MS-DOS und MS Windows sind eingetragene Warenzeichen der Firma Microsoft. Amiga ist eingetragenes Warenzeichen der Firma Escom. MacIntosh und Apple MacIntosh sind eingetragene Warenzeichen der Firma Apple.

Das MIT kann ein Copyright auf die spezielle Zusammenstellung auf ihrer ftp-Site beanspruchen. Dieses "compilation copyright" beinhaltet keine Rechte am Programm, der Dokumentation oder sonstigen begleitenden Dateien.

Der Autor übernimmt keine Haftung für Schäden, die aus der Nutzung der Software entstehen, auch dann nicht, wenn die Schäden aus Fehlern der Software resultieren. Der Autor macht keine Angaben über die Verkaufbarkeit der Software oder ihre Brauchbarkeit für bestimmte Anwendungen. Die Software wird nur in der bestehenden Form zur Verfügung gestellt, ohne jede explizite oder implizite Garantie.

Patentrechte auf die Algorithmen

Für Anwender außerhalb der USA sei angemerkt, daß das US-Patent auf RSA nur innerhalb der USA(*) gilt und daß es kein RSA-Patent in anderen Ländern gibt. US-Bundesbehörden können RSA nutzen, weil die Entwicklung von RSA staatlich durch Zuschüsse der National Science Foundation und der US-Navy finanziert wurde. Die Verwendung von PGP durch Stellen der US-Regierung unterliegt jedoch Einschränkungen, die sich aus meiner Einigung mit ViaCrypt ergeben. Hierzu später mehr.

PKP erhielt nicht nur die ausschließlichen Patentrechte für RSA, sondern auch die ausschließlichen Rechte für drei andere Patente für asymmetrische Verschlüsselungsverfahren, die an der Stanford University mit Bundeszuschüssen entwickelt wurden. Im Prinzip entscheidet damit in den USA eine einzige Firma über die Verwendung von public key Verschlüsselungssystemen. PKP beansprucht sogar das Patentrecht an dem grundlegenden Konzept der Kryptographie mit öffentlichen Schlüsseln, unabhängig davon, wie intelligent auch immer ein neuer Algorithmus sein wird, der unabhängig von PKP entwickelt werden könnte. Ich halte ein derart umfassendes Monopol für gefährlich, weil ich der Meinung bin, daß Kryptographie mit öffentlichen Schlüsseln einen zentralen Beitrag zum Schutz der Bürgerrechte und der Privatsphäre in unserer immer mehr verkabelten Gesellschaft leisten kann. Zumindest setzt das Monopol von PKP diese lebenswichtige Technologie dem Risiko der Einflußnahme durch die Regierung aus.

Seit der Version 2.5 (vertrieben vom MIT, dem Inhaber des originalen Patentes auf RSA) verwendet die Freeware-Version von PGP die RSAREF-Routinen, die innerhalb der USA für nichtkommerzielle Anwendungen benutzt werden dürfen.

Die PGP Version 2.0 entstand aus der gemeinsamen Arbeit eines internationalen Programmierteams, das unter meiner Leitung Verbesserungen gegenüber der ersten Version implementierte. Diese Version wurde von Branko Lancaster in Holland und von Peter Gutmann in Neuseeland veröffentlicht, außerhalb der Reichweite des Patentgesetzes der USA. Obwohl es nur in Europa und Neuseeland veröffentlicht wurde, verbreitete sich PGP spontan in die USA, ohne daß ich oder das Entwicklungsteam etwas damit zu tun gehabt hätten.

Das bei PGP ebenfalls verwendete blockorientierte Verschlüsselungsverfahren IDEA unterliegt in Europa einem Patent, das der ETH Zürich und einer Schweizer Firma namens Ascom Systec AG gehört. Die Patentnummer ist PCT/CH91/00117. Die US-Patentnummer ist US005214703, die europäische Patentnummer lautet EP 0 482 154 B1. Für die nicht-kommerzielle Verwendung von IDEA werden keine Lizenzgebühren verlangt. Die Ascom-Tech AG hat eine Lizenz für die nicht-kommerzielle Nutzung von IDEA bei PGP erteilt. In den USA müssen staatliche und kommerzielle Anwenderinnen eine lizensierte PGP-Version von ViaCrypt beziehen, diese schließt eine Lizenz für IDEA mit ein.

Die Verwendung der IDEA-Routinen aus PGP in anderen, kommerziellen Produkten ist ohne eine Lizenz von Ascom Tech nicht erlaubt. Weitere Informationen finden Sie auf dem Server der Firma Ascom Systec AG hier.

Die bei PGP verwendeten ZIP-Kompressionsroutinen stammen aus Freeware-Quellcode und werden mit Erlaubnis des Autors verwendet. Mir sind keine Patente bekannt, die für die Kompressionsalgorithmen erteilt worden wären, aber Sie können diese Frage gerne selbst genauer untersuchen. Ascom hat vor kurzem seine Politik bezüglich der kommerziellen Nutzung außerhalb der USA geändert, hierbei scheint noch einiges in Bewegung zu sein.(*)

Lizensierung und Vertrieb

Unabhängig von den komplizierten und teilweise überlappenden Beschränkungen und Bedingungen der verschiedenen Patent- und Urheberrechte (RSA, RSAREF und IDEA), die verschiedene Institutionen haben, gilt eine weitere Beschränkung auf die Benutzung von PGP, die sich aus meiner Einigung mit ViaCrypt ergibt: Die Freeware-Version darf nur privat und nichtkommerziell genutzt werden.(*)

PGP ist keine Shareware, es ist Freeware, veröffentlicht als gesellschaftliche Dienstleistung. Daß PGP kostenlos ist, ermutigt viele Menschen, PGP auch zu verwenden. Dies wird hoffentlich größere soziale Auswirkungen haben, woraus sich ein großer Bekanntheitsgrad und eine weite Verbreitung von RSA ergeben könnte.

Scheuen Sie sich nicht, das vollständige PGP-Paket soweit wie möglich zu verbreiten. Geben Sie es allen Ihren Freunden. Wenn Sie Zugang zu MailBoxen haben, stellen Sie PGP in möglichst allen MailBoxen öffentlich zur Verfügung. Auch den Quellcode können Sie beliebig verbreiten. Die ausführbare PGP-Version 2.6 für MS-DOS steht zusammen mit der Dokumentation, einigen öffentlichen Schlüsseln, darunter mein eigener, sowie Unterschriften unter das Programm in einer Datei namens PGP26[MIT].ZIP.(*) Die Quelldateien für MS-DOS sind in einer Datei namens pgp26src.zip enthalten.

Kostenlose Kopien und Updates von PGP finden Sie weltweit in tausenden von MailBoxen und anderen öffentlich zugänglichen Archiven, wie ftp-Servern im Internet. Der Ursprung von PGP ist das MIT, speziell der ftp-Server net-dist.mit.edu im Verzeichnis /pub/PGP. Mich selbst brauchen Sie nicht nach PGP zu fragen, insbesondere, wenn Sie außerhalb der USA und Kanadas wohnen.

Nach all der Arbeit an PGP möchte ich noch anmerken, daß ich gegen Fanpost nichts einzuwenden habe, allein schon, um seine Popularität abschätzen zu können. Teilen Sie mir mit, was Sie von PGP halten und wieviele Ihrer Freunde es verwenden. Hinweise auf Fehler und Verbesserungsvorschläge sind natürlich ebenfalls gerne gesehen. In künftigen PGP-Versionen werden Ihre Anregungen möglicherweise berücksichtigt werden.

Das PGP-Projekt wurde nicht finanziell gefördert und hat mir beinahe die Haare vom Kopf gefressen. Sie dürfen deshalb nicht mit einer Antwort auf Ihren Brief rechnen, es sei denn, Sie legen einen frankierten Rückumschlag bei. Lieber antworte ich auf E-Mail. Bitte schreiben Sie auf Englisch, weil meine Fremdsprachenkenntnisse begrenzt sind. Wenn Sie mich anrufen, und ich bin nicht da, probieren Sie am besten etwas später noch einmal. Rückrufe auf Ferngespräche mache ich in der Regel nicht, es sei denn, Sie akzeptieren ein R-Gespräch. Falls Sie mich für längere Zeit brauchen: Ich stehe als Berater auf entsprechender finanzieller Basis zu Verfügung und antworte auch auf derartige Anfragen.

Die ungelegenste Post, die ich bekomme, stammt von Menschen, die mir in der besten Absicht ein paar Dollar schicken mit der Bitte, ihnen PGP zuzusenden. Ich mache das nicht, um rechtlichen Problemen mit PKP aus dem Weg zu gehen. Noch schlechter ist es, wenn so eine Anfrage aus dem Ausland kommt. In dem Fall würde ich es riskieren, die US-amerikanischen Gesetze über den Export von Kryptographie zu verletzen. Aber auch wenn es keine rechtliche Auseinandersetzung um PGP gäbe: Normalerweise reicht das Geld in so einem Brief nicht aus, um den Zeitaufwand zu rechtfertigen, den ich mit dem Versand hätte. Ich bin nicht darauf eingerichtet, im Nebenberuf preiswertes Versandhaus zu spielen. Andererseits kann ich das Geld auch nicht einfach behalten, weil es als Honorar für eine Leistung gedacht ist. Um das Geld aber zurückzuschicken, muß ich mich in mein Auto setzen, zum Postamt fahren und Briefmarken kaufen. Normalerweise kommen diese Anfragen ohne frankierten Rückumschlag. Als nächstes muß ich mir die Zeit nehmen, eine freundliche Antwort zu schreiben, daß ich dem Wunsch der Absender nicht nachkommen kann. Wenn ich die Beantwortung zurückstelle und den Brief einfach auf meinen Schreibtisch lege, kann es passieren, das er innerhalb von Minuten unter Papierstapeln vergraben wird, und erst Monate später wieder ans Tageslicht kommt. Wenn Sie all diese kleinen Unbequemlichkeiten mit der Anzahl der Anfragen multiplizieren, wird Ihnen das Problem klar. Reicht es nicht, daß PGP nichts kostet? Wie schön wäre es, wenn diese Leute versuchen würden, PGP aus irgendeiner der unzähligen vorhandenen Quellen zu beziehen. Wenn Sie kein Modem haben, fragen Sie in Ihrem Bekanntenkreis. Wenn Sie keine Bezugsquelle finden, können Sie mich kurz anrufen.(*)

Es gibt so viele fremdsprachige Übersetzungen von PGP, daß die meisten Sprachkits nicht im Standardpaket von PGP enthalten sind, um Speicherplatz zu sparen. Einzelne Sprachkits können Sie aus einer großen Zahl unabhängiger Quellen beziehen. Häufig sind es die gleichen Quellen, bei denen Sie auch das eigentliche PGP-Paket finden. Diese Kits enthalten übersetzte Versionen von language.txt, pgp.hlp und vom Handbuch. Falls Sie daran denken, PGP in Ihre Muttersprache zu übersetzen, setzen Sie sich mit mir in Verbindung, damit Sie die neuesten Informationen und Standardisierungsrichtlinien bekommen, und um herauszufinden, ob es bereits eine Übersetzung in Ihre Sprache gibt. Wenn Sie ein Sprachkit für eine bestimmte Sprache suchen, probieren Sie es am besten in den entsprechenden Internetgruppen oder fragen sie Mike Johnson (<mpj@csn.org>).

Wenn Sie Usenet-Anschluß haben, beobachten Sie die Newsgroups sci.crypt und die PGP-spezielle Newsgroup alt.security.pgp, um Ankündigungen von neuen PGP-Versionen zu erhalten. Wenn sie PGP suchen, versuchen Sie es zunächst via ftp bei net-dist.mit.edu. Oder fragen Sie Mike Johnson (<mpj@csn.org>) nach einer Liste von ftp-Sites und BBS-Nummern.

Bitte beachten Sie bei obigen Ausführungen, daß es die US-Regierung als illegalen Export betrachtet, wenn Sie von außerhalb der USA PGP, andere Programme oder Daten, die den Exportbeschränkungen unterliegen von einem US-amerikanischen ftp-Server oder einer US-amerikanischen MailBox kopieren. Möglicherweise gefährden Sie damit sogar einen amerikanischen MailBoxbetreiber. Nach einer Meldung in alt.security.pgp wurde in den USA schon gegen einen MailBoxbetreiber ermittelt, der PGP öffentlich angeboten hat.

In Deutschland ist zu erwarten, daß neue Versionen von PGP nach kurzer Zeit, in der der Sourcecode auf offensichtliche Manipulationen geprüft wird, in der //BIONIC zu finden sein werden. Diese MailBox ist erreichbar unter der Nummer 0521-68000, Loginname PGP, kein Passwort. Wieder mal ein bißchen Werbung in eigener Sache... Weiterhin auch in der HIT, 0681-399426, Username SAUGER, im Brett /BINAER/SAUGER, letztere Adresse gilt allerdings nur für die MS-DOS-Version. Die Amiga-Version wird in sämtlichen Boxen, die das Aminet führen, weitergegeben werden, im FrAS in größeren Abständen wohl auch. Mit kurzer zeitlicher Verzögerung werden Sie neue PGP-Versionen auch auf ftp-Servern außerhalb der USA finden.

