Verschlüsselung auf Internetseiten
Nutzung von Verschlüsselung (TSL/SSL bzw. HTTPS) auf Internetseiten von Bundesbehörden
Seit 2014 existiert ein Mindeststandard des BSI für den Einsatz des SSL/TLS-Protokolls durch Bundesbehörden, dessen Anwendung nach einer entsprechenden Verwaltungsvorschrift verbindlich ist
Die "Nutzung von Verschlüsselung (TSL/SSL beziehungsweise HTTPS) auf Internetseiten von Bundesbehörden" beschäftigt die Fraktion Die Linke in einer Kleinen Anfrage (19/517). Wie die Abgeordneten darin ausführen, handelt es sich bei " Transport Layer Security" um ein gängiges Verschlüsselungsprotokoll für Datenübertragung im Internet, das unter anderem im Rahmen von HTTPS verwendet wird, "einer verschlüsselten Version des Hypertext Transfer Protocol (HTTP), das insbesondere der Übertragung von Webseiten dient".
Wissen will die Fraktion, ob die Bundesregierung die Auffassung teilt, "dass der flächendeckende Einsatz von HTTPS im World Wide Web ein erstrebenswertes Ziel ist, um ein Höchstmaß an Sicherheit zu gewährleisten". Auch fragt sie unter anderem, wie es nach Auffassung der Bundesregierung zu bewerten ist, "dass allem Anschein nach nur ein geringer Anteil von Domains deutscher Bundesbehörden den Einsatz von HTTPS unterstützt".
Vorbemerkungen der Fraktion Die Linke
Bei Transport Layer Security (TLS; SSL ist die Bezeichnung eines Vorgängerprotokolls) handelt es sich um ein gängiges Verschlüsselungsprotokoll für Datenübertragung im Internet. Verwendet wird es unter anderem im Rahmen von HTTPS, einer verschlüsselten Version des Hypertext Transfer Protocol (HTTP), das insbesondere der Übertragung von Webseiten dient.
Die Verwendung von HTTPS zur Auslieferung von Webseiten hat zwei zentrale Vorteile: Sie gewährleistet Vertraulichkeit, da die übertragenen Daten (also der Inhalt der Seite und Eingaben, wie etwa Zugangsdaten) verschlