Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 17 2014

February 03 2014

BSI-Fail bei geklauten Passwörtern wird immer größer

Hacker aus Osteuropa hatten mehrere Millionen Passwörter zu Nutzeraccounts in die Hände bekommen. Danach ist die Datenbank mit diesen Zugangsinformationen in die Hände des BSI gelangt. Und wahrscheinlich erinnert ihr euch noch an die Meldung vor zwei Wochen, in der wir darüber gelästert haben, dass die Webseite der Behörde zur Überprüfung ob man selbst zu den Betroffenen gehört vom Ansturm an Abfragen in die Knie gegangen war.

Schon damals hatte man sich an vielen Stellen gefragt, warum es so lange gedauert hatte, bis das BSI mit der Information über die geknackten Onlinekonten an die Öffentlichkeit gegangen war, immerhin hatten sie nach eigenen Angaben bereits seit Dezember über den Vorfall Bescheid gewusst. BSI-Präsident Michael Hange rechtfertigte die Verzögerung jedoch damit, es habe lange gedauert bis das Verfahren einer “großen Zahl von Anfragen gewachsen ist”.

Das klang damals schon ein bisschen fragwürdig. Mittlerweile hat sich herausgestellt, dass der Datenklau nicht erst seit Dezember bekannt war. Der Spiegel hat gestern bekannt gegeben, dass BKA und BSI bereits im August vor geknackten Konten gewarnt hatten. Aber nicht normale Bürger, sondern ausschließlich Mitglieder von Behörden, Ministerien und dem Deutschen Bundestag, denn man hatte herausgefunden, dass sich 600 E-Mail-Adressen aus diesem Umfeld in der Datenbank betroffener Adressen befanden. Warum man nicht zum gleichen Zeitpunkt auch die Bürger informiert hatte, versucht das BSI damit zu begründen, man habe “zunächst eine aufwendige Webseite programmieren und Datenschutzfragen klären müssen”. Verzeiht, wenn ich Bilder sprechen lasse, aber manchmal sagt ein solches mehr als 1000 Worte:

Original CC-BY-NC-SA 2.0 via Flickr/dkbschmidt

Original CC-BY-NC-SA 2.0 via Flickr/dkbschmidt

Konstantin von Notz sagte gestern dem Spiegel gegenüber, es stehe der Verdacht einer massiven Schutzpflichtverletzung im Raum, falls die Behörden wirklich seit August Bescheid gewusst hätten. Schutzpflichtverletzung ist ein sehr nüchterner Ausdruck für einen Vorfall, der illustriert, dass wir in Deutschland eine Zwei-Klassen-Gesellschaft haben, wenn es um Datenschutz und Privatsphäre geht. Ein wenig wie bei der Abhörung des Kanzlerinnenhandys, auch dort schien die massenhafte Abhörung der Bevölkerung im Verhältnis zu einem einzigen Mobiltelefon keine rechte Relevanz zu haben.

Man sollte sich daher auch an die eigene Nase fassen, wenn man den Amerikanern vorwirft, sie legten unterschiedliche Maßstäbe für die Privatsphäre der Menschen im Land und außerhalb an und man selbst nichteinmal den eigenen Bürgern untereinander das gleiche Schutzrecht zugesteht, ohne dass es einen ernstzunehmenden Grund dafür gibt. Das ist kein technischer Ausrutscher – das ist eine Missachtung demokratischer Werte und eine Manifestation asymmetrischer Grundrechtsverteilung.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 21 2014

sicherheitstest.bsi.de – Wenn die DoS-Attacke aus der eigenen Bevölkerung kommt…

Heute morgen wurde vom BSI (Bundesamt für Sicherheit in der Informationstechnik) die Mitteilung veröffentlicht, es seien circa 16 Millionen kompromittierte Nutzerkonten entdeckt worden. Das heißt, zu den jeweiligen Online-Accounts sind Nutzername, E-Mail-Adresse und Passwort in die falschen Hände gelangt. Die E-Mail-Adressen der betroffenen Accounts seien dem BSI “übergeben” worden, von wo wurde nicht bekannt gegeben.

Netterweise bot die Behörde die Möglichkeit, abzugleichen, ob man selbst zu den Betroffenen gehört, indem man auf der Seite www.sicherheitstest.bsi.de seine Mail-Adresse eingibt. Bekommt man eine Antwort, befindet sich die Adresse unter den kompromittierten. Nach der Adresseingabe bekommt man noch einen vierstelligen Code, der sich auch im Betreff der Mail wiederfinden muss – nur zur Sicherheit.

Apropos Sicherheit. Die erzeugt auch das Kreuzchen, dass man machen muss, um zu versichern, dass man nicht die Mailadresse seines Nachbarn testen lässt.

Ich bin damit einverstanden, dass meine personenbezogenen Daten, die bei der Nutzung des auf dieser Webseite angebotenen Sicherheitstests anfallen, zur Durchführung des Tests und zur Mißbrauchserkennung erhoben, verarbeitet und genutzt werden dürfen. Ich bestätige, dass ich das Angebot auf dieser Webseite ausschließlich unter Angabe meiner eigenen E-Mail-Adresse(n) nutze.

Dass sich wirklich jemand für den Sicherheitstest interessiert, damit haben die Leute vom BSI wohl nicht gerechnet. Zumindest sei die Seite bereits kurz nach Erscheinen eines Spiegel-Artikels zum Thema überlastet und kaum erreichbar gewesen, so der Nachfolgeartikel. Ein etwas peinlicher Fehler, mag man sagen. Aber dass sich an der Situation auch jetzt, zehn Stunden später, kaum etwas geändert hat, ist weitaus mehr als nur eine lapidare Panne.

Da sollte man sich vielleicht nochmal informieren, was bei Denial-of-Service-Attacken getan werden muss, vor allem, wenn sie aus der eigenen, besorgten Bevölkerung kommen…

Zumindest nicht so, wie Pressesprecher Tim Griese empfiehlt:

Die Seite ist immer wieder mal aufrufbar. Am besten probiert man es mehrfach.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

November 09 2013

“Cyber Storm”: Deutsche Behörden, USCYBERCOM, NSA und DHS trainieren Prävention und Abwehr von “Cyberangriffen”

Cyberstorm_IIIWieder haben deutsche Behörden an der wohl weltweit größten “Cyberübung” teilgenommen. So steht es auf der Webseite des US-Ministeriums für Heimatschutz (DHS). Das DHS ist für die Planung und Durchführung des Manövers verantwortlich. “Cyber Storm IV” endet dieses Jahr. Alle zivilen und militärischen US-Sicherheitsbehörden waren mit von der Partie, darunter auch das 2010 eingerichtete “Cyber Command” (USCYBERCOM) sowie die Geheimdienste CIA und NSA.

Die “Cyber Storm”-Manöver werden seit 2006 abgehalten. Die erste Übung fand noch unter alleiniger Beteiligung von US-Behörden statt. 2008 versammelte “Cyberstorm II” neben den USA auch Großbritannien, Australien, Kanada und Neuseeland. Die befreundeten Staaten sind auch Mitglieder des Geheimdienstnetzwerks “Five Eyes”, das vermutlich hinter weitgehenden, weltweiten digitalen Spähmaßnahmen steckt.

Für die internationale Vorbereitung von “Cyberstorm” existieren multilaterale Netzwerke. Hierzu gehört die “Arbeitsgruppe EU-USA zum Thema Cybersicherheit und Cyberkriminalität” sowie ein sogenanntes “EU-/US-Senior-Officials-Treffen”. An “Cyber Storm III” nahm erstmals auch Deutschland teil, ebenfalls an Bord waren Frankreich, Ungarn, Italien, Niederlande und Schweden sowie zahlreiche mit IT-Sicherheit befassten Firmen (eine Liste aller damals Beteiligten findet sich im Abschlussbericht).

