Antwort auf kleine Anfrage an die Bundesregierung
Deutscher Bundestag                  Drucksache 13/7753
13. Wahlperiode
22.05.97

Antwort der Bundesregierung auf die Kleine Anfrage
des  Abgeordneten  Dr. Manuel Kiper und der  Fraktion  BüNDNIS
90/DIE GRüNEN
 - Drs. 13/ 7594

Lage der IT-Sicherheit in Deutschland

[...]

PC-Sicherungstechnik

15. Wieviele Beanstandungen der IT-Sicherheit bei der Verarbeitung von personenbezogenen Daten gab es in den letzten fünf Jahren durch Datenschutz-Kontrollinstanzen oder den Bundesrechnungshof und welche Konsequenzen wurden daraus gezogen?
Angaben hierzu enthalten die Tätigkeitsberichte des Bundesbeauftratgen für den Datenschutz und die Prüfbemerkungen des Bundesrechnungshofs, die dem Deutschen Bundestag vorliegen.

16.Welche Systeme sind der Bundesregierung bekannt, die Personal Computer mit den dafür verfügbaren Betriebssystemen technisch und organisatorisch gegen unbefugte Nutzung absichern und die Nutzung dieser Systeme revisionsfähig machen, d.h. solche, die zumindest eine durch Paßwort geschützte Identifikationsprozedur benötigen aber auch Systeme, die erweiterten Schutz durch Verschlüsselungsmechanismen bieten?
Soweit in Betriebssystemen für PC nicht schon geeignete Sicherungsmechanismen integriert sind (z.B. UNIX, Windows NT), stehen insbesondere für MS-DOS- und Windows-basierte Systeme etwa ein Dutzend geeigneter Zusatzprodukte zur Verfügung.

[...]

19.Wieviele der (laut Antwort der Bundesregierung in Bt.-Drs. 13/3408, Frage 7) 65.000 der in der Bundesverwaltung unter dem Betriebssystem MS-DOS oder dessen Derivaten eingesetzten PC-Systeme sind mit derartigen Schutzsystemen gegen unbefugte Nutzung ausgestattet, und welche Systeme werden dabei eingesetzt? 20.Auf wievielen dieser PC-Systeme, die nicht mit Schutzsystemen ausgestattet sind, werden personenbezogene Daten verarbeitet und auf welche Weise findet dort eine Sicherung gegen unbefugte Nutzung statt? 21.Wieviele portable Computersysteme (Laptops, Notebooks, Palmtops etc.) sind jeweils in welchen Bundesbehörden im Einsatz, auf wievielen dieser Systeme werden personenbezogene Daten gespeichert und wie werden diese Systeme gegen unbefugte Nutzung gesichert?
Zu 19 - 21: Diese Angaben werden von der Bundesregierung nicht erhoben.

[...]

Verschlüsselung

44.In welchem Umfang werden nach Kenntnis der Bundesregierung in der Bundesrepublik Verschlüsselungsverfahren genutzt?
45.Welcher Anteil an der Nutzung von Verschlüsselungsverfahren entfällt nach Kenntnis der Bundesregierung dabei jeweils auf Unternehmen, Behörden und Privatpersonen?
46.Wie hoch ist nach Einschätzung und Kenntnis der Bundesregierung bei Privatpersonen der Anteil solcher Verfahren, die mit entsprechendem Aufwand nicht zu entschlüsseln sind?
Zu 44. - 46.: Die Bundesregierung führt hierüber keine Statistik

47.Welcher Aufwand ist nach Kenntnis der Bundesregierung nötig, um mit asymmetrischen Verfahren verschlüsselte Daten mit Schlüssellängen von 40, 56 und 128 Bit zu entschlüsseln und wie groß ist nach Auffassung der Bundesregierung die für eine Verschlüsselung sensitiver Daten hinreichende Schlüssellänge für eine - auch über die nächsten fünf Jahre - sichere Übermittlung?
Unter der Voraussetzung, daß für ein symmetrisches Verfahren keine andere Analysemethode bekannt ist als die vollständige Absuche des Schlüsselraumes, lassen sich die nachstehenden Aussagen treffen:
  • 40-Bit-Verfahren können - allerdings mit hohem zeitlichen und apparativen Aufwand mittels Hochleistungsrechnern oder auf dem Wege des "verteilten Rechnens" entziffert werden. Die genaue Höhe des Aufwandes ist verfahrensabhängig.
  • 56-Bit-Verfahren erfordern zu ihrer Entzifferung den Einsatz von Spezialrechnern, die eigens zu diesem Zweck konstruiert werden müssen. Bei deren entsprechender Dimensionierung läßt sich der zeitliche Aufwand auf die Größenordnung von Stunden begrenzen.
  • Die vollständige Absuche eines 128-Bit-Schlüsselraums entzieht sich jeder heute und in absehbarer Zeit verfügbaren Rechentechnik.

Ab einer Schlüssellänge von etwa 80 Bit kann - bei ansonsten entzifferungsresistentem Design - die Möglichkeit einer Analyse durch Absuche des Schlüsselraums für die überschaubare Zukunft, insbesondere der nächsten fünf Jahre, ausgeschlossen werden.

48.Bei wievielen Ermittlungsverfahren kam es nach Erkenntnissen der Bundesregierung zu Behinderungen der Ermittlungstätigkeit, weil Verschlüsselungsverfahren eingesetzt wurden - aufgeschlüsselt nach Behinderungen durch verschlüsselte Kommunikation und Nutzung von Verschlüsselungsverfahren zur Datenspeicherung?
Eine Statistik hierzu wird nicht geführt.

