Regierung formuliert Richtlinien für Trusted Computing in der Verwaltung
Die Bundesregierung fordert in den Eckpunkten, dass Geräte-Eigentümer die volle Kontrolle über einschlägige Sicherheitssysteme behalten und diese bei Auslieferung deaktiviert sein müssen. Auch für offene Standards setzt sie sich ein.
Die Bundesregierung hat neue Prinzipien für den Einsatz von "Trusted Computing" in der öffentlichen Verwaltung festgesetzt. In den bereits im August formulierten Eckpunkten (PDF-Datei), die das Bundesinnenministerium mit einiger Verzögerung am Montag veröffentlicht hat, wird vor allem die volle Kontrolle der Geräte-Eigentümer über einschlägige Sicherheitssysteme gefordert. Diese Kontrolle dürfe nur nach "bewusster und informierter Einwilligung" des Inhabers abgegeben werden und aus öffentlichen und nationalen Sicherheitsinteressen auf keinen Fall erzwungen werden.
Im Blick hat die Regierung mit dem Papier vor allem Implementierungen von Standards der Trusted Computing Group (TCG) wie das Startverfahren "Secure Boot" oder weitere Funktionen des UEFI-Standards (Unified Extensible Firmware Interface). Diese hält sie prinzipiell für unterstützenswert, um das Niveau der IT-Sicherheit bei der öffentlichen Hand sowie in der Wirtschaft und bei Privatanwendern zu erhöhen. Dabei seien aber einige Regeln zu beachten.
So müssten bei der Auslieferung von Geräten entsprechende Sicherheitsfunktionen deaktiviert sein. Geräte-Eigentümer seien in die Lage zu versetzen, "aufgrund der vorausgesetzten technischen und inhaltlichen Transparenz von 'Trusted Computing'-Lösungen eigenverantwortliche Entscheidungen zur Produktauswahl, Inbetriebnahme, Konfiguration, Anwendung und Stilllegung zu treffen". Ein späteres "Opt out" dürfe keine negativen Einflüsse auf die Hard- und Software haben.
Alle geltenden Standards in diesem Bereich müssten unabhängig von einer Mitgliedschaft in der TCG jedermann jederzeit kostenfrei und vollständig zur Verfügung gestellt werden, hält das BMI weiter fest. Dies habe auch für erläuternde Zusatzdokumente zu gelten. Die Regierung drängt zudem darauf, dass die Standards auch in dem Sinne offen sind, dass sie ohne Lizenzgebühren etwa aus Patentansprüchen frei angewendet werden können. Zugleich dürfe die Forschung zu einschlägigen Lösungen "und deren Zusammenspiel mit Alternativen" nicht behindert werden.
Einen ersten "Kriterien- und Präferenzkatalog" zu einschlägigen Sicherheitsinitiativen hatte die Bundesregierung 2004 beschlossen. Enthalten war darin bereits der Ruf nach einer ausgeglichenen Lizenzpolitik. Berücksichtigt werden sollte zudem das Recht auf Privatkopien von Nutzern. (axk)