“Cyberstorm IV” ist noch größer angelegt als seine drei Vorläufer: Die Übung begann bereits letztes Jahr und klappert zwischendurch etliche US-Bundestaaten ab. Das Finale namens “Evergreen” war für diesen herbst angekündigt, offensichtlich aber ohne ausländische Beteiligung.

Welche deutschen Behörden bei “Cyberstorm IV” mitmischen, geht aus den Dokumenten des US-Heimatschutzministeriums nicht hervor. Es dürfte sich aber wie bei “Cyberstorm III” um das Bundesamt für Sicherheit in der Informationstechnik (BSI) handeln. Laut der Antwort auf eine Kleine Anfrage hatte das BSI vor drei Jahren bereits “25 Mitarbeiter” abgestellt, ein Mitarbeiter sei sogar in der “zentralen Übungssteuerung in Den Haag” eingesetzt gewesen. Welche Infrastruktur der niederländischen Hauptstadt eingebunden war, wird nicht mitgeteilt. Es könnte aber der Vorläufer des European Cybercrime Centre (EC3) bei EUROPOL gemeint sein. Dies würde auch erklären, auf welche Weise das Bundeskriminalamt (BKA) ebenfalls bei “Cyber Storm III” mitmischte.

Laut der Bundesregierung hätten das BSI und das BKA nur an einem “Strang” partizipiert, wo kein Militär anwesend war. Geübt wurde demnach mit dem US-Heimatschutzministerium. Australien, Italien, Kanada, Neuseeland und Großbritannien seien dabei als Beobachter aufgetreten. Jegliche Beteiligung des BSI und BKA an militärischen Aktivitäten wird abgestritten. Das ist jedoch Augenwischerei: Alle Erkenntnisse aus Teilbereichen des Manövers können auch geheimdienstlich oder militärisch genutzt werden.

Zu den Szenarien von “Cyber Storm” gehören “cyberterroristische Anschläge”, über das Internet ausgeführte Angriffe auf kritische Infrastrukturen, “DDoS-Attacken” sowie “politisch motivierte Cyberangriffe”. Es werden auch “Sicherheitsinjektionen” mit Schadsoftware vorgenommen. Es kann angenommen werden, dass die Hersteller des kurz nach der Übung “Cyberstorm III” auftauchenden Computerwurm “Stuxnet” ebenfalls von derartigen Anstrengungen profitierten – jedenfalls wird vielfach eine teilweise Urheberschaft von US-Behörden vermutet. Selbst die Bundesregierung bestätigt, dass sich “Stuxnet” durch “höchste Professionalität mit den notwendigen personellen und finanziellen Ressourcen” auszeichne und vermutlich einen geheimdienstlichen Hintergrund hat.

Auch in Europa bzw. der Europäischen Union werden die Kapazitäten zur Zusammenarbeit bei “Cybersicherheitsvorfällen” stetig vernetzt. Regelmässig werden entsprechende Übungen abgehalten. “BOT12″ simuliert Angriffe durch “Botnetze”, “Cyber Europe 2010″ und “Cyber Europe 2012″ versammelte unter anderem die Computer Notfallteams CERT aus den Mitgliedstaaten (hier der Abschlussbericht). Nächstes Jahr ist eine “Cyber Europe 2014″ geplant. Für die Planung und Organisation aller “Cyber Europe” ist die Europäische Agentur für Netz- und Informationssicherheit (ENISA) verantwortlich, die von dem ehemaligen BSI-Chef Udo Helmbrecht geführt wird. Außerdem errichtet die EU ein “Advanced Cyber Defence Centre” (ACDC), an dem auch die Fraunhofer Gesellschaft, EADS Cassidian sowie der Internet-Knotenpunkt DE-CIX beteiligt sind.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 03 2013

Das Bundesamt für Sicherheit in der Informationstechnik und seine Kooperation mit militärischen Einrichtungen

cyber_atlantic_ENISAIn den von Edward Snowden nach und nach veröffentlichen Geheimdokumenten zu den Fähigkeiten der US-Geheimdienste ist auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Rede. Die Behörde bezeichnete sich selbst “Schlüsselpartner” des US-Militärgeheimdienstes National Security Agency (NSA).

Unbestritten ging das BSI aus der “Zentralstelle für das Chiffrierwesen” hervor, die beim Bundesnachrichtendienst angesiedelt war. Im “Nationalen Cyber-Abwehrzentrum” (NCAZ) arbeitet die Behörde mit allen Polizeien und Geheimdiensten des Bundes zusammen, darunter auch dem Militärischen Abschirmdienst. Wie die Bundeswehr betreibt das BSI ein “Computer Emergency Response Team” (CERT). Ziel der CERT’s, die auch auch von der Privatwirtschaft errichtet werden, ist der “verbesserte IT-Schutz”. Hierzu gehört nicht nur die “Lösung von konkreten IT-Sicherheitsvorfällen” oder Warnungen vor Sicherheitslücken. “In Einzelfällen” werden laut Bundesregierung auch “Penetrationstests” vorgenommen.

Grund genug also, sich für Kooperationen des BSI auf internationalem Parkett zu interessieren. Das dachte sich auch der MdB Jan Korte, der gemeinsam mit anderen Abgeordneten die Kleine Anfrage “Die Rolle des Bundesamts für Sicherheit in der Informationstechnik in der PRISM-Ausspähaffäre” gestellt hatte. Die Antwort ist nun eingetrudelt. Wie üblich werden eine Reihe von Informationen aber in die Geheimschutzstelle verschoben und sind dort nur für die Angehörigen des Bundestages einsehbar. Darüber sprechen dürfen sie in der Öffentlichkeit nicht.

So erfahren wir beispielsweise nichts über weitere Treffen zwischen dem BSI und weiteren geheimdienstlichen US-Einrichtungen. Lediglich ein “Expertentreffen” zwischen dem US-Militärgeheimdienst NSA, dem BND und dem BSI am 10. und 11. Dezember 2012 in Bonn wird bestätigt. Eine “fachliche Kontaktaufnahme” seitens des BSI zur NSA sei auch gar nicht nötig gewesen, erklärt die Bundesregierung. Denn diese sei bereits “auf ministerieller Ebene erfolgt”. Das ist interessant, denn das BSI untersteht dem Bundesinnenministerium. Der Satz lässt sich so interpretieren, dass IM Friedrich selbst bei der NSA angeklopft hatte.

Doch auch die öffentlich beantworteten Fragen geben Anlass zu Zweifeln. Denn es wird wiederholt, was das BSI bereits in einer eigenen Pressemitteilung betonte. So heißt es, man habe “weder die NSA noch andere ausländische Nachrichtendienste unterstützt”. Allerdings geht es bei dem Dementi lediglich um die Frage, ob das BSI half, “Kommunikationsvorgänge oder sonstige Informationen am Internet-Knoten De-CIX” auszuspähen. Bezüglich des Überwachungswerkzeugs XKeyscore war das BSI aber sehr wohl involviert: MitarbeiterInnen seien laut der Bundesregierung “bei einer externen Präsentation des Tools durch den Bundesnachrichtendienst im Jahr 2011″ anwesend gewesen.

Die Zusammenarbeit mit der NSA wird nicht bestritten, denn diese sei die für die USA zuständige “Nationale Kommunikationssicherheits- und Cybersicherheitsbehörde”. Die NSA ist aber nicht die einzige Militärbehörde, mit der das BSI Beziehungen pflegt. Die internationale Kooperation knüpft laut der vorliegenden Antwort an die Mitgliedschaft der Bundesrepublik Deutschland in der NATO an. “Kooperationsfelder” würden sich demnach “aus den Aufgaben der NATO in der Informations- und Cybersicherheit” ableiten. Für die “anlass- und themenbezogene Zusammenarbeit” innerhalb der NATO seien “geregelte Gremienstrukturen” eingerichtet worden.

Zur Wahrnehmung seiner Aufgaben nimmt das BSI an “internationalen IT-Sicherheitsübungen” teil. Die Europäische Union hatte beispielsweise die Übung “Cyber Europe 2010″ ausgerichtet, um die “Abwehrbereitschaft der EU” zu verbessern. 22 Mitgliedstaaten beteiligten sich, verantwortlich war die Europäische Agentur für Netz- und Informationssicherheit (ENISA) mit Sitz in Athen. Chef der ENISA ist Udo Helmbrecht, früherer Präsident des Bundesamtes für Sicherheit in der Informationstechnik).

Mittlerweile werden derartige Manöver zur “Abwehr von IT-Angriffen gegen Regierungsnetze” unter Beteiligung der USA durchgeführt. In der Übung “Cyber Atlantic 2011″ lag hierfür unter anderem das Szenario eines Hackerangriffs zugrunde:

Für das erste Szenario wurde als Angreifer eine Hackergruppe mit “Anonymous ähnlichem” Hintergrund angenommen und im zweiten Szenario wurde die Reaktion auf Angriffe gegen kritische Infrastrukturen geübt.

Kurz vor der “Cyber Europe 2010″ hatten mehrere EU-Mitgliedstaaten (Frankreich, Deutschland, Ungarn, Italien, Niederlande, Schweden und Großbritannien) an der zivil-militärischen US-Übung “Cyber Storm III” teilgenommen, die vom Ministerium für Innere Sicherheit der Vereinigten Staaten (DHS) geleitet wurde. Die EU-Kommission und ENISA nahmen als Beobachter teil. Auch das BSI war mit 25 MitarbeiterInnen an Bord und beschäftigte sich in “Cyberstorm III” mit einem “Computerwurm-Szenario” (kurz darauf wurde erstmals die Existenz des Stuxnet-Virus offenkundig). Auch ein Mitarbeiter des Bundeskriminalamts (BKA) sei laut der Bundesregierung an “Cyberstorm III” beteiligt gewesen, ein Mitarbeiter des BSI saß mit in der “zentralen Übungssteuerung” in Den Haag.

Hier schließt sich der Kreis zur Zusammenarbeit mit internationalen Militärs, denn in “Cyber Storm III” war auch das US-Verteidigungsministerium mit mehreren Behörden eingebunden: Dem “Defense Cyber Crime Center”, dem “United States Cyber Command”, dem “United States Strategic Command” und natürlich führenden MitarbeiterInnen der NSA.

Zur derart dominanten militärischen Beteiligung bei “Cyberstorm III” befragt, redet sich die Bundesregierung heraus:

An dem Strang von Cyber Storm III, an dem Deutschland [mit BSI und BKA] beteiligt war, haben keine militärischen Stellen teilgenommen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 20 2013

BSI 2005 über BlackBerry E-Mail Push-Dienst: “Britische Behörden haben Zugriff auf das gesamte Nachrichtenaufkommen”

Deckblatt: Sicherheitsaspekte des E-Mail-Push-Dienstes

Deckblatt der BSI-Analyse: Sicherheitsaspekte des E-Mail-Push-Dienstes “BlackBerry”

Das gesamte Nachrichtenaufkommen des E-Mail-Push-Dienstes von BlackBerry wird zwangsweise über Großbritannien geleitet und steht den örtlichen Sicherheitsbehörden zur Verfügung. Das schrieb das Bundesamt für Sicherheit in der Informationstechnik vor acht Jahren in einem internen Papier, das wir in Volltext veröffentlichen. Die britischen Behörden konnten demnach schon damals unter “sehr weit gefassten Voraussetzungen” auf alle Nachrichten zugreifen, unter anderem auch ganz offiziell zur Wirtschaftsspionage.

Heute Vormittag berichteten wir über die Ablehnung unserer Informationsfreiheits-Anfrage nach einem BSI-Papier über die Sicherheit von BlackBerry-Produkten. Die für IT-Sicherheit zuständige Bundesbehörde verweigerte unsere Anfrage, weil die Antwort “nachteilige Auswirkungen auf die internationalen Beziehungen haben” könnte. Das lassen wir nicht gelten und haben weiter gegraben.

Wie wir herausfinden konnten, hat die WirtschaftsWoche zum damaligen Bericht von Jürgen Berke mindestens in der Print-Ausgabe auch den Inhalt der BSI-Analyse gedruckt. Wir haben diese wieder ausgegraben und zitieren hiermit in Volltext aus dem Papier mit dem Titel “Sicherheitsaspekte des E-Mail-Push-Dienstes ‘BlackBerry’” mit Stand vom 20. September 2005:

1. Die Übertragungssicherheit beruht vollständig auf proprietären Mechanismen der Firma RIM. Der zur Verschlüsselung verwendete mathematische Algorithmus wird zwar als sicher angesehen, für die Qualität der Implementierung, der Schlüsselerzeugung und des Schlüsselmanagements liegt jedoch keine unabhängige Evaluierung vor.

2. Das gesamte Nachrichtenaufkommen wird zwangsweise über ein Mobile Routing Center (MRC) im Ausland geleitet (für Europa nach Großbritannien, Egham bei London). Damit sind dort alle Verbindungsdaten (Absender, Empfänger, Uhrzeit) sowie die (verschlüsselten) Kommunikationsinhalte verfügbar. Nach britischem Recht können die örtlichen Sicherheitsbehörden unter sehr weit gefassten Voraussetzungen (unter anderem zum Wohl der britischen Wirtschaft) Zugang zu diesen Daten Daten erhalten (RIP-Act 2000). Im Falle von (aus britischer Sicht) ausländischem Nachrichtenverkehr dürfen diese sogar ohne Personenbezug aufgeklärt werden.

3. Es ist nicht möglich, eine eigene, von RIM unabhängige Verschlüsselung zum Schutz der Kommunikationsinhalte zu realisieren. So lassen sich Mail-Anhänge, die vom Nutzer (zum Beispiel mit PGP oder Chiasmus) verschlüsselt wurden, mit BlackBerry nicht übertragen. Eine Verschlüsselung des Übertragungsweges (…) scheitert an der speziellen Blackberry-Infrastruktur.

4. Der im Unternehmensnetz installierte Synchronisationsserver BES (Blackberry Enterprise Server) wird mit einer Software der Firma RIM betrieben und benötigt hoch privilegierten Zugriff auf die Mail/Messaging-Server des Unternehmens. Er kann somit auf den gesamten dort gespeicherten Datenbestand zugreifen.

5. Alle Verfahren, Softwarekomponenten und Protokolle sind proprietär und werden von RIM als Firmengeheimnis behandelt. Das tatsächliche Betriebsverhalten des Systems lässt sich daher nicht überprüfen. Kritisch ist in diesem Zusammenhang, dass auf rund der verschlüsselten Übertragung nicht nachvollziehbar ist, welche Nachrichten zwischen Blackberry Enterprise Server und Mobile Routing Center ausgetauscht werden.

Das Fazit des Bundesamtes lautete:

Bei dieser Sicherheitseinschätzung können ausschließlich die potentiellen Möglichkeiten, die Blackberry zur nachrichtendienstlichen Informationsbeschaffung bietet, betrachtet werden. Ob und inwieweit diese Möglichkeiten tatsächlich genutzt werden, entzieht sich der Kenntnis des BSI und ist nicht Gegenstand dieser Einschätzung. Aus Sicht des BSI ist Blackberry auf Grund der oben dargestellten unsicheren Architektur für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen nicht geeignet.

Zur Einordnung verweisen wir gerne noch auf ein paar weitere Meldungen der letzten Jahre:

Kann uns wer sagen, ob wir (oder die WirtschaftsWoche) jetzt die internationalen Beziehungen beschädigen?

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Spaß mit Informationsfreiheit: BSI warnt vor Blackberry, Begründung gefährdet die internationalen Beziehungen

Sitz des BSI in Bonn. Bild: Qualle. Lizenz: Creative Commons BY-SA 3.0.

Sitz des BSI in Bonn. Bild: Qualle. Lizenz: Creative Commons BY-SA 3.0.

Das Bundesamt für Sicherheit in der Informationstechnik warnt vor BlackBerry, weil britische Dienste Zugriff auf das “gesamte Nachrichtenaufkommen” haben. Ein Einblick in die zugrundeliegende Analyse wird uns aber verwehrt, da die Informationen die internationalen Beziehungen gefährden würden. Das BSI verweigert hier seine Aufgabe: Die IT-Sicherheit in unserer Gesellschaft.

Langsam können wir die Rubrik Spaß mit Informationsfreiheit zur eigenen Dauer-Kategorie befördern. Der neueste Streich: Vor acht Jahren (!) warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor den Diensten des Unternehmens BlackBerry. Jürgen Berke berichtete damals in der WirtschaftsWoche:

Nach Volkswagen meldet auch das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) Bedenken an und warnt vor dem Gebrauch der mobilen E-Mail-Maschine. „Auf Grund der unsicheren Architektur ist der Blackberry für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen nicht geeignet“, heißt es in einer BSI-Analyse. Der „nur zum internen Gebrauch“ erstellte Bericht kreidet RIM an, dass das „gesamte Nachrichtenaufkommen zwangsweise“ über ein Rechenzentrum in Egham bei London geleitet wird. „Nach britischem Recht“ – so der BSI-Bericht – können „die örtlichen Sicherheitsbehörden unter sehr weit gefassten Voraussetzungen (unter anderem zum Wohle der britischen Wirtschaft)“ – Zugang zu allen Verbindungsdaten und Inhalten erhalten. „Es gibt damit die theoretische Möglichkeit, dass Dritte auf die E-Mails zugreifen, die vom Blackberry versandt werden“, erklärt BSI-Referatsleiter Michael Dickopf.


Nachdem CCC-Sprecher Frank Rieger letzten Monat berichtete, dass Blackberry 10 E-Mail-Passworte für NSA und GCHQ zugreifbar macht ist uns die BSI-Analyse wieder eingefallen, die wir prompt per Informationsfreiheits-Anfrage angefordert haben. Jetzt kam die kürzeste IFG-Antwort, die wir bisher erhalten haben:

Ihr o.g. Antrag wird nach § 3 Nr. l lit. a) IFG abgelehnt, da das Bekanntwerden der Information nachteilige Auswirkungen auf die internationalen Beziehungen haben kann.

Das BSI ist eine Bundesbehörde und gehört zum Geschäftsbereich des Innenministeriums. Es wird aus Steuern finanziert und erarbeitet Informationen zur IT-Sicherheit für die öffentliche Verwaltung, Wirtschaftsunternehmen, Wissenschafts- und Forschungseinrichtungen sowie Privatanwender. Warum darf die Öffentlichkeit eine von ihr bezahlte Untersuchung nicht sehen, in der vor bestimmten Diensten gewarnt wird? Wie passt das mit der Aufgabe zusammen, “den sicheren Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft zu ermöglichen und voranzutreiben”? Und was hat das mit den internationalen Beziehungen zu tun?

Natürlich lassen wir das nicht auf uns sitzen und haben zunächst den Informationsfreiheitsbeauftragten Peter Schaar um Vermittlung gebeten.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl