NSA-Schlüssel bleibt umstritten
Bundesregierung wartet immer noch auf Erklärung von Microsoft
Die Gerüchteküche brodelt: Ist der "NSAKey" eine Hintertür für den US-Amerikanischen Nachrichtendienst NSA oder dient er nur als Backup für Microsofts eigenen Schlüssel? Die Experten sind sich uneins. Eines steht jedoch jetzt schon fest: Für die Open-Source-Bewegung ist der neueste Microsoft-Skandal nur von Vorteil.
Noch immer steht sie aus: Die "kurzfristige und möglichst umfassende Stellungnahme" von Microsoft zu den Berichten über die NSA-Hintertür in der MS-Krypto API liegt dem Sprecher "Neue Medien" der SPD-Bundestagsfraktion, Jörg Tauss, noch nicht vor. In einem Brief hatte er Microsoft am Samstag aufgefordert bis zum heutigen Dienstag den Vorgang zu klären. Tauss: "Soweit solche Berichte zutreffen, müsste ich mich gegen den weiteren Einsatz des Windows Betriebssystems mindestens in allen sensiblen Bereichen von Wirtschaft und Staat aussprechen. "Ein einfaches Dementi" reiche nicht mehr.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird den Berichten nachgehen. Gegenüber Telepolis sagte BSI-Sprecher Michael Dickopf: "Bei dem NSA-Schlüssel handelt es sich unserer Auffassung nach nicht um eine Hintertür der NSA." Das BSI vermutet, dass es sich hier viel mehr um eine Schnittstelle zur Integration von Krypto-Software für behördeninterne Anwendungen handelt. Dickopf gegenüber Telepolis: "Wir machen das genauso!" Auch das BSI setze einen eigenen Krypto-Algorithmus ein, der in das Krypto-Verfahren einer deutschen Firma implementiert werde. Dieses Verschlüsselungsprodukt werde dann im hausinternen Netz auf Windows NT eingesetzt. Dickopf vermutet daher eine Parallele.
Das Bundeswirtschaftsministerium will sich offiziell nicht zu den Vorgängen äussern. Gegenüber Telepolis bezeichnet es jedoch der zuständige Referent, Hubertus Soquat, als "nicht überraschend", dass nun die Implementierung eines zweiten Schlüssels bekannt geworden sei. Hausintern seien Fachleute schon immer davon ausgegangen, dass die NSA eine eigene Schnittstelle in Microsoft-Produkten unterhalte. Die Sache zeige einmal mehr wie wichtig offene Quellen seien. Beschaffer bei Behörden müssten künftig verstärkt darauf achten, dass Open-Source-Produkte zum Einsatz kämen.
Mittlerweile scheint es keine Rolle mehr zu spielen für welchen Zweck der NSA-Schlüssel vorgesehen war. Er dokumentiert einmal mehr die mangelnde Transparenz des Betriebssystems Windows. Die Befürchtungen von Microsoft durch diesen Fall erhebliche Imageschäden zu erleiden sind nicht von ungefähr. Gegenüber der New York Times sagte ein Microsoft Sicherheitsexperte, dass Microsoft "dafür noch und noch bezahlen müsse." Mark Seiden von Kroll-Ogara, einem auf Datensicherheit spezialisiertem Unternehmen, sagte: "Microsoft hat sein Ansehen abgewertet, weil es das nicht offengelegt hat.
Auf einer Pressekonferenz am Freitag hatte Microsoft Manager Scott Culp erklärt, dass es sich bei dem angeblichen NSA-Schlüssel um einen Microsoft-eigenen Schlüssel handele. Er diene nur als Backup für den ersten Schlüssel. Der Name "NSAKey" bringe lediglich zum Ausdruck, dass die Software amerikanischen Export- und Sicherheitsvorschriften entspreche, die von der NSA überwacht würden. Diese Begründung ist so aber nicht nachzuvollziehen: Es ist nicht die NSA, sondern das Bureau of Export Administration (BXA), das die Gesetze und Regelungen verwaltet und durchsetzt, die mit dem Export von Dual-Use-Gütern, -Technologien und -Software zu tun haben. Falls es doch die NSA sein sollte und nicht das BXA, das die Realisierung der US-Exportbestimmungen überwacht, wäre das das tatsächliche Novum. Offiziell jedenfalls.