Deutscher Bundestag – 18. Wahlperiode
–
– 363 –
Drucksache 18/12850
Etablierung von verlässlichen und zertifizierten Anbietern von PKI-Infrastrukturen samt vertrauenswürdiger Sicherheitsanker (Root-Zertifikate) in Deutschland und Europa
–
aktive Mitarbeit der deutschen Industrie bei der Standardsetzung in den Arbeitsgruppen der Internet
Engineering Task Force (IETF)1437
Des Weiteren erstellte das BSI in Reaktion auf die Medienberichterstattung eine „reaktive Sprachregelung“.
Darin heißt es:1438
„Nach derzeitigen Erkenntnissen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bieten die vom BSI empfohlenen Verfahren zur Verschlüsselung, unabhängig von konkreten Nutzergruppen und Anwendungsszenarien, sicheren Schutz vor
Entzifferung. […] Von den existierenden SSL/TLS-Protokollversionen werden momentan die Varianten TLS 1.1 und TLS 1.2 als ausreichend sicher eingestuft. […] Das
BSI empfiehlt einen zeitnahen und großflächigen Umstieg auf TLS 1.2.“1439
Dieser Hinweis wurde von einem Mitarbeiter des BSI in einer internen E-Mail kritisiert, da er den Hinweis
für unzureichend hielt. Er wies ferner darauf hin, das BSI müsse seines Erachtens ein „anderes Profil zeigen“
als die anderen Sicherheitsbehörden, denen in den Medien der Vorwurf der Beschwichtigung und Unwissenheit gemacht werde:
„Ich weiß ja nicht aus welchem Anlass und für welche Zielgruppe die reaktive Sprachregelung gedacht ist. Es ist aber doch einfach zu schlicht zu behaupten: ‚Konfiguriert
Eure Browser nur richtig und stellt das richtige Protokoll ein, dann können Euch die
NDs nichts mehr anhaben.‘ […] Die Wahrheit ist: Wenn ein Produkt mit Kryptobestandteilen die USA verlässt, hat es die Exportkontrollverfahren durchlaufen, ist damit
grundsätzlich nicht mehr sauber und potenziell gefährlich im Hinblick auf die diskutierten Angriffe.“1440
Zu dieser E-Mail hat der Zeuge Könen im Rahmen seiner Vernehmung folgendermaßen Stellung genommen:
„Also, erstens ist es ein meinungsstarker Mitarbeiter; das kommt schon aus dem Text
heraus, und das spiegelt auch genau die Diskussion wider, die wir hatten. Nur, man
darf das Kind nicht mit dem Bade ausschütten. Da, wo wir Produkte, auch von USHerstellern, eben einer sorgfältigen Evaluierung und Zertifizierung unterziehen, das
Unternehmen gewissen Vertrauensstandards genügt, die wir auch jeweils einer Zertifizierung voranschicken - - Wenn das Unternehmen im Prozess mit tätig war und diesen Evaluierungsprozess unterstützt hat und am Ende sich die Qualität auf dem jeweils
geforderten Zertifikatsniveau bewegt, dann muss man das auch klar konstatieren. Ein
1437)
1438)
1439)
1440)
Schreiben des BSI an das BMI vom 6. September 2013, MAT A BSI-1/6c_1, Bl. 123 (125) (VS-NfD – insoweit offen).
Reaktive Sprachregelung vom 10. September 2013, MAT A BSI-1/6c_1, Bl. 182 f.
Reaktive Sprachregelung vom 10. September 2013, MAT A BSI-1/6c_1, Bl. 182.
E-Mail vom 11. September 2013, MAT A BSI-1/6c_1, Bl. 184.