Krypto-Loch in Exchange stützt den Bundestux

Nach Veröffentlichung des Krypto-Lochs in Exchange/Outlook-Umgebungen zeigen sich nicht nur Hersteller von Krypto-Plug-ins, sondern auch Bundestagsabgeordnete gegenüber heise online beunruhigt. Jörg Tauss, forschungspolitischer Sprecher der SPD-Bundestagsfraktion, mahnte, dass erkannte Sicherheitslücken "schnellstmöglich öffentlich zu machen und entsprechende Patches zur Verfügung zu stellen sind". CERTs (Computer Emergency Response Teams) und vergleichbare Institutionen leisteten hier hervorragende Arbeit. Dagegen hatte sich Microsoft im Oktober noch strikt gegen die Veröffentlichung von Sicherheitslücken ausgesprochen.

Zwischen Microsoft und einem Plug-in-Hersteller, der namentlich nicht genannt werden will, wurde bereits seit September über das Krypto-Problem ohne Ergebnis verhandelt. Seit Januar wird das Problem im Forum of Incident Response and Security Teams (FIRST) debattiert, ebenfalls ohne Fortschritte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) war offenbar nicht über das Sicherheitsproblem informiert worden.

Skandalös an dem Fall findet Tauss, dass "Microsoft anstatt das Problem zu veröffentlichen und Nutzer und Administratoren darauf hinzuweisen, auf eine bilaterale Lösung gesetzt habe". Für Tauss stellt sich nun die Frage, ob das nun von Microsoft propagierte "Trustworthy Computing" nur eine "geheime Nullnummer" ist. Tauss empört: "Im Bereich der vertraulichen Unternehmenskommunikation eine Sicherheitslücke nicht öffentlich zu machen, ist extrem fahrlässig."

Gerade aufgrund des IT-Sicherheitsaspekts sei die SPD bei der Ausstattungsfrage im Deutschen Bundestag zu der Überzeugung gelangt, dass nur Open-Source-Produkte auf Serverebene effektive Sicherheitsfortschritte ermöglichen. Tauss zeigte Unverständnis, dass die CDU/CSU-Fraktion weiter darauf bestehe, "unter allen Umständen ihre Exchange/Outlook-Umgebung weiter betreiben zu können". Alternativ böte sich doch an, so Tauss pointiert, "in das Empfängerfeld standardmäßig die NSA einzutragen" -- was offenbar dieselbe Wirkung hätte wie die gängigen Verschlüsselungs-Plug-ins unter Exchange/Outlook.

Die CDU-Abgeordnete Martina Krogmann bekannte sich gegenüber heise online zu einem durch Open-Source-Produkte ermöglichten Wettbewerb: "Es gibt nichts, was nicht noch weiter verbessert werden könnte. Wettbewerb und Transparenz werden die Entwicklung beschleunigen, was nicht nur für die Sicherheit im Netz erfreulich ist." Lutz Reulecke, wissenschaftlicher Mitarbeiter des FDP-Abgeordneten Hans-Joachim Otto, betonte, dass der Bundestag auch mit der von der FDP unterstützen Microsoft-Lösung von der Sicherheitslücke nicht betroffen gewesen wäre, da diese nicht den Einsatz von Microsofts Exchange vorsah.

Erst aufgrund der heise-Meldung vom Dienstag scheint Microsoft nun bereit zu Konzessionen hinsichtlich des Kopier-Features in der MS Exchange/Outlook 9x/200x Umgebung, das jede Verschlüsselung in Firmennetzwerken aushebelt. Wie Marcus Belke, Geschäftsführer bei der Deutschen Post Signtrust, gegenüber heise online sagte, habe Microsoft nun jede Unterstützung zugesagt und prüfe intensiv, was getan werden könne. (Christiane Schulzki-Haddouti) / (pab)