Sicherheit ist immer auch ein Politikum, vor allem wenn es um Verschlüsselung geht. Die <kes> sprach mit Dr. Ulrich Sandl vom Bundesministerium für Wirtschaft und Arbeit über die Pläne und Ziele der deutschen Krypto-Politik sowie über "Trusted Computing".Die deutsche Bundesregierung hat sich schon vor etlichen Jahren zu einer freien Verschlüsselung als Grundlage für Sicherheit in Netzwerken bekannt. Seit das Bundesministerium für Wirtschaft und Technologie im Frühjahr 2002 mit dem GNU Privacy Project eine Open-Source-Verschlüsselungslösung propagiert hatte, ist es um das Thema politisch allerdings eher ruhig geworden. Die <kes> konnte nun Dr. Ulrich Sandl vom Bundesministerium für Wirtschaft und Arbeit (BMWA) für ein Interview zu den aktuellen Plänen und Zielen der deutschen Krypto-Politik gewinnen.
Dr. Ulrich Sandl ist Jurist und bereits seit Oktober 1989 im Bundesministerium für Wirtschaft und Technologie beschäftigt, das 2002 im BMWA aufgegangen ist. Seit Mai 1995 befasst sich Sandl mit Grundsatzfragen der Informationsgesellschaft und wurde im September 1998 zum Leiter des Referats "Dialog mit gesellschaftlichen Gruppen, IT-Sicherheit" ernannt. Sandl hat eine Reihe von Artikeln zum Thema Krypto-Politik verfasst, als Redner zu Fragen der IT-Sicherheit auf internationalen Konferenzen Stellung bezogen und auf Fachebene an der Formulierung der deutschen Position in diesem Bereich maßgeblich mitgewirkt.
----------Anfang Textkasten----------
In der Informationsgesellschaft müssen Menschen auf Datenschutz im Netz vertrauen können. Die Bundesregierung unterstützt deshalb moderne Verschlüsselungstechniken und betreibt eine Revision des deutschen Datenschutzrechts. Ziel ist wirksamer Schutz bei geringerem technischen Kontrollaufwand.
(Teil der Grundsätze der Innenpolitik der deutschen Bundesregierung, ![[externer Link]](../../images/link.gif)
www.bundesregierung.de/dokumente/,-65280/Artikel.htm#6)
----------Ende Textkasten----------
<kes>: Herr Dr. Sandl, die Bundesregierung hat in ihren innenpolitischen Grundsätzen Unterstützung für "moderne Verschlüsselungstechniken" angekündigt (vgl. Kasten). Wie sieht das konkret aus?
Dr. Sandl: Die Bundesregierung hat 1999 in den so genannten Kryptoeckwerten erklärt, dass sie die uneingeschränkte Verbreitung starker Verschlüsselungssysteme in Deutschland unterstützen werde. An diesem Ziel halten wir nach wie vor unverrückt fest, auch wenn sich das Thema Informationssicherheit heute nicht mehr alleine auf den Kryptobereich beschränkt, siehe die jüngsten Virenangriffe.
Natürlich können wir niemand zwingen, seine Kommunikation im Internet zu verschlüsseln, aber wir können für die Thematik sensibilisieren und informieren. In diesem Zusammenhang haben wir kürzlich eine umfassende Initiative gestartet, um das IT-Sicherheitsbewusstein im deutschen Mittelstand zu verbessern (vgl. www.mittelstand-sicher-im-internet.de). Denn gerade dort gibt es noch erhebliche Defizite. Natürlich werden wir im Rahmen dieser Kampagne auch für die Nutzung von Verschlüsselungssystemen werben.
Problematisch ist dabei allerdings die unzureichende Markttransparenz in diesem Segment. So erleben wir immer wieder, dass nicht überall, wo Sicherheit draufsteht, auch tatsächlich Sicherheit drin ist, und entsprechend groß ist die Verunsicherung der Nutzer. Um hier Orientierung zu geben, ist uns wichtig, die Verbreitung zertifizierter Sicherheitsverfahren voranzutreiben und auch der Open-Source-Thematik wird in diesem Zusammenhang erhebliche Bedeutung beigemessen.
<kes>: Im November 2003 wurde wieder einmal über eine mögliche Schlüsselhinterlegungspflicht zugunsten der Strafverfolgungsbehörden spekuliert. Was ist davon zu halten?
