zu überlassen.

(Manfred Grund [CDU/CSU]: Sollte er nicht eine Frage stellen?)

Deshalb meine Frage:

(Manfred Grund [CDU/CSU]: Oh!)

Gibt es eine ganz konkrete Finanzierung der Weiterentwicklung dieser Verschlüsselungssoftware, die nach meiner Kenntnis von ein oder zwei Leuten in Düsseldorf betrieben wird? Denn wir gehen doch alle davon aus, dass das eine ungeheuer wichtige Arbeit ist.

Vizepräsidentin Claudia Roth: Herr Dr. Krings.

Dr. Günter Krings, Parl. Staatssekretär beim Bundesminister des Innern: Vielen Dank. – Herr Ströbele, ich habe ja bereits ausgeführt, dass es sich nicht um eine Einzelperson handelt, sondern dass mehrere Unternehmen beteiligt sind. Der Bund hat auch hier Fördermittel gegeben. Wir haben in dem Zeitraum von 2004 bis 2014 insgesamt knapp 630 000 Euro inklusive Mehrwertsteuer in dieses Projekt investiert. Es gibt noch eine Reihe anderer Projekte. Wir haben im Gesamtetat, glaube ich, etwa 15 Millionen Euro als Verpflichtungsermächtigungen für diesen Bereich der Entwicklungsvorhaben des BSI. Es gehört also zu den Kernaufgaben des BSI, solche Förderungen vorzunehmen. Auch dieses Projekt hat in nennenswertem Umfang Fördergelder bekommen.

Noch einmal: Der Open-Source-Gedanke ist, dass auch von anderer Seite gefördert wird. In Ihrer Fraktion gibt es wahrscheinlich noch größere Enthusiasten für die Open-Source-Bewegung, als ich es bin. Insofern ist es ganz normal, dass der Staat die Finanzierung nicht komplett übernimmt, dass er diese Person nicht in einem Beamtenverhältnis beschäftigt, sondern den Open-Source-Gedanken mit Beauftragung, mit Geldern fördert. Das ist in der eben genannten Größenordnung erfolgt. Unter anderem dieser Beitrag des Bundes zu dem Projekt hat zu erheblichen Download-Zahlen dieses Programms von etwa 30 000 Downloads pro Woche geführt. Die Zahl der Downloads ist übrigens seit der Snowden-Affäre gestiegen.

Hans-Christian Ströbele (BÜNDNIS 90/DIE GRÜNEN): Ja. Ich habe noch eine weitere Frage, Frau Präsidentin, wenn Sie gestatten.

Vizepräsidentin Claudia Roth: Ich gestatte.

Hans-Christian Ströbele (BÜNDNIS 90/DIE GRÜNEN): Können Sie denn Zahlen nennen, wie viel von den einigen Hundertausend Euro, die Sie genannt haben, im Rahmen dieser Förderung an GnuPG gegangen sind, konkret an diese Person bzw. seinen Helfer, und wie viel an die anderen Firmen oder die anderen Abteilungen? Ich stimme ja mit Ihnen völlig überein, dass es das Falscheste wäre, daraus eine Beamtenbeauftragung zu machen. Das soll möglichst unabhängig sein, weil nur dann für den Bürger etwas Vernünftiges dabei herauskommen kann. Dies denke ich, nicht weil ich grundsätzlich Bedenken gegen Beamtenarbeit habe, sondern weil es in diesem Falle das Falscheste wäre, was man machen könnte.

Vizepräsidentin Claudia Roth: Herr Dr. Krings.

Dr. Günter Krings, Parl. Staatssekretär beim Bundesminister des Innern: Ich lasse das einmal unkommentiert. Ich glaube, dass es für alles sinnvolle Lösungen gibt. Das BSI macht eine hervorragende Arbeit, übrigens mit Beamten, die wichtig und bei unserer Informationssicherheit nicht mehr wegzudenken ist. Aber es gibt bei der Entwicklung von Software, gerade mit offenem Quellcode, bestimmte Punkte, bei denen in der Tat – da stimme ich Ihnen vollkommen zu; ich habe es eben gesagt – dieses Entwickeln aus der Open-Source-Community einige Vorteile bietet. Deshalb will ich es noch einmal etwas deutlicher machen – ich neige auch dazu, etwas zu schnell zu sprechen –:GnuPG, also die Software, die Sie genannt haben, ist Teil einer umfassenderen Lösung, die sich Gpg4win nennt. Im Hinblick auf diese umfassendere Lösung, von der GnuPG ein Teil ist, haben wir seitens des Bundes bzw. durch das BSI im Zeitraum von 2004 bis 2014 zur Entwicklung und Weiterentwicklung der Software insgesamt 630 000 Euro inklusive Mehrwertsteuer ausgegeben.