Open Source und IT-Sicherheit  

Hubertus Soquat  
 
 
 
  

RealVideo: Modem | ISDN 
Sie sehen, die Bundesregierung ist wirklich schon in Berlin. Zwei Vertreter sind heute morgen hier. Ich hoffe, das überfordert Berlin nicht zu sehr. Ich will, bevor ich dann auf den Punkt GNU-PG komme, noch einen kleinen Umweg machen zur Frage der Kryptographie. Ich möchte Ihnen kurz einige Elemente darstellen zu den Entwicklungen, die es in letzter Zeit gegeben hat. Sie wissen alle, die Bundesregierung hat am 2. Juni einen Beschluß gefaßt, der die Verwendung von starken Kryptographieprodukten ohne jede Beschränkung vorsieht. Das war für uns, für die Bundesregierung insgesamt, aber auch für die beteiligten Ministerien, und ich spreche hier für den Bundesminister für Wirtschaft und Technologie, durchaus ein herausragendes Ergebnis. Ein herausragendes Ergebnis deshalb, weil wir erkannt haben, daß Kryptographiepolitik eben auch eine strategische Bedeutung hat.  

Die strategische Bedetung kommt vor allen Dingen daher, weil die neuen Entwicklungen in der IT-Welt so fortgeschritten sind. Früher war Krypto etwas, was ausschließlich im staatlichen Umfeld zu Hause war. Heute bieten die neuen Möglichkeiten den Schritt für jedermann. Und das wollen wir tun, deshalb wollen wir das fördern. Und wir wollen eben nicht nur die Frage des Schutzes des Vertrauens für den Einzelnen fördern, sondern, und da galt es, in der entscheidenden Phase die Einvernehmlichkeit innerhalb der Bundesregierung zwischen widerstreitenden Interessen herzustellen, die entscheidende Frage war eben auch der Schutz von Wirtschafts- und Produktionsgeheimnissen, Elementen, die naturgemäß da von großer Bedeutung sind. Ich will nicht so sehr auf die historische Entwicklung eingehen. Ich glaube, das kennen Sie alle. Die heißen Diskussionen im letzten Jahr 1998 liegen etwas hinter uns, und wir wollen das auch bewußt etwas hinter uns liegen lassen und zu einem neuen Dialog kommen.  

Was sind die konkreten Elemente? Die konkreten Elemente sind erstens, der weite Bereich der freien Verfügbarkeit, sprich also, von der Entwicklung über die Produktion und Vertrieb bis letztlich zum Einsatz. Die Frage: Wie stärke ich das Vertrauen in Kryptoprodukte? Vertrauen ist heute mehrfach angesprochen worden. Das soll durch Zertifizierungsmöglichkeiten geschehen. Vielleicht dazu später noch etwas mehr. Wichtig für uns, auch das klang heute an, deutsche Hersteller zu unterstützen. Auch da müssen wir uns noch genaueres anschauen. Dazu gehört auch, das will ich hier nicht verschweigen, die Anerkennung der Interessen der Strafverfolgungs- und Sicherheitsbehörden. Das ist ein zentrales Element in dem weiteren Vorgehen. Und schließlich auch die internationale Zusammenarbeit.  

Kurz zu den einzelnen Punkten, um Ihnen schon einen kleinen Blick voraus zu geben. Einen Blick voraus, der nun noch nicht zwischen den verschiedenen Stellen der Bundesregierung abgestimmt ist, aber damit haben Sie so einen leichten Vorsprung. Sie sehen Dinge, die wir uns überlegen wollen, und ich nehme auch gerne Anregungen von Veranstaltungen wie dieser hier auf, auch gerne Übermittlung an uns. In diesem ersten Umfeld ist wichtig für uns die Sensibilisierung breiter Nutzerschichten. Die Sensibilisierung haben wir schon angefangen mit einer Kampagne "Sicherheit im Internet", die sich, ich betone das hier in dem Kreise von tiefergehenden Experten, an den normalen Nutzer, an kleine und mittlere Unternehmen richtet. Dort sollen die Fragen, die den Anwendern wirklich am Herzen liegen, aufgegriffen werden. Wir wollen die Zusammenarbeit mit Datenschutzbeauftragten intensivieren. Wir betreiben innerhalb der Bundesbehörden und auch schon darüber hinaus ein Pilotprojekt "Sphinx" zur Verschlüsselung. Auch das werden wir weiter treiben. Und möglicherweise Verbindungen herstellen zu Elementen, die wir hier heute gesehen haben.  

