BSI erteilt GPG Zulassung für vertrauliche Dokumente

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den OpenPGP-Standard für die Übertragung von vertraulichen Dokumenten mittels Gpg4win unter Windows sowie GnuPG unter Linux zugelassen. Die Zulassung gilt aber nur für die niedrigste Geheimhaltungsstufe "VS-Nur für den Dienstgebrauch (VS-NfD)". Laut Angaben des BSI wurde damit erstmals GPG für Verschlusssachen zugelassen.

Windows und Linux

Ab sofort können Behörden vertrauliche Inhalte wie Dateien oder E-Mails mittels GPG verschlüsselt austauschen, wie das BSI auf seiner Website mitteilt. Unter Windows gilt dies für Gpg4win, dass über ein Plugin E-Mails in Microsoft Outlook ver- und entschlüsselt sowie signiert. Außerdem erlaubt Gpg4win auch die Verschlüsselung von Dateien im Windows-Explorer. Neben PGP unterstützt Gpg4win auch den Standard S/MIME. Unter Linux hat das BSI die Kombination aus GnuPG und KMail, dem Standard-Mailprogramm der KDE Desktop-Umgebung, für die vertrauliche Nutzung zugelassen.

Das BSI betont, dass beide Implementierungen vollständig im Quelltext als Open Source Software verfügbar sind und "in Deutschland federführend entwickelt" werden. BSI-Präsident Arne Schönbohm fordert, dass der durchgehende Einsatz sicherer Kryptografie in Deutschland zum Normalfall werden solle, da eine korrekt implementierte Verschlüsselung die Vertraulichkeit jeglicher digitalen Kommunikation wirksam schützt.

"Durch die Zulassung des OpenPGP-Standards geben wir Behörden ein Werkzeug an die Hand, mit dem sie auch eingestufte Inhalte vertraulich austauschen können" erklärt Schönbohm. Dadurch unterstütze das BSI "das Vorhaben der Bundesregierung, Deutschland zum 'Verschlüsselungsstandort Nr. 1' zu machen", so der BSI-Präsident weiter.

Es stellt sich die Frage, warum GPG dann nur für die niedrigste Stufe, VS-NfD, zugelassen ist. Möglicherweise, da es in der Vergangenheit auch Probleme gab: In bestimmten Fällen ließ sich bei S/MIME und PGP die E-Mail-Signaturprüfung austricksen und die E-Mail-Verschlüsselung war angreifbar.

Die Stufe VS-NfD gilt laut Sicherheitsüberprüfungsgesetz, wenn die Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein kann. Inhalte, die unter den höheren Stufen VS-Vertraulich, Geheim oder Streng Geheim fallen, dürfen auch weiterhin nicht durch GPG geschützt übermittelt werden.

Mehr zum Thema:

• Neue Gesetze schreiben Datenverschlüsselung vor (heise+)
• Einfach erklärt: E-Mail-Verschlüsselung mit PGP
  
• Verschlüsselung: Nur BND und Innenministerium setzen auf PGP

[Update v. 10.05.2019, 15:45 Uhr]: Sachverhalt sprachlich präzisiert und Zertifizierung durch Zulassung ersetzt. (ktn)