Einleitung zum Sicherheits-Panel 
Boris Gröndahl
Mein Name ist Boris Gröndahl. Ich bin Journalist und werde dieses Panel heute moderieren. Das Thema IT-Sicherheit und Open-Source-Software hat insofern eine besondere Spezifik, als ein Aspekt von Open Source-Software schon seit längerem in der Krypto- und Sicherheits-Community relativ breit diskutiert wird. Man rufe sich die Formulierung von Eric Raymond ins Gedächtnis: 'Given enough eyeballs, all bugs are shallow'. Also: wenn genügend Leute sich ein Problem angucken, dann findet man Fehler und kann sie lösen. Das ist in etwas anderer Form bei der Kryptographie seit vielleicht 25 Jahren, seitdem es eine offene akademische Diskussion um kryptographische Algorithmen und Software gibt, ein ganz grundlegendes Prinzip geworden. Es geht dabei nicht wirklich, wie in der Formulierung von Eric Raymond, nur um Bugs, sondern tatsächlich auch um grundlegende Funktionalitäten und grundlegende Algorithmen der Kryptographie, bei denen man inzwischen, jedenfalls in der akademischen und auch in Teilen der kommerziellen Software-Landschaft, davon ausgeht, daß es eben, obwohl es hier um Sicherheit geht, die ja mit Geheimnis in Verbindung gebracht wird, gerade darauf ankommt, die Algorithmen und auch die Software, offen zu diskutieren und offenzulegen, damit Fehler gefunden werden können. Fehler sind ja hier nicht nur einfach Fehler, die dann die Meldung 'Allgemeine Schutzverletzung' auf den Bildschirm bringen, sondern Fehler resultieren hier tatsächlich darin, daß Software nicht verschlüsselt oder nicht ausreichend gut verschlüsselt ist.
Diesen Paradigmenwechsel, die Abkehr von dem alten Prinzip, das zu den Zeiten, als hauptsächlich Geheimdienste und Staaten sich um Kryptographie gekümmert haben noch vorherrschend waren, nämlich Security by Obscurity, und die Wendung hin zu einem offeneren Prinzip wird vor allem Frank Rieger beleuchten, der uns anhand von Beispielen aus der Wirtschaft und aus anderen Zusammenhängen zeigen wird, warum dieses Konzept eben nicht zur Sicherheit führt, sondern im Gegenteil zusammenbricht und zur Unsicherheit führen kann, und warum andere Modelle besser sind.
Der zweite Aspekt, der zu der Notwendigkeit führt, daß man nicht nur über die Algorithmen spricht, die in kryptographischen Produkten verwendet werden, sondern auch über das konkrete Programm, über den Source Code, ist, daß bei kryptographischen Produkten Vertrauen ganz besonders wichtig ist. Wenn die richtigen Algorithmen verwendet werden, ist das gut und schön, nur wenn man nicht weiß, was das Programm sonst noch macht, dann kann es im Zweifel herzlich wenig nützen. Leute können gerade daran interessiert sein, daß kryptographische Software nicht so gut funktioniert, wie sie vorgibt, und daran, dort Hintertüren einzubauen. Der Frage des Vertrauens wird sich Ingo Ruhmann, Referent im Bundesministerium für Bildung und Forschung, zuwenden und der Frage, wie man dieses Vertrauen so organisieren kann, daß die Menschen und Firmen, die Sicherheits-Software einsetzen, auch tatsächlich sicher sein können, daß sie das macht, was sie machen soll, und daß sie die Bedürfnisse erfüllt, die sie tatsächlich haben.
Ein verbreitetes Produkt, das für die Endanwender so etwas wie ein Standard zur Verschlüsselung von elektronischen Nachrichten geworden ist, ist PGP. Pretty Good Privacy erfüllt eigentlich die beiden Kriterien grundsätzlich schon, die man in der Krypto-Landschaft an Produkte stellt. Zum einen verwendet es anerkannte Algorithmen, zum anderen ist der Source Code im Moment offen zugänglich. Nun ist aber trotzdem PGP keine freie Software, sondern eine, die einer Firma gehört, einer Firma, die wiederum in einem bestimmten Kräftefeld agiert, weil es eine amerikanische Firma ist, die auch Aufträge von amerikanischen Regierungsstellen bekommt. Insofern gibt es da ein gewisses Mißtrauen, wie lange der Zustand andauert, daß erstens PGP für den Endanwender frei erhältlich ist und zweitens auch im Source Code veröffentlicht vorliegt. Es gibt deshalb Versuche, ein Produkt zu erstellen, das auf den PGP-Standards beruht, auch mit PGP interoperiert, und tatsächlich eine freie Software ist. Das Projekt heißt GPG -- GNU Privacy Guard. Andreas Bogk wird es uns vorstellen.
Eine interessante Entwicklung ist, daß das Bundeswirtschaftsministerium Gespräche mit den Leuten führt, die GPG erstellen. Ich hoffe, daß unser Überraschungsgast Herr Hubertus Soquat uns Näheres dazu sagen wird, wie die Unterstützung für GPG konkret aussehen soll.
(Transkription Katja Pratschke)
[^] nach oben |
 |