Die aktuelle Version von PGP (2.6.3i) finden Sie beispielsweise hier bzw. in der MS-DOS-Version hier, die fertig kompilierten Programme finden Sie ebenfalls in Norwegen, und zwar für MSDOS, OS/2, Atari, Amiga und Apple MacIntosh.

Kleine Anfrage des Abgeordneten Dr. Manuel Kiper und der Fraktion BUENDNIS 90/DIE GRUENEN

Die Bedeutung der Sicherheit der Informationstechnik (IT-Sicherheit) wird häufig betont. Die Praxis zeigt jedoch, daß Probleme von großer Wichtigkeit nicht angegangen und grundsätzliche Fragen nicht gestellt werden. In besonderem Maße tritt dies bei solchen technischen Teilbereichen zutage, die wie die Kryptographie nicht allein der Herstellung von IT-Sicherheit dienen können, sondern den Interessen staatlicher Sicherheit untergeordnet werden.

Die Bundesregierung bereitet derzeit die Einführung einer elektronischen Unterschrift vor. Elektronische Daten werden dabei durch eine Verschlüsselung "versiegelt". Gleichzeitig wird auf diese Weise die Nutzung von kryptographischen Verfahren in großem Umfang begonnen. Pläne seitens der EU-Kommission zu ähnlichen Verfahren sind bekannt geworden, die US- Regierung hat ihrerseits erste Überlegungen einer Neuausrichtung ihrer Kryptographie-Politik bekannt gegeben. Die Antwort der Bundesregierung auf eine Anfrage zur Kryptographie (BT-Drs. 13/1889) sind damit nicht länger aktuell.

Der bislang nicht gewährleistete Schutz persönlicher Daten, die auf elektronischem Weg verschickt werden, kann mit den Kryptierungsinitiativen vorangetrieben werden. Damit wird gleichzeitig die Frage nach einer internationalen Abstimmung notwendig, wenn Nutzung wie Handel mit Kryptiersystemen keinen künstlich errichteten Barrieren ausgesetzt werden sollen.

IT-Sicherheit besteht jedoch aus weit mehr als nur Kryptierung. Die wenig erhellende Antwort der Bundesregierung auf eine Kleine Anfrage zum BSI (BT- Drs. 13/3408) macht es notwendig, verschiedene Bereiche der IT-Sicherheit erneut zu thematisieren.

Vorbemerkung der Bundesregierung:

Sichere kryptografische Verfahren für Zwecke der

• digitalen Signatur (elektronischen Unterschrift),
• Identifikation/Authentisierung und Zugriffskontrolle (z.B. als "digitaler Ausweis" in Netzen) und
• Verschlüsselung

Die Bundesregierung prüft zur Zeit, in welchem Umfang künftig ein elektronisches Dokument mit digitaler Signatur einem Schriftdokument mit eigenhändiger Unterschrift rechtlich gleichgestellt werden soll.

Im uebrigen wird auf die BT-Drucksache 13/1889 verwiesen.

2. Welche offiziellen Kontakte gab es zwischen der NSA und Mitarbeitern der ehemaligen Zentralstelle für das Chiffrierwesen (ZfCh) und in welchem Umfang werden diese heute vom BSI weitergepflegt?

zu 1. und 2
Wie das BSI und seine Vorgängerbehörden ist die NSA für die Entwicklung und Zulassung von Verschlüsselungssystemen im staatlichen Geheimschutzbereich zuständig. Es fand und findet deshalb ein regelmäßiger multilateraler Erfahrungsaustausch statt. Die letzte Begegnung erfolgte am 1. März 1996 im Rahmen der Zusammenarbeit des BSI mit NIST, NSA und den entsprechenden Behörden Kanadas, Großbritanniens, Frankreichs und der Niederlande zur Weiterentwicklung der Europäischen IT-Sicherheitskriterien (ITSEC) zu gemeinsamen Kriterien (Common Criteria).

3. Mit welchen Unternehmen hat die ZfCh bei der Entwicklung von Verschlüsselungstechnik zusammengearbeitet bzw. mit welchen arbeitet das BSI heute zusammen?

Zu 3.
ZfCh bzw. BSI arbeiteten/arbeiten grundsätzlich mit allen deutschen Kryptoherstellern zusammen.

4. Gab bzw. gibt es dabei eine Zusammenarbeit mit verschiedenen Firmen, sowie Herstellern von Geräten und Systemen zur Elektronischen Kampfführung (EloKa)? Wenn ja, zu welchem Zweck?