Zu der Frage: Wie können wir Vertrauen in die Produkte hineinbringen? Auch das haben wir heute gehört. Open Source ist das zentrale Element einerseits. Es gibt auch Überlegungen die Prüfung voranzubringen. Das Bundesamt für Sicherheit (BSI) hat da bereits erste Schritte anvisiert. Es gibt einen Beschluß und einen Erlaß des Bundesinnenministeriums, wodurch die Kollegen autorisiert werden, auch weitergehende Zertifizierungen für Kryptoprodukte vorzustellen. Ich kann mir aber auch vorstellen, daß wir noch andere Elemente da hineinnehmen.  

Frage: Wettbewerbsfähigkeit der deutschen Industrie? Wir werden uns anschauen und überlegen müssen: Was passiert? Wir müssen den Markt beobachten. Wir dürfen nicht die Möglichkeit der öffentlichen Auftraggeber verkennen, entsprechende Nachfragepotentiale zu realisieren. Und wir haben bereits eine entsprechende Studie in Auftrag gegeben, die die Lage der Kryptoindustrie beobachten soll. Wichtig ist uns allerdings auch ein neuer Dialog mit den Beteiligten. Ein neuer Dialog, der von der Emotionalisierung der Vergangenheit wegführen soll hin zur klaren Interessendefinition, was in der Tat ein wichtiges Element ist. Der Bundesinnenminister wird naturgemäß, das ist keine Überraschung, sich der Frage annehmen: Was passiert im Bereich der Strafverfolgungs- und der Sicherheitsbehörden? Es wird eine Studie erstellt. Es werden Kontakte weitergeführt. Und die Bundesregierung wird in zwei Jahren berichten. Das ist ein kritischer Punkt in gewisser Weise, der immer wieder angesprochen wird: Was passiert nach den zwei Jahren? Ich sage mal, das wissen wir heute nicht. Wir haben die Erkenntnisse, daß Kryptographie in dem Bereich der Sicherheitsbehörden derzeit noch keine Bedrohung darstellt. Das muß man überprüfen. Das wird man beoachten und möglicherweise dann weitere Schritte einleiten.  

Letzter Punkt: Offene Standards. Und damit sind wir beim Thema hier und heute. Wir haben diese Frage bereits anerkannt. Wir haben ganz klar in dem Beschluß der Bundesregierung uns entschieden, das Thema anzusprechen. Und ich hoffe, wir werden auch konkrete Maßnahmen weiterführen. Konkrete Maßnahmen werden in dem Zusammenhang nicht nur national, sondern auch international notwendig sein. Aber konkrete Maßnahmen müssen sich auch, und da komme ich noch einmal zum konkreten Thema heute, am Markt und an den Notwendigkeiten für die Open Source-Szene messen lassen. Wie das konkret vonstatten gehen wird, können wir im Moment noch nicht sagen. Ich denke aber, das hat der Kongreß heute, das hat das Fachgespräch gestern gezeigt, es gibt vernünftige Ansätze. Es gibt wichtige Elemente, die reichen können von der Frage der Sensibilisierung breiterer Nutzerschichten -- ein wichtiges Thema, glaube ich, für Open Source -- bis hin zu konkreten Maßnahmen, bis hin zu möglicherweise der Frage von Schnittstellen für Normalnutzer. Das würde etwas sein, wo wir nachdenken. Das muß geprüft werden. Das hat finanzielle Auswirkungen, vollkommen klar. Aber der Grundsatz scheint uns sehr wichtig.  

Das alles hat in der Tat auch eine übernationale, eine internationale Komponente. Sie haben gemerkt, es gibt in Frankreich und in Großbritannien gewisse Liberalisierungsschritte. In den USA ist die Situation anders. Wir haben aber mit unserem Kryptobeschluß eine gewisse Zielvorstellung gegeben, die auch international gesehen wird und die international Anerkennung gefunden hat, die uns möglicherweise auch mit dem einen oder anderen Partner Schwierigkeiten bereiten wird.  

Meine Damen und Herren, zum Schluß: Die Message für uns war, die wichtige Frage der Kryptographie in den Mittelpunkt der IT-Sicherheit zu stellen. Wir haben einen Konsens innerhalb der Bundesregierung gefunden, der tragfähig ist. Wir werden daran weiterarbeiten. Wir müssen konkrete Aktionen vornehmen. Und, auch das sage ich noch einmal zum Schluß, wir wünschen uns einen neuen Dialog mit allen Beteiligten. Alle sind willkommen. Und in diesem Sinne danke ich zunächst.  
 

(Transkription Katja Pratschke)