Dr. Sandl: Um jede Diskussion hoffentlich ein für alle Mal zu beenden: Es wird keine Schlüsselhinterlegungspflichten in Deutschland geben.
<kes>: Wie schätzen Sie die fachliche und marktstrategische Bedeutung der deutschen Krypto-Industrie ein?
Dr. Sandl: In den Kryptoeckwerten hat die Bundesregierung weiterhin erklärt, dass sie die deutsche Kryptowirtschaft als strategische Branche ansehe, die sie im weltweiten Wettbewerb nach Kräften unterstützen werde, und auch an dieser Zielvorgabe halten wir nach wie vor fest. Zwar handelt es sich bei der deutschen Kryptowirtschaft im engeren Sinn um eine vergleichsweise kleine Branche mit derzeit rund 20 Unternehmen mit etwa 700 Beschäftigten, der jedoch eine hohe strategische Bedeutung für die Entwicklung der Informationswirtschaft insgesamt zukommt: unmittelbar, da IT-Sicherheit als einer der zentralen Wachstumsmärkte der Informationstechnik gilt – mittelbar, da E-Business und E-Government ohne ausreichende Sicherheit nicht vorankommen werden und wir hier auf "verlässliche" Sicherheitsprodukte setzen müssen.
Es ist uns bewusst, dass mit dem wachsenden Bedürfnis nach Sicherheit in den weltweiten Informationsnetzen auch erhebliche Wirtschaftsinteressen verbunden sind und es ist unser erklärtes Ziel diese Interessen angemessen zur Geltung zu bringen. Wir begrüßen deshalb die steigende weltweite Nachfrage nach Produkten "höherwertiger" IT-Sicherheit und sehen in diesem Nachfrageschub erhebliche Chancen gerade für deutsche Hersteller begründet. Denn deutsche Hersteller sind nicht darauf ausgerichtet, die Massenmärkte für IT-Sicherheitsprodukte zu bedienen, sondern sie zählen insbesondere in den heute relevanten High-End-Technologiebereichen, zum Beispiel bei der Einrichtung biometrischer Zugangskontrollen oder dem Aufbau von Public-Key-Infrastrukturen, mit zur Weltspitze. Das ist ganz sicher ein strategischer Vorteil, den wir nutzen werden.
<kes>: Wenn die Bundesregierung die deutsche Kryptowirtschaft nach Kräften unterstützen will, welche Maßnahmen werden zu diesem Zweck ergriffen?
Dr. Sandl: Es ist derzeit so, dass sich die ganze Branche in einem tiefgreifenden Konsolidierungsprozess befindet und wir noch etwas kämpfen müssen, um unsere eben dargestellten Vorteile in vollem Umfang ausschöpfen zu können. Natürlich müssen auch die Unternehmen ihre Hausaufgaben machen, beispielsweise beim Marketing oder bei ihren Investitionsplanungen. Doch auch für die Politik sehen wir derzeit Handlungsbedarf. Eines der wesentlichen Aktionsfelder ist hier der Exportbereich: Denn nicht zuletzt mit Blick auf die liberale Kryptopolitik der Bundesregierung, die – anders als andere Länder – auf staatliche Einschränkungen bei der Nutzung kryptographischer Verfahren stets verzichtete (und verzichten wird), genießen deutsche Hersteller im Ausland besonderes Vertrauen bei privaten und öffentlichen Nutzern.
Ziel der Bundesregierung ist es deshalb, auf diesem Vertrauenspotenzial aufzubauen und "Sicherheit made in Germany" zu einer globalen, anerkannten Marke zu entwickeln. Darüber hinaus sind wir gerade dabei, die Exportchancen deutscher Kryptofirmen in ausgesuchten Regionen, nämlich dem arabischen Raum, Mittel- und Osteuropa sowie Südostasien zu untersuchen, denn wir glauben, dass gerade in diesen Regionen derzeit die größten Chancen für deutsche Exporteure liegen. Ziel dieser Untersuchung soll sein, den Unternehmen konkrete Hilfestellungen für den Markteintritt zu geben und der Bundesregierung zu empfehlen, wie wir solche Bemühungen politisch flankieren können.
Ein weiteres Aktionsfeld ist momentan die Standardisierung, wo wir leider feststellen müssen, dass zunehmend auch staatliche Instanzen in den internationalen Gremien Einfluss nehmen, um die Entwicklung technischer Standards – gerade bei strategischen IT-Sicherheitstechnologien – zum Vorteil der heimischen Wirtschaft zu beeinflussen. Hier werden wir in enger Abstimmung mit den betroffenen Unternehmen mögliche Handlungsoptionen erörtern, um auch in diesem strategisch äußerst wichtigen Bereich unsere Interessen zur Geltung zu bringen.
<kes>: Apropos Standards: Gemäß der Pläne der Trusted Computing Group (TCG) sollen zukünftig standardmäßig Krypto-Chips (TPM) in informationstechnische Endgeräte eingebaut werden (vgl. <kes> 2003#4, S. 12). Welche Auswirkungen erwarten Sie durch diese Initiative für die Rechnersicherheit und die Anwendung von Kryptographie?
Dr. Sandl: Grundsätzlich weist das TCG-Konzept, nämlich die Integration von Sicherheitfunktionalitäten in die Hardwareplattformen, in die richtige Richtung und dieses Konzept könnte, soweit wir es kennen, durchaus einen Beitrag zu mehr Rechnersicherheit leisten. In jedem Fall erwarte ich mir von dieser Initiative allerdings nicht nur Auswirkungen auf die Verwendung von Verschlüsselungsverfahren, sondern tief greifende Auswirkungen auch auf die Verschlüsselungswirtschaft selbst. Dabei gehe ich davon aus, dass gerade mit Blick auf die enormen wirtschaftlichen Potenziale der unter dem Dach der TCG versammelten Unternehmen mit einer breiten Marktdurchdringung der TCG-Spezifikationen im PC-Bereich gerechnet werden muss. Das erklärt auch das besondere Interesse der Bundesregierung an dieser Entwicklung.
<kes>: Das BMWA hatte im letzten Sommer eine kritische Untersuchung der TCG-Vorhaben angekündigt. Liegen bereits Erkenntnisse und Empfehlungen zur Einschätzung der TCG-Standards und -Komponenten vor?
Dr. Sandl: Das Bundesministerium des Innern und wir im BMWA haben uns im letzten Jahr recht intensiv im Rahmen von Task Forces, Symposien und Workshops mit dieser Thematik beschäftigt und haben uns redlich bemüht, die zum Teil recht emotional geführte Diskussion zu versachlichen, vor allem das Thema TCG von anderen aktuellen Sicherheitsinitativen, insbesondere denen von Microsoft und Intel, zu abstrahieren. Unsere gebündelten Erkenntnisse und Bewertungen haben wir in einem so genannten Anforderungskatalog zusammengefasst. Dieser Katalog enthält eine Liste von Kriterien, deren Beachtung wir für erforderlich halten, um unsere Wirtschafts- und Sicherheitsinteressen in der TCG angemessen zur Geltung zu bringen.
Denn bei allem Wohlwollen, hat die Diskussion für die Bundesregierung einige Punkte zu Tage gefördert, die durchaus kritisch betrachtet werden müssen. Dies betrifft zum Beispiel einzelne Datenschutzaspekte, die informationelle Selbstbestimmung des Endanwenders sowie die Transparenz der eingesetzten Sicherheitstechnologie. Aus ordnungspolitischer Sicht muss darüber hinaus gewährleistet werden, dass die Konsortialstruktur der TCG nicht dazu missbraucht wird, neue Marktzugangsschranken zu schaffen. Dementsprechend lautet eine unserer Forderungen, dass die Informationspolitik der TCG so gestaltet sein muss, dass auch Softwareentwicklern, die nicht Mitglied in der TCG sind, alle für die Entwicklung von Software, welche die Funktionen des Sicherheitsmoduls (TPM) nutzt, notwendigen Informationen zeitnah zur Verfügung stehen.
Das Bundesinnenministerium und wir haben den Anforderungskatalog an den TCG-Vorstand übermittelt und werden auf dieser Grundlage in Gespräche mit dieser Gruppe eintreten, um entsprechende Anpassungen zu erreichen. Anzumerken ist hier noch, dass es für die politische Akzepanz der TCG in Deutschland und in Europa durchaus von Vorteil wäre, wenn in seinem Entscheidungsgemium, nämlich dem Board of Directors, auch europäische Technologiepartner vertreten wären.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#2, Seite 6
| 