Zu 4.
Ja, die Zusammenarbeit diente vor allem der Entwicklung von Kryptogeräten für den Bereich des staatlichen Geheimschutzes.

5. Trifft es zu, daß für das BSI ein neuer leistungsfähiger Großrechner beschafft werden soll? Wenn ja: Für welche Zwecke wird dieser Rechner benötigt?

zu 5.
Ja. Er soll der Entwicklung und Untersuchung kryptographischer Algorithmen (z. B. zur Verschlüsselung oder digitalen Signatur) dienen.

6. In welchem Umfang unterliegt der Export von Verschlüsselungssystemen in der Bundesrepublik Exportbeschränkungen und in welchem Umfang ist das BSI an der Erteilung von Exportlizenzen fachlich beteiligt bzw. war die vormalige ZfCh daran beteiligt?

Zu 6.
Verschlüsselungssysteme sind in Deutschland, ebenso wie z.B. in den übrigen Mitgliedstaaten der EU, wegen ihrer doppelten Verwendungsfähigkeit in weitem Umfang einer Ausfuhrgenehmigungspflicht unterworfen. Die entsprechenden Ausrüstungen, Baugruppen, Bestandteile, einschlägige Prüf-, Test-, Herstellungseinrichtungen, Datenverarbeitungsprogramme und Technologie sind in der Ausfuhrliste - Anlage zur Außenwirtschaftsverordnung - im Teil 1 C Abschnitt 5 Teil 2 "Informationssicherheit" - im einzelnen aufgeführt. Die Genehmigungsbehörde ist angewiesen, bis auf wenige Ausnahmen - z.B. bei Bankautomaten - alle Anträge auf Genehmigung solcher Ausfuhren dem BSI zur fachlichen Begutachtung vorzulegen. Diese Begutachtung erfolgte früher durch die ZfCh.

7. Beabsichtigt die Bundesregierung regulative Änderungen bei der Vergabe von Exportlizenzen?

Zu 7.
Das deutsche Exportkontrollsystem ist sowohl in seinen Rechtsnormen als auch in der administrativen Handhabung im Zuge der Harmonisierung durch die EG-Verordnung über die Ausfuhrkontrolle von Gütern mit doppeltem Verwendungszweck, gültig ab 1.7.1995, angepasst worden. Weitere Anpassungen können aufgrund von Abstimmungen in Internationalen Gremien erforderlich werden. Zur Zeit sind keine konkreten Änderungen in Vorbereitung.

8. Ist der Bundesregierung eine Einflußnahme von für Kryptierungsfragen zuständigen Behörden auf die Entwicklung von Kryptiersystemen bekannt?

zu 8.
Das BSI nimmt Einfluß auf die Entwicklung von Verschlüsselungssystemen fuer den staatlichen Geheimschutzbereich, damit diese den dortigen besonderen Sicherheitsanforderungen entsprechen.

9. Ist der Bundesregierung eine Einflußnahme von für Kryptierungsfragen zuständigen Behörden auf die Exportfähigkeit von Kryptiersystemen bekannt?

Zu 9.
Im Rahmen der Entscheidung über Ausfuhranträge sind die jeweils unterschiedlichen Interessen sorgfältig abzuwägen. Dabei hat die Genehmigungbehörde den Sachverhalt unter Berücksichtigung aller Interessen aufzuklären. Auf Wunsch der Hersteller können entwicklungsbegleitende Beratungen mit dem Ziel der Erfüllung der rechtlichen Voraussetzungen fuer die Exportfähigkeit von Systemen erfolgen.

10. Ist der Bundesregierung die Ansicht von Kryptierexperten bekannt, bestimmte Verschlüsselungsstandards und -systeme seien durch Einflußnahme von für Kryptierungsfragen zuständigen Behörden, insbesondere der NSA, aufgeweicht worden und wie bewertet sie diese Ansicht?

Zu 10.
Die restriktive Exportkontrollpolitik der USA auf dem Gebiet der Verschlüsselungstechnik ist allgemein bekannt; die Beratungspraxis des BSI gegenüber der öffentlichen Verwaltung und der deutschen Privatwirtschaft wahrt daher Zurückhaltung in der Empfehlung von derartigen Produkten US-amerikanischer Provenienz.

11. Ist der Bundesregierung bekannt, aus welchem Grund die International Standards Organisation (ISO) ihren Gliederungen - Technical Commitees - die Normung von Kryptieralgorithmen verboten hat? Wenn ja, welche Position hat die Bundesregierung dabei vertreten?