49.In welcher Beziehung hält die Bundesregierung den "Sicherheitswert steganographischer Verfahren" für überschätzt, wie Bundesinnenminister Manfred Kanther in seiner Eröffnungsrede des 5. IT-Sicherheitskongresses erklärte?
Der Anwendungsbereich von Steganografie ist insofern begrenzt, als sie einen Übertragungskanal mit sehr viel höherer Bandbreite erfordert als die zu versteckende Information benötigt (typischer Fall: Textdatei, verborgen in einer Bilddatei). Liegen beide Bandbreiten in der gleichen Größenordnung (z.B. bei der Sprachübertragung), ist ein sicheres Verbergen von Nutzinformationen nicht mehr möglich.

50.Welcher Sicherheitswert kann nach Auffassung der Bundesregierung Verschlüsselungsverfahren zugemessen werden, die auf PC-Systemen installiert sind, die ansonsten nicht gegen unbefugte Eingriffe geschützt sind?
Derartige Verfahren sind dem Risiko manipulativer Angriffe ausgesetzt und bieten nur begrenzte Sicherheit. Ob diese als ausreichend anzusehen ist, kann nur im Einzelfall in Abhängigkeit vom Schutzbedarf der Daten und den Fähigkeiten eines potentiellen Angreifer beurteilt werden.

51.Welcher Sicherheitswert kann nach Auffassung der Bundesregierung Verschlüsselungsverfahren zugemessen werden, bei denen der Schlüssel auf Chipkarten gespeichert ist und damit die Analyse durch die "Differential Fault Analysis" erlauben?
Bis heute ist nicht nachgewiesen worden, daß eine "Differential Fault Analysis" - bei unbezweifelbarer theoretischer Machbarkeit - tatsächlich durchgeführt werden kann. Sie erfordert im übrigen auch, daß der Schlüssel nicht nur auf der Chipkarte gespeichert ist, sondern dort auch verarbeitet wird. Ferner kann diese Analysetechnik durch entsprechend redundante Systemarchitektur weitgehend blockiert werden.

52.Welcher Sicherheitswert ist nach Auffassung der Bundesregierung somit der Nutzung von Verschlüsselungsverfahren durch Nicht-Spezialisten zuzumessen, zumal weitere Eingriffsmöglichkeiten in derartige Verfahren bekannt sind?
Wesentliches Sicherheitsmerkmal eines Verschlüsselungssystems ist das Vorhandensein von Maßnahmen zum Schutz vor Fehlbedienung. Ein so ausgestattetes System kann durchaus auch in die Hände von Nicht-Spezialisten gegeben werden.

Die vollständige Antwort kann in schriftlicher Form angefordert werden bei:

Dr. Manuel Kiper Mdb
Bündnis 90/Die Grünen
Bundeshaus HT 404
D-53113 Bonn
Tel:+49-228-16-81547, Fax:+49-228-16-86515
E-Mail: manuel@kiper.bn.eunet.de

Kommentar von Dr. Manuel Kiper

Zu klaren Auskünften über die aktuelle Lage der Sicherheit in der Informationstechnik (IT-Sicherheit) scheint die Bundesregierung ebensowenig fähig wie zu klaren Daten zur "Bedrohung" durch Verschlüsselungsverfahren. Bei Bundesbehörden scheint es bekannte Sicherheitsprobleme privater und geschäftlicher Computernutzer nicht zu geben, technische Vorkehrungen zum Datenschutz sind dort theoretisch bekannt, in der Praxis aber wohl nicht:

Die Bundesregierung hat keine Daten über Sicherheitslöcher bei der Verarbeitung personenbezogener Daten in der Bundesverwaltung. Der Bundesbeauftragte für den Datenschutz hatte dagegen moniert, daß dafür bei PCs, die mittlerweile über 40% der Computer in Bundesbehörden ausmachen, zu oft zusätzliche Schutzeinrichtungen fehlen. In der Finanzverwaltung etwa gehen obendrein sensible Daten auf Laptops schutzlos auf Wanderschaft.

Besonders widersprüchlich aber fielen die Antworten auf die Fragen zum Thema Verschlüsselung aus:

Als Begründung für das von ihm geforderte Verschlüsselungsgesetz müßte Innenminister Kanther erklären können, in welchem Ausmaß Verschlüsselungssysteme genutzt werden und ob dadurch Ermittlungsarbeiten behindert wurden. Doch die Bundesregierung "führt hierüber keine Statistik". Unbekannt ist dort wohl auch, daß Studenten mit normalen Unirechnern in kurzer Zeit schon Schlüssel von 40 und 56 Bit Länge knacken. Das Innenministerium hält solche Schlüssel für gefährlich - für die Entschlüsselung von 56 Bit-Schlüsseln seinen "Spezialrechner" nötig. Nur eines muß auch Kanther immerhin zugeben: Verschlüsselungssysteme auf PCs geben nur "begrenzte Sicherheit", weil PCs zu sehr "dem Risiko manipulativer Angriffe ausgesetzt" sind. Handfeste Gründe für ein Verschlüsselungsgesetz kann die Bundesregierung also nicht präsentieren.

Statt weiterer Kommentare aber hier nun die Antworten auf die entsprechenden Fragekomplexe (Tippfehler bitte ich zu entschuldigen - mit einer Ausnahme: in Frage 47 war explizit nach asymmetrischen Verfahren gefragt, die Antwort spricht von symmetrischen)

zur ckzurück © 1996-2017 Lutz Donnerhacke @ IKS GmbH Jena Wednesday | 20.Sep.2017