Zufall oder Versehen

Bundesamt ignoriert eigene Verschlüsselungsrichtlinie

12.11.2013
Das Verschlüsselungsverfahren RC4 gilt als unsicher. Auch die NSA kann es knacken. Doch das Bundesamt für Sicherheit in der Informationstechnik setzt es ein, obwohl es vor ihm warnt.

Zufall oder Versehen? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nutzt auf seiner Internetseite eine Verschlüsselung, vor deren Schwächen es selbst warnt. Wie auch die Webseite der Bundesverwaltung Bund.de zwinge die BSI-Homepage die Nutzer zu einer Verschlüsselung mit dem Verfahren RC4, berichtet der Branchendienst "heise online". Diese Verschlüsselungsform könne die NSA jedoch vermutlich in Echtzeit knacken. Im Fall von Bund.de bliebe den Nutzern nur eine unverschlüsselte Alternative, da die Site keine sicheren Varianten der Verschlüsselung als Alternative zu RC4 akzeptiert.

Paradox daran: Das BSI selbst warnt in einer technischen Richtlinie vor der Benutzung von RC4. "Die Stromchiffre RC4 hat bekannte kryptographische Schwächen", heißt es in dem bereits im Januar veröffentlichten Papier. Heise zufolge empfiehlt auch die europäische Sicherheitsbehörde Enisa, auf RC4 zu verzichten. (dpa/tö)

Zur Startseite