Das BSI und der Elfenbeinturm

Inhaltsverzeichnis

Diese Geschichte begann mit einem entnervten heise-Security-Leser, der sich in einer Mail den Frust von der Seele schrieb. Er hatte als gewissenhafter Administrator auf seinen Servern eine Technische Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI) real umgesetzt und war damit ziemlich gründlich baden gegangen. Denn es gab so viele Probleme und Beschwerden, dass er sich gezwungen sah, die gemäß der Richtlinie durchgeführten Änderungen wieder rückgängig zu machen.

Konkret ging es um die Einrichtung von Transport Layer Security (TLS) auf diversen Servern. Dazu steht in der Technischen Richtlinie TR-02102-2 "Verwendung von Transport Layer Security (TLS)" im Kapitel zu SSL/TLS-Versionen zunächst, dass man TLS 1.2 einsetzen solle; auch TLS 1.1 könne noch eingesetzt werden. Und danach heißt es wörtlich als eigener Punkt

• TLS 1.0 darf nicht mehr eingesetzt werden.

Nicht nur für Laien sondern auch für Experten, die mit technischen Spezifikationen wie den RFCs der IETF vertraut sind, ist der Fall damit klar: "darf nicht" ist eine Formulierung, die keine Ausnahmen mehr zulässt. Sie steht für ein explizites Verbot und TLS 1.0 hat demnach auf einem TR-02102-2-konformen Server nichts zu suchen. So hat das auch der betroffene Admin interpretiert – und damit reichlich Chaos hervor gerufen.

Chaos vorprogrammiert

Denn es ist zwar durchaus richtig, dass die aktuelle Version TLS 1.2 eine ganze Reihe von äußerst wünschenswerten Verbesserungen bringt, die man lieber heute als morgen haben möchte. So bietet es mit dem Galois/Counter Mode (GCM) eine Alternative zum TLS-Design-Fehler MAC-then-Encrypt, der schon für eine Reihe konkreter Sicherheitsproblemen verantwortlich war. Und alle aktuellen Browser wie Firefox, Chrome und Internet Explorer 11 beherrschen den immerhin bereits 2006 verabschiedeten Standard aus dem FF.

Doch leider sind auch immer noch viele Programme auf die Version 1.0 beschränkt; sie ist derzeit der kleinste gemeinsame Nenner aller Systeme, die TLS einsetzen. Insbesondere Windows beherrscht TLS 1.1 und 1.2 erst seit Windows 7; Vista, das immer noch bis mindestens 2017 von Microsoft unterstützt und folglich auch eingesetzt wird, bietet kein TLS 1.1 oder 1.2. In vielen Internet-Explorer-Versionen muss man darüber hinaus TLS 1.2 erst händisch einschalten, bevor es genutzt werden kann.

Und TLS 1.0 ist auch keineswegs so veraltet und unsicher, dass man dessen Nutzung gar nicht mehr verantworten könnte. Im Gegenteil: Bislang ist es ganz gut gelungen, die konkreten Bedrohungen, die aus den Schwächen des bereits 1999 spezifizierten Standards erwachsen, in den Griff zu bekommen. Allgemein gelten aktuelle Implementierungen von TLS 1.0 nach wie vor als solide Basis, die den meisten Sicherheitsanforderungen durchaus genügt. Man will zwar weg davon – es besteht dabei jedoch kein Grund zur Hektik.

Wer nämlich in einer heterogenen Umgebung gemäß der BSI-Richtlinie TLS 1.0 auf einem Server verbietet, sorgt dafür, dass viele Anwender etwa statt einer gesicherten Web-Seite nur noch eine Fehlermeldung bekommen; bei einem Mail-Server wird unter Umständen der Mail-Abruf scheitern. Je nach Konfiguration auf Client und auf Server führt das entweder dazu, dass der gewünschte Dienst gar nicht genutzt werden kann – oder der Anwender ihn eben gänzlich ungesichert nutzt.

Reality-Check

Ein kurzer Check der Server des BSI bestätigte denn auch das Naheliegende: Selbstverständlich akzeptiert etwa www.bsi.bund.de nebem TLS 1.2 und 1.1 auch noch das eigentlich verbotene TLS 1.0. Mehr noch: Auf dem vom BSI betriebenen Server für das CERT-Bund ist derzeit sogar ausschließlich das eigentlich "verbotene" TLS 1.0 möglich (ein Upgrade des Systems steht allerdings laut BSI kurz bevor). Auch auf Nachfragen nannte das BSI keinen einzigen TLS-gesicherten Dienst unter seiner Obhut, der tatsächlich auf die Unterstützung von TLS 1.0 verzichtet.

Weitere Recherchen zu diesem Sachverhalt zeichneten vielmehr ein verstörendes Bild. So sind die Technischen Richtlinien des BSI offenbar keineswegs direkt bindend für das BSI oder Einrichtungen der öffentlichen Hand. "TR-02102-2 hat [..] empfehlenden Charakter" erläuterte das BSI in einer Stellungnahme.

Diese Empfehlungen dienen dann als Grundlage für anwendungsspezifischen Profile, "die in begründeten Ausnahmen von den hohen Vorgaben abweichen können". So enthält dann etwa die für "Kommunikationsverfahren in Anwendungen des Bundes" relevante TR-03116-4 zwar die Verpflichtung TLS 1.2 zu unterstützen und auch zu benutzen. Andererseits kann "in begründeten Ausnahmefällen in speziellen Anwendungsszenarien in Abstimmung mit dem BSI von einzelnen Vorgaben abgewichen werden, sofern hierdurch keine Einschränkungen bei Sicherheit oder Interoperabilität entstehen" erläuterte das BSI gegenüber heise Security. Insbesondere heißt es in TR-03116-4 auch explizit: "Aus Gründen der Abwärtskompatibilität können weitere TLS-Versionen unterstützt werden"

Wünsch dir was

Da hat sich also jemand beim BSI die Mühe gemacht, die völlig realitätsfremden Vorgaben einer TR in einer weiteren TR wieder auf Normalmaß zu stutzen. Man kann sich das wohl so vorstellen, dass zunächst die Kryptologen des BSI das technisch Wünschenswerte zu Papier gebracht haben, ohne dabei allzu große Rücksicht auf "die reale Welt da draußen" zu nehmen. Die Aufgabe von BSI-Referaten mit mehr Praxisbezug ist es dann, diese nicht von der Realität beschmutzten Ideale für konkrete Anwendungsszenarien so weit zu verwässern, dass man sie tatsächlich benutzen kann.

Welch ein Theater. Mir stellt sich dabei die Frage, ob wir solche Standards aus dem Elfenbeinturm tatsächlich brauchen? Denn solche Spezifikationen führen nicht nur – wie beim Eingangs angeführten Admin – zu Ärger und Frust. Ihre Einhaltung ist letztlich sogar gefährlich, weil sie dazu führen, dass in Situationen auf Verschlüsselung und Authentifizierung verzichtet wird, in denen dieser Schutz nicht nur möglich sondern auch dringend erforderlich gewesen wäre.

Wenn jemand Technische Richtlinien formuliert, dann erwarte ich, dass er sich von seinem Turm herab in unsere reale Welt begibt und seine Vorgaben an dem orientiert, was tatsächlich umsetzbar ist. Alles andere sollte er klar und deutlich erkennbar als Wunschzettel deklarieren. Aber das sind nur meine 2 Cents. Was meinen Sie dazu? (ju)