Zu 11.
Nein. Nach Auffassung der Bundesregierung ist Normung grundsätzlich eine Angelegenheit der wirtschaftlich Beteiligigten.

12. Wie bewertet die Bundesregierung Berichte, daß der Softwarehersteller Lotus zur Erlangung einer Exportlizenz in den USA für die neue Version 4.0 seines Produktes Lotus Notes 24 der 64 Bits des Kryptierschschlüssels US-Behörden bekannt geben mußte?

Zu 12.
Es wird auf die Antwort zu Frage 10. verwiesen.

13. Ist diese Software bei Bundesbehörden im Einsatz? Wenn ja, bei welchen?

Zu 13.
Vollständige statistische Angaben hierzu liegen der Bundesregierung nicht vor und können von ihr in der für die Beantwortung einer Kleinen Anfrage zur Verfügung stehenden Zeit nicht erhoben werden.

14. Hat die Bundesregierung bei der Beratung der Erfordernisse einer gesetzlichen Regelung kryptographischer Verfahren seit Mitte 1995 Fortschritte gemacht? Wenn ja, welche?

Zu 14.
Nein.

15. Beabsichtigt die Bundesregierung, bei den angekündigten gesetzlichen Regelungen einer elektronischen Unterschrift, die funktional einem Verschlüsselungssystem gleichkommt, die Systeme einer Lizensierung zu unterwerfen? Wenn ja, nach welchen Kriterien soll die Lizensierung geschehen, vor allem auch im Hinblick auf die Sicherheit der Systeme?

zu 15.
Die Bundesregierung prüft zur Zeit, in welcher Weise eine elektronische Unterschrift (digitale Signatur) in das Gefüge der Schriftformen des BGB und der Vorschriften über den Urkundsbeweis eingefügt werden kann. Dabei wird auch geprüft, ob die mögliche gesetzliche Anerkennung von Verfahren der digitalen Signatur davon abhängig gemacht werden soll, daß die Verfahren bestimmten Sicherheitsanforderungen entsprechen, und ob die Erfüllung der Sicherheitsanforderungen vom BSI oder einer vom BSI anerkannten Stelle nach öffentlichen Kriterien geprüft und bestätigt werden soll.

16. Welches Modell einer Schlüsselverwaltung strebt die Bundesregierung dabei an?

Zu 16.
Eine Entscheidung für ein bestimmtes Modell ist noch nicht getroffen. Denkbar wäre beispielsweise, daß die Beglaubigung (Zertifizierung) der Signaturschlüssel durch zugelassene Zertifizierungsinstanzen im freien Wettbewerb erfolgen soll. Voraussetzung für die Zulassung einer Zertifizierungsinstanz könnte sein, daß diese die erforderliche Zuverlässigkeit aufweist und nachweislich bestimmte technisch-organisatorische Sicherheitsvorkehrungen getroffen hat.

17. Beabsichtigt die Bundesregierung bei den genannten Systemen eine Beschränkung der Schlüssellaenge?

Zu 17.
Nein.

18. Hält es die Bundesregierung für notwendig, die Nutzung von bestimmten Kryptosystemen einzuschränken bzw. zu verbieten?

19. Wie realistisch ist nach Ansicht der Bundesregierung die Annahme, eine Beschränkung von Kryptiersystemen auf einige zugelassene sichere die Abhörmoeglichkeiten fuer Strafverfolgungsbehörden und Nachrichtendienste?

Zu 18. und 19.
Die Bundesregierung prüft das Erfordernis einer gesetzlichen Regelung des Einsatzes von Verschlüsselungssystemen. Diese Prüfung ist bislang nicht abgeschlossen.

20. Wie passen nach Ansicht der Bundesregierung ihre Pläne einer Regelung der elektronischen Unterschrift zu den Plänen sowohl auf EU-Ebene als auch den unterschiedlichen Plänen zur Kryptographie auf der Ebene der OECD-Staaten, und sieht die Bundesregierung Probleme bei der Abstimmung?

Zu 20.
Die Entwicklung in den europäischen bzw. internationalen Gremien befindet sich derzeit im Fluss, so daß es für eine Bewertung der verschiedenen Aktionen noch zu früh ist.

21. Wie bewertet die Bundesregierung den Standpunkt der US-Administration, bei Export und Nutzung von asymmetrischen Kryptiersystemen auf solche Systeme hinzuwirken, die sicherstellen, daß Strafverfolgungsbehörden und Geheimdienste sowohl eingehende als auch ausgehende elektronische Kommunikation in bestimmten Fällen entschlüsseln können?

Zu 21.
Die Bundesregierung prüft derzeit, welche Auswirkungen das Konzept der US-Administration auf den internationalen Waren- und Dienstleistungsverkehr hat und welche Schlüsse daraus für die Politik der Bundesregierung abzuleiten sind.

22. Welche Ministerien, Behörden und Ämter des Bundes sind zum gegenwärtigen Stand über das Internet erreichbar, in welcher Weise diese Systeme mit den übrigen DV-Systemen der jeweiligen Einrichtungen verbunden und wie wird dabei die Sicherheit und Integrität dieser Systeme gewährleistet?

Zu 22.
Vollständige statistische Angaben hierzu liegen der Bundesregierung nicht vor und können von ihr in der für die Beantwortung einer Kleinen Anfrage zur Verfügung stehenden Frist nicht erhoben werden.

Soweit Rechner an das Internet angeschlossen sind, haben sie entweder keine oder eine über Gateways realisierte Verbindung mit den übrigen DV-Systemen der jeweiligen Einrichtungen.

Verfügbarkeit, Vertraulichkeit und Integrität von an das Internet angeschlossenen Rechnern und lokalen Netzen bzw. der dort verarbeiteten Daten werden durch eine der folgenden Maßnahmen gewährleistet:

• Es werden Einzelarbeitsplätze benutzt, die nicht mit anderen lokalen Rechnern vernetzt sind.
• Die Erreichbarkeit über das Internet ist auf wenige Dienste beschränkt (insbesondere Elektronischer Dokumentenaustausch), wobei die Gateway-Rechner nur das Protokoll für den zugelassenen Dienst/die zugelassenen Dienste akzeptieren.
• Zukünftig werden zunehmend Firewalls zum Einsatz kommen.

23. Zwischen welchen Behörden findet ein Datenaustausch statt und wie wird dieser gesichert? In welchem Umfang hat das BSI Sicherheitskonzepte dafür erarbeitet?

Zu 23.
Datenaustausch findet zwischen denjenigen Behörden statt, deren gesetzliche Aufgaben eine Zusammenarbeit erfordern. Die Anforderungen an Verfügbarkeit, Vertraulichkeit und Integrität sind dabei sehr unterschiedlich. Daher sind auch die erforderlichen Sicherheitsmaßnahmen verschieden. Die Bundesbehörden verfügen über IT- Sicherheitskonzepte, in denen die IT-Verfahren untersucht und die jeweiligen Sicherheitsmaßnahmen dargestellt werden. Das BSI hat sowohl für die Sicherung der Vertraulichkeit beim Datenaustausch zwischen Behörden, wie auch zur Absicherung von Internet-Zugängen Sicherheitskonzeptionen entwickelt.

24. Hat es bei einem derartigen Datenaustausch Sicherheitsanalysen durch den Bundesrechnungshof gegeben und zu welcher Bewertung ist dieser gekommen?

Zu 24.
Es gab verschiedene Sicherheitsanalysen mit unterschiedlichen Ergebnissen.

25. Ist ein Ministerium, eine Behörde oder ein Amt im Verantwortungsbereich des Bundes jemals Opfer eines "Hackers" geworden? Wenn ja, um welche Behörde handelte es sich, wurde ein Angreifer indentifiziert, ein Verfahren eingeleitet und zu welchem Ergebnis kam dies? Wurden ueberdies Daten manipuliert oder zerstört?

Zu 25.
Der Bundesregierung ist nicht bekannt, daß Hacker nachweislich in eine der genannten Stellen eingedrungen sind.

26. Ist der Bundesregierung die amerikanische Software "PROMIS" (Prosecutorīs Management System) bekannt und ist sie in ihrem Verantwortungsbereich im Einsatz? Wenn ja, zu welchem Zweck und bei welcher Behörde?

Zu 26.
Nein.

27. Hat die Bundesregierung für die Beschaffung von Software Richtlinien, in denen IT-Sicherheitsaspekte berücksichtigt werden?

Zu 27.
Ja, bereichsspezifisch.

28. Gibt es Bereiche, in denen nur sicherheitsgeprüfte Software zum Einsatz kommt? Wenn ja, welche?

Zu 28.
Nein.

29. Ist der Bundesregierung in einer Einrichtung des Bundes jemals ein Softwareprodukt zur Kenntnis gelangt, das ein unerklärliches Sicherheitsloch - eine Sicherheits-trapdoor - auswies? Wenn ja, um welche Software handelte es sich?

Zu 29.
Nein.

30. Lassen sich derartige Sicherheitslöcher nach Erkenntnissen des BSI ohne Kenntnis des Quellcodes systematisch aufspüren? Wenn ja, mit welchem Aufwand?

Zu 30.
Zum Aufspüren solcher Sicherheitslücken ist die Inspektion wesentlicher Teile des Quellcodes unerlässlich; jedoch ist dies allein nicht ausreichend. Manche Sicherheitslücken sind erst im sogenannten Object-Code zu erkennen; somit sind Compiler und Libraries der angewandten Programmiersprachen ebenfalls zu untersuchen. Arbeitet man nur auf der Basis einfacher Tests, so ergeben sich mehr zufällige Aussagen. Bestenfalls kann ein vermutetes Sicherheitsloch bestätigt oder widerlegt werden; die Abwesenheit von Sicherheitslöchern nachzuweisen, kann dagegen nur mit einer eingehenden Analyse von Quell- und Object-Code erfolgen. Dabei ist der Einsatz bestimmter Prüfwerkzeuge zwingend.

31. Trifft es nach Kenntnis der Bundesregierung zu, daß bundesdeutsche "Hacker", die in den 80er Jahren in bestimmte Rechnersysteme in den USA eindrangen, ein Sicherheitsloch in den VAX/VMS-Betriebssystemen der Versionen 4.4 und 4.5 benutzten?

Zu 31.
Nach Kenntnis der Bundesregierung war in Version 4.4 VAX/VMS im Bereich "Security Service" ein Sicherheitsloch vorhanden, so daß auch unberechtigte Benutzer weitere Rechte vergeben konnten.

Wenn Sie außerhalb der USA und Kanadas leben, rate ich Ihnen, gegen diese Verordnungen des State Departement nicht dadurch zu verstoßen, daß Sie sich PGP aus den USA besorgen. Tausende von US-Bürgern haben sich PGP nach seiner ersten Veröffentlichung besorgt, und irgendwie ist es dann aus den USA herausgekommen und hat sich dann wie Unkraut von selbst weiterverbreitet. Wenn PGP bereits den Weg in Ihr Land gefunden hat, dann werden Sie wahrscheinlich keine US-Exportgesetze verletzen, wenn Sie sich PGP aus einer Quelle außerhalb der USA besorgen.

Die Versionen 2.0 bis 2.3a von PGP entstanden außerhalb der USA und wurden dort veröffentlicht, auf öffentlich zugänglichen Computern in Europa. Jede dieser Veröffentlichungen hat ihren Weg in die USA gefunden. Es gibt einige Beschränkungen in den USA, die die Einfuhr von Kriegswaffen reglementieren, aber diese sind meines Wissens nie auf Software angewendet worden. Juristische Maßnahmen gegen einen solchen Import dürften eine spektakuläre Auseinandersetzung ergeben.

Die Versionen 2.4-2.6 entstanden in den USA und dürfen nicht von dort exportiert werden.(*) Die ftp-Site des MIT ergreift Schutzmaßnahmen gegen den Export dieser Software, wie sie auf anderen Rechnern bereits seit langem praktiziert werden. Bitte versuchen Sie nicht, diese Schutzmechanismen zu umgehen, um die zukünftige Entwicklung von PGP nicht zu gefährden.

Aber! Falls Sie jemand darum bittet, unverschlüsselt zu senden, beachten Sie bitte diese Aufforderung unbedingt. In Kriegsgebieten kann das Empfangen einer verschlüsselten Nachricht für die Empfängerin bedeuten, als Spionin sofort und ohne gerichtliches Verfahren standrechtlich erschossen zu werden!

Im ZCONNECT-Datenaustauschverfahren der Zerberus GmbH ist deswegen ein eigener Header definiert worden, der auffordert, beim Antworten auf gar keinen Fall verschlüsselte Texte zu senden (was zum Beispiel von MailBox- oder Pointsoftware ausgewertet werden kann). Übrigens: Auch die Briefumschläge des Roten Kreuzes werden in Krisenregionen immer unverschlossen transportiert.

Allen Spenderinnen und Spendern einen herzlichen Dank!

Hinweise auf Pressemeldungen zu diesem Thema finden Sie im Literaturverzeichnis im Abschnitt Pressemeldungen.