Die Secure VPN Govnet Box der Firma NCP hat die Sicherheitsfreigabe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten. Das gab das Fraunhofer-Institut für Sichere Informationstechnologie (SIT), dass die Sicherheitslösung zusammen mit NCP entwickelte, gestern bekannt.
Die Inbetriebnahme ist einfach
Die VPN-Box wird per USB an den Computer angeschlossen und über Ethernet, WLAN oder 3G-Mobilfunk mit dem Internet verbunden. Zur Authentifizierung steckt der Benutzer seine Smartcard in die Box und gibt über das PIN-Pad der Box seine PIN ein. Dann stellt die Box eine verschlüsselte Verbindung zur Gegenstelle her.
Die Daten sind sicher – oder?
Viele Nachrichten- und Wirtschaftsdienste griffen diese Meldung auf und berichteten, als habe man mit Einsatz dieses Tastatur- und Kartenleserbewehrten Kästchens die Sicherheit seiner Daten gewährleistet: „Die Govnet-Box soll für Unternehmen und Behörden einen vertraulichen Kommunikationskanal bereitstellen und so wirksam vor Wirtschaftsspionage zu schützen. Die Govnet-Box verwendet nach Angaben von Carsten Rudolph, Abteilungsleiter am Fraunhofer SIT, ein hardwarebasiertes Schutzkonzept auf Basis von Trusted Computing.“
Hier lacht die NSA
Zwar heißt es vom NCP-Geschäftsführer Peter Söll, dass die Box“ausschließlich auf Eigenentwicklungen – ohne jegliche Hintertüren zu den Spähprogrammen in- und ausländischer Geheimdienste” basiert – aber Zweifel bestehen an den Testmethoden, Werkzeugen und den allgemeinen Vorstellungen des BSI von Sicherheit.
Hier lacht keiner mehr…
Diese Zweifel sind begründet: Das BSI verbreitet schon über Jahre hinweg eine komplett unsichere Software zur Verschlüsselung, obwohl verschiedene Personen dem BSI von einer gravierenden Sicherheitslücke in der Verschlüsselung des von der Behörde bereitgestellten Programms GSTool berichteten.
So schrieb zum Beispiel Jan Schejbal in seinem Blog, dass GSTool zur Verschlüsselung einen zu einfachen Zufallszahlengenerator benutzt, wodurch die Anzahl der möglichen Schlüssel auf nur noch 2 hoch 31 zurückgeht.
Deshalb lässt sich die Verschlüsselung durch einfaches Durchprobieren aller möglichen Schlüssel (Brute Force) in recht kurzer Zeit vollständig brechen.
“Und um diese Lücke zu finden, braucht es keine NSA-Experten”, sagt Jan Schejbal zu diesem Vorfall in seinem Blog. “Das hat der chinesische Geheimdienst und jeder andere Wirtschaftsspion sicher auch hinbekommen. Kein schöner Gedanke für deutsche Unternehmen, die sich auf die Sicherheit dieser von einer für die IT-Sicherheit zuständigen Behörde herausgegebenen Software verlassen haben.”
Statt Dank ein Schreiben vom Rechtanwalt
Der junge Mann bekam dafür genauso wenig Dank vom BSI wie andere helle und aufmerksame Zeitgenossen, die auch vor dem unsicheren Sicherheitstool des BSI gewarnt hatten – dafür aber juristische Drohungen!
Dieser bei Golem.de gefundener Kommentar bringt es auf den Punkt
“Sicherheitstechnologien müssen transparent und offen entwickelt werden, Software muss im Quelltext verfügbar sein. Die Konsequenz aus dem NSA-Skandal kann nicht sein, auf Software von deutschen Behörden zu vertrauen. Auch die Idee von Sicherheitssoftware ‘Made in Germany’ ist nicht geeignet, Vertrauen wiederherzustellen. Die Lösung heißt: Offenheit, Transparenz und freie Software.“
