Bundesregierung setzt sich für flächendeckende HTTPS-Verschlüsselung ein
Von 2997 verwendeten Domains der Bundesbehörden unterstützen 84,6 Prozent HTTPS, hat das Innenministerium mitgeteilt. Um die Informationssicherheit zu erhöhen, sollte überall im Web das SSL/TLS-Protokoll verwendet werden.
Die Bundesregierung sieht die präventive Förderung der Internetsicherheit als "wichtige Regierungsaufgabe an". Sie hält daher den "flächendeckenden Einsatz von HTTPS grundsätzlich" für "erstrebenswert". Dies geht aus einer jetzt veröffentlichten Antwort des Bundesinnenministeriums auf eine Anfrage der Linksfraktion im Bundestag hervor. Ziel sei es, die Bürger zu sensibilisieren, gesicherte Webseiten zu nutzen. Die Internetanbieter werden zudem angehalten, solche mit SSL/TLS-Zertifikaten verschlüsselte Seiten anzubieten.
Die Regierung setzt sich nach eigenen Angaben zum Beispiel in der Initiative "Krypto-Charta" mit Vertretern aus Wirtschaft, Fachverbänden, Verbraucherorganisationen und Wissenschaft dafür ein, "vertrauenswürdige Kommunikation zu stärken und nutzerorientierte, technikneutrale und sichere Angebote zur Ende-zu-Ende-Verschlüsselung zu entwickeln und zu fördern". Dies schließe HTTPS-Angebote ein. Das SSL-Zertifikat der Webseite ist allerdings just am Montag abgelaufen und muss ersetzt werden.
Kritik von Links
Mit HTTPS lässt sich die Vertraulichkeit von Webauftritten gewährleisten, da die übertragenen Daten verschlüsselt werden und damit von Dritten nicht so leicht eingesehen werden. Zudem soll die Integrität eines Angebots garantiert werden, indem das Zertifikat Gewissheit über die Identität des Betreibers gibt und so Phishing- oder Man-in-the-Middle-Angriffen vorbeugen kann.
Die Linksfraktion vermerkt, dass sich dank kostenloser Initiativen wie "Let's Encrypt" SSL/TLS mittlerweile als allgemeiner Sicherheitsstandard etabliert habe. Umso verwunderlicher sei es, dass laut Recherchen der Open Knowledge Foundation Deutschland derzeit mit 135 von 513 Domains nur 26 Prozent deutscher Behörden des Bundes dieses vom BSI als Mindeststandard für die öffentliche Verwaltung angesehene Protokoll unterstützten.
Regierung hält Liste zurück
Das Innenministerium verbreitet aber andere Zahlen: Von 2997 verwendeten Domains der Bundesbehörden unterstützten 84,6 Prozent HTTPS, schreibt sie, 68,4 Prozent erzwängen den Einsatz des Protokolls sogar automatisch. Die Bundesregierung beabsichtige, "den Anteil der Domains deutscher Bundesbehörden mit Nutzung von Verschlüsselung zu erhöhen". Konkret geplant sei bislang aber noch nichts.
Vor allem die Domain des Ressorts für Justiz und Verbraucherschutz wurde noch nicht vollständig auf das Verschlüsselungsprotokoll umgestellt, geht aus der Antwort hervor. Die Regierung unterstreicht aber, dass dennoch auch dort "jetzt schon Bereiche HTTPS" unterstützten, "in denen die Nutzer Daten eingeben müssen". Die gesamte Seiten werde derzeit umgestellt. Eine Liste mit allen von ihr registrierten Domains will die Regierung nach wie vor nicht herausgeben und verweist dabei auf "nachteilige Auswirkungen auf Belange der inneren oder äußeren Sicherheit". Mithilfe dieser Informationen wäre es etwa möglich, "DNS-Hijacking" und "DDoS"-Angriffe effektiver durchzuführen. (anw)