Sauber und sicher aus Deutschland
Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Ob sich die deutschen Unternehmen für IT-Sicherheit, die sich unter dem Label "IT-Security made in Germany" (ITSMIG) mit Geldern des Bundeswirtschaftsministeriums zusammengefunden haben, in Zeiten des "Bundestrojaners" mit dieser Selbstverpflichtungserklärung einen großen Gefallen getan haben? Ich bezweifle es.
In ihr erklären sich zwar die Unternehmen dazu, wirklich und wahrhaftig nur Produkte anzubieten, die keinerlei Backdoors, Schwächen, künstlich verkrüppelte Kryptoalgorithmen und Schlüssel enthalten und wirklich und wahrhaftig für die sofortige Abstellung von Sicherheitsmängeln sorgen zu wollen, aber am interessantesten ist dann doch Punkt 6 der Erklärung, die das Nicht-Können(-Wollen) hinter den ganzen Absichtserklärungen offenbart, wenn der Staat und die Sicherheitsbehörden andere Wünsche haben:
Besonders putzig ist dann noch, dass auf der Firmenindex-Seite das Symbol für die Unterzeichnung der Erklärung (das sehr an das vom Arbeitskreis Vorratsdatenspeicherung benutzte Signet erinnert) gerade bei Firmen wie Avira (noch) fehlt, die bereits bekanntgaben, für die "Online-Durchsuchung" keine Ausnahmen machen zu wollen, Kobil, die für ihre Card-Reader bekannt sind oder Utimaco, deren Festplattenverschlüsselungsprogramme nicht nur in Deutschland sehr beliebt sind.
Man stelle sich so eine "Verpflichtungserklärung" bei Projekten wie OpenSSH oder GnuPG vor.
Via: Computerwoche - 15 deutsche Hersteller verpflichten sich zu sauberer Software
In ihr erklären sich zwar die Unternehmen dazu, wirklich und wahrhaftig nur Produkte anzubieten, die keinerlei Backdoors, Schwächen, künstlich verkrüppelte Kryptoalgorithmen und Schlüssel enthalten und wirklich und wahrhaftig für die sofortige Abstellung von Sicherheitsmängeln sorgen zu wollen, aber am interessantesten ist dann doch Punkt 6 der Erklärung, die das Nicht-Können(-Wollen) hinter den ganzen Absichtserklärungen offenbart, wenn der Staat und die Sicherheitsbehörden andere Wünsche haben:
6. Wir weisen darauf hin, dass es uns aus Gründen der Befolgung von Rechtsvorschriften,
gerichtlichen Entscheidungen oder Maßnahmen der Strafverfolgungsbehörden vorgegeben
sein kann, Mechanismen für eine vollständige oder teilweise Aushändigung von
Kommunikationsinhalten, Kryptoschlüsseln oder Zugangskennungen an die örtlichen
Strafverfolgungsbehörden zu realisieren. Wir verpflichten uns, in solchen Fällen den Kunden hiervon in Kenntnis zu setzen, soweit dies gesetzlich zulässig ist.
Was nichts anderes heißt, dass man PINs und Passwörter mitloggen, Sicherheitsfunktionen abschwächen und kryptografische Schlüssel zur nachträglichen Entschlüsselung ausliefern würde, wenn man muss – die man ja nur ausliefern kann, wenn sie zu berechnen sind oder verdeckt hinterlegt wären.
Man stelle sich so eine "Verpflichtungserklärung" bei Projekten wie OpenSSH oder GnuPG vor.
Via: Computerwoche - 15 deutsche Hersteller verpflichten sich zu sauberer Software
von rabenhorst - Owl,
gepostet am Freitag, 7. September 2007 um 18:16
