Das EU-Parlament und die Folgen des NSA-Skandals: Vorsicht mit der IT-Sicherheit

Eigentlich sollen die IT-Systeme des Europa-Parlaments, der Abgeordneten und der Parlamentsmitarbeiter in der Folge der Snowden-Enthüllungen gegen Angriffe von Geheimdiensten besser abgesichert werden. Das zieht sich aber hin.

In Pocket speichern vorlesen Druckansicht 18 Kommentare lesen
SSL
Lesezeit: 4 Min.
Von
  • Monika Ermert

Auch zwei Jahre nach Snowden ist verschlüsselte E-Mail für Abgeordnete im Europaparlament eher ein privates Hobby. Die "Monitoring-Gruppe" des Innenausschusses, die sich die Folgearbeiten zum Bericht über den NSA-Skandal auf die Fahnen geschrieben hat, wollte nun von der für die Kommunikationsdienste des Parlaments zuständige Generaldirektion Innovation and Technological Support (DG ITEC) wissen, wie weit man mit der Absicherung der Systeme gegen die aufgedeckten Angriffe gekommen ist.

In gut einem Monat muss die fürs IT-System des Europäischen Parlaments und dessen Sicherheit zuständige Generaldirektion in einem Bericht Rede und Antwort stehen zu den "Aufräumarbeiten" nach den Enthüllungen von Edward Snowden. Im Innenausschuss mehrte sich zuletzt die Kritik, dass die bessere Absicherung der Kommunikation der Abgeordneten viel zu langsam vorankomme. Ein externer Audit zur Sicherheit der Kommunikationssysteme lässt etwa auf sich warten. Beim Gespräch zwischen der Monitoring Gruppe des Innenausschusses und Beamten der DG ITEC vergangene Woche in Straßburg wurde eine erste Bilanz gezogen.

Wirklich zufrieden könne man nach dem Gespräch nicht sein, sagte der Grünen-Abgeordnete Jan Philip Albrecht auf Anfrage von heise online. Man habe sich auf den Weg gemacht, "aber das wirkt alles doch sehr vorsichtig", sagt Albrecht zum Fortschritt der Absicherung der Kommunikation der Abgeordneten und Mitarbeiter des Europa-Parlaments. Unter anderem versicherten die Vertreter der DG ITEC laut Albrecht, dass PGP in das offiziell verwendete Outlook "eingepflegt" sei und daher im Prinzip den Abgeordneten zur Verfügung stehe.

Im Zwischenbericht der DG ITEC, der heise online vorliegt, heißt es zu den Forderungen des Parlaments, zur E-Mail-Verschlüsselung beispielsweise GnuPG einzuführen, man habe PGP, aber eben nicht die GNU-Variante, implementiert und diese könne "bei Bedarf eingeführt werden, sobald die Lizenzen vorliegen". Was ganz offenbar fehlt sind die entsprechenden Informationen und Schulungen für Abgeordnete und deren Mitarbeiter. Über einen Pilot und den Einsatz etwa im Personalbereich ist man noch nicht hinaus gekommen.

Eine Handvoll von Abgeordneten erhielten ihre Einführung in PGP sowie die sicheren Messaging-Apps TextSecure und Signal unter anderem von der European Digital Rights (EDRI). Einige Abgeordnete nutzten nun PGP für ihre private E-Mail, berichtete Kirsten Fiedler von EDRI. Hauptproblem laut Fiedler: "Wir können die Abgeordneten und deren Mitarbeiter nicht an ihren eigentlichen Arbeitsgeräten mit PGP vertraut machen, denn es ist ihnen nicht erlaubt, die entsprechende Software zu installieren." Die DG ITEC habe sich bislang geweigert, GPG4win zu installieren, um das frei verfügbare GPG in Outlook zu integrieren, berichtet Fiedler. netzpolitik.org hat sich gerade nochmal die Bestätigung für diese Weigerung eingeholt.

Dabei haben die Beamten der DGITEC versichert, dass der verstärkte Einsatz von vertrauenswürdiger, quelloffener Software als sinnvolle Maßnahme bereits heute von der DG ITEC verfolgt werde. Von großen Ausstattern wie Microsoft oder Cisco weg zu kommen, sowie dies die entsprechenden Verträge zuließen, sei ein Ziel, berichtet Albrecht aus dem Gespräch. Gleichzeitig hatten die Beamten jedoch an die geltenden Ausschreibungsrichtlinien erinnert. Diese erlauben eine echte Privilegierung von Open Source nur beschränkt.

Die im Bericht des Parlaments zur Massenüberwachung geforderte Bevorzugung europäischer Ausrüster und Diensteanbieter gehe schon gar nicht, da diskriminierungsfrei ausgeschrieben werden müsse – zumindest, solange die Ausschreibungsregeln nicht geändert werden oder es eine schwarze Liste von Unternehmen gibt, die man wegen der Zusammenarbeit mit den feindlichen Nachrichtendiensten für "nicht-sicher" erklärt. Für solche "Handelshemmnisse" muss die Politik selbst den Kopf hinhalten. "Der Ball liegt in diesem Bereich wieder im Feld der Politik", anerkennt Albrecht. Die jüngste Weigerung des Parlaments, mehr Geld für die DG ITEC auszugeben, hält der Grüne dabei für ein falsches Signal. (jk)