Über unsMediaKontaktImpressum
14. Mai 2019

BSI bestätigt GPG für vertrauliche Dokumente

Behörden dürfen nun vertrauliche Dokumente GPG-verschlüsselt versenden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zwei Implementierungen der Verschlüsselungssoftware zugelassen.

Deutsche Behörden dürfen die Verschlüsslungssoftware nicht für streng geheime Dokumente, aber immerhin für vertrauliche Dokumente verwenden. Beispielhaft für diese Dokumente werden Sicherheitsüberprüfungen von Personen, Fahndungsunterlagen aus den Bereichen Terrorismus oder Extremismus, Geheimschutzdokumentationen oder besondere Dienstanweisungen und Dienstpläne genannt. Das BSI hat den OpenPGP-Standard für die Übertragung von Dokumenten mit der niedrigsten Geheimhaltungsstufe ("VS-Nur für den Dienstgebrauch") mittels Gpg4win unter Windows sowie GnuPG unter Linux zugelassen. Laut des BSI wurde damit erstmal GPG für Verschlusssachen zugelassen.

Linux und Windows

Über die Software Gpg4win können Dateien über den Windows Explorer verschlüsselt werden, außerdem kann mit dem enthaltenen Outlook-Add-in E-Mails vertraulich verschickt werden. Bei Linux hat das BSI eine Kombination aus GnuPG und dem E-Mail-Programm KMail, dem Standard-Mailprogramm der KDE Desktop-Umgebung, für eine vertrauliche Nutzung freigegeben. Sowohl GPG4win als auch KMail werden bereits seit einigen Jahren durch das Bundesamt für Sicherheit in der Informationstechnik unterstützt.

Der Quelltext für beide Implementierungen sind vollständig als Open Source Software verfügbar. BSI-Präsident Arne Schönbohm spricht sich stark für einen durchgehenden Einsatz von sicherer Kryptografie in Deutschland aus und fordert, dass dies zum Normalfall werden sollte, da eine konkrete implementierte Verschlüsselung die Vertraulichkeit einer digitalen Kommunikation nachhaltig schützt. "Durch die Zulassung des OpenPGP-Standards geben wir Behörden ein Werkzeug an die Hand, mit dem sie auch eingestufte Inhalte vertraulich austauschen können" äußert sich Schönbohm. Folglich unterstütze das BSI "das Vorhaben der Bundesregierung, Deutschland zum 'Verschlüsselungsstandort Nr. 1' zu machen", so der BSI-Präsident weiter.

Warum "nur" die niedrigste Geheimhaltungsstufe?
Dokumente oder Informationen, welche die Einstufung VS-Vertraulich, Geheim oder sogar streng Geheim tragen, dürfen weiterhin nicht mit GPG versendet werden. Dabei stellt sich die Frage nach dem "Warum". Womöglich, da es in der Vergangenheit Probleme gab. Denn in bestimmten Fällen ließ sich bei S/MIME und PGP die E-Mail Signaturprüfung austricksen und die E-Mail Verschlüsselung war angreifbar.

Die Behörden in der Schweiz setzen zur Kommunikation auf die Enterprise Variante des Instant-Messaging-Dienst Threema. Dabei dürfen ebenfalls als vertraulich eingestufte Dokumente und Informationen verschickt werden.

LG

Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.

Das könnte Sie auch interessieren