Bund schaltet IT-Spione ein – aus – ein

266
Umleitung by Hartmut910, www.pixelio.de
Umleitung by Hartmut910, www.pixelio.de

Der Bund braucht moderne Client-Systeme, aber ohne Hintertürchen – beziehungsweise doch. Von Ludger Schmitz*

 Der Bund will also weg von Windows XP auf den Clients. Windows 7 ist schon dem Supportende nah, Windows 8 war nichts, also Windows 10. Das gibt es dank Verträgen mit Microsoft mit Rabatten, wird aber immer noch zig Millionen kosten. Offizielle Zahlen zu den Kosten gibt es noch nicht, erst recht nicht die eines weiteren Umstands: Ein paar Millionen mehr sind außerdem noch fällig, um unverzichtbare Spezialprogramme zu portieren oder komplett neu programmieren zu lassen. Nun ja, so ist das bei der IT-Modernisierung bei Großanwendern.

Nun weiß man, dass Windows 10 äußerst lebhaft mit Microsoft-Servern kommuniziert, und das lässt sich nicht über ein paar administrative Vorgaben verhindern. Also sind jetzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesdatenschutzbeauftragte dabei, einen standardisierten „Bundes-Client“ zu schaffen. Logisch.

Logisch? Der Bund kauft von Steuergelder ein Betriebssystem, von dem er weiß, dass es von Haus aus unsicher und von einer „befreundeten“ transatlantischen Regierung verwanzt ist. Daraufhin nimmt er ein zweites Mal Steuergelder, um es wieder sicher zu machen. Mal abgesehen von dem finanziellen Irrsinn bleiben zwei Fragen: Sind jetzt der Bund und seine Behörden Hersteller von Betriebssystemen? Und glaubt irgendeiner der Beteiligten allen Ernstes, er könne ein Closed-Source-Betriebssystem abdichten, ohne vollen Zugriff auf den Source-Code zu haben?

Wenn es nicht erstens so ernst und zweitens so teuer wäre, könnte man laut lachen. Es sollte eigentlich unter IT-Security-Experten längst klar sein, dass Security by Obscurity nicht funktioniert. Der Bund und seine Institutionen werden es nicht schaffen, Windows 10 sicher zu machen. Sämtliche Unternehmungen in der Richtung sind schlicht weg rausgeworfenes Geld. Eine Maßnahme, um der Öffentlichkeit die Illusion vorzugaukeln, die Verwaltungs-IT sei sicher.

Es kommt aber noch aberwitziger: Bundesinnenminister Thomas de Maiziere möchte Hintertürchen in sämtliche Rechner eingebaut haben, und dazu die Anbieter von Hardware und Software zwingen.  Also: 1. Wir kaufen Software mit Hintertürchen. 2. Wir schließen die Hintertürchen, die man sieht. 3. Wir zwingen zum Einbau unsere eigenen Hintertürchen. Head meets Desktop.

Brisant an der Forderung des Bundesinnenministers sind gleich zwei Faktoren: Erstens glaubt er anscheinend, dass Hintertürchen für alle Zeit unentdeckt bleiben. Vielleicht gibt es in seinem Ministerium doch einen Mitarbeiter, der ihn darauf hinweist, das a) die Suche nach solchen Löchern kein Hackersport mehr ist, sondern Big Business der Organisierten Kriminalität, und b) dass US-amerikanische Geheimdienst-Backdoors bekannt und von Hackern genutzt wurden. Mehr als 1,3 Millionen Hinweise gibt es, wenn man in der Google-Suche „NSA backdoors used by hackers“ eingibt.

Zweitens läuft die Forderung von de Maiziere darauf hinaus, jeden (auch Geheimnisträger und besonders geschützte wie Richter, Priester oder Journalisten),  zu überwachen, ohne Verdachtsmomente, ohne Prüfung durch ein Gericht. Und er erwähnt nicht die andere Seite, nämlich wie die Überwacher kontrolliert werden sollen. Wenn der Minister das für zweitrangig hält, lässt das mit Horror in die Zukunft schauen. Entsprechend harsch fiel die Kritik am Minister aus. Wenn jetzt aus dem Ministerium Stillschweigen kommt, heißt das nicht, das Vorhaben sei abgeblasen.

Es geht in all diesen Fällen letztlich um Transparenz. Sicherheit lässt sich nur herstellen, wenn man sie überprüfen kann. Und das heißt in der IT: Wenn man den Sourcecode lesen kann. Das heißt: Der Bund, nein, alle Öffentlichen Verwaltungen sollten komplett umdenken und von Anfang an auf Open Source setzen. Das ist keine Billiglösung, aber auch nicht teurer als Microsoft- und andere proprietäre Programme, aber erspart die Kosten zweckloser Nachbearbeitung. Open-Source-Software ist nicht per se 100-prozentig sicher. Aber Sicherheitslücken lassen sich finden und unabhängig vom Hersteller schließen. Für Hacker und Überwacher aller Art wird es zumindest schwieriger.

*Ludger Schmitz ist freiberuflicher Journalist in Kelheim.