Drucksache 18/12850
– 362 –
Deutscher Bundestag – 18. Wahlperiode
bbb) Schwachstellen der Verschlüsselungsprotokolle HTTPS bzw. SSL/TLS
Anfang September 2013 berichtete die Presse, die bis dahin als sicher geltenden Verschlüsselungsprotokolle
HTTPS und SSL/TLS seien durch die NSA und den GCHQ „geknackt“ worden.1428 Das BMI forderte daraufhin im Erlasswege vom BSI mit E-Mail vom 6. September 2013 eine Stellungnahme an,1429 auf die noch
am selben Tag eine Antwort des BSI folgte. Das BSI kam demnach zu folgenden Schlussfolgerungen:
„Auch wenn der NSA durchaus ein Wissensvorsprung auf dem Gebiet der mathematischen Kryptoanalyse zugetraut wird, so ist es aus hiesiger Sicht äußerst unwahrscheinlich, dass dieser ausreicht, eine großflächige Entzifferung von Internetverkehren
zu ermöglichen.“1430
„Sind die Erzeugungs- oder Verwaltungsprozesse für Zertifikate unsicher, so ermöglicht dies die Kompromittierung der gesamten Sicherheitsinfrastruktur, […].“1431
„Bei Vorliegen von Implementierungsschwächen/Fehlern oder gar absichtlich eingebauten ‚Hintertüren‘ kann der Schutz der Information geschwächt oder umgangen
werden.“1432
„Insgesamt ist aus hiesiger Sicht eine großflächige Entzifferung von Internetverkehren
nur realistisch, wenn entsprechende Implementierungsfehler oder Hintertüren in den
verwendeten Sicherheitsprodukten vorliegen. Im Zusammenspiel mit Herstellern und
Betreibern von IT-Systemen sind flächendeckende Angriffe vorstellbar. Ausschließlich kryptographische Angriffe sind aufwändig und daher nur selektiv möglich.“ 1433
„Es ist davon auszugehen, dass neben versehentlichen Fehlern auch beabsichtigte
Trapdoors in Implementierungen kryptographischer Mechanismen versteckt sind.“1434
Das BSI gab daraufhin die folgenden Empfehlungen:1435
–
Förderung der Implementierungen vertrauenswürdiger (nationaler) Hersteller
–
Sensibilisierung von behördlichen und industriellen Bedarfsträgern bzgl. der angesprochenen Risiken
–
Forcierung eines breiten Umstiegs auf TLS 1.21436
–
Entwicklung von Empfehlungen für IT-Sicherheitsarchitekturen für gefährdete Industriebereiche
1428)
1429)
1430)
1431)
1432)
1433)
1434)
1435)
1436)
Beispielhaft Süddeutsche Zeitung vom 7. September 2013 „Geheimdienste lesen auch verschlüsselte Daten mit“.
Schreiben des BSI an das BMI vom 6. September 2013, MAT A BSI 1/6c_1, Bl. 123 ff. (VS-NfD – insoweit offen).
Schreiben des BSI an das BMI vom 6. September 2013, MAT A BSI-1/6c_1, Bl. 123 (VS-NfD – insoweit offen).
Schreiben des BSI an das BMI vom 6. September 2013, MAT A BSI-1/6c_1, Bl. 123 (124) (VS-NfD – insoweit offen).
Schreiben des BSI an das BMI vom 6. September 2013, MAT A BSI-1/6c_1, Bl. 123 (124) (VS-NfD – insoweit offen).
Schreiben des BSI an das BMI vom 6. September 2013, MAT A BSI-1/6c_1, Bl. 123 (124) (VS-NfD – insoweit offen).
Schreiben des BSI an das BMI vom 6. September 2013, MAT A BSI-1/6c_1, Bl. 123 (125) (VS-NfD – insoweit offen).
Schreiben des BSI an das BMI vom 6. September 2013, MAT A BSI-1/6c_1, Bl. 123 (125) (VS-NfD – insoweit offen).
Transport Layer Security (TSL) steht für Transportsicherheit und ist und ist ein Verschlüsselungsprotokoll für die sichere Übertragung von Daten im Internet; Glossar des BSI, abrufbar unter https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/cyberglossar/cyberglossar_node.html; vgl. auch Schreiben des BSI an das BMI (undatiert), MAT A BSI-1/6c_1, Bl. 191 (VSNfD – insoweit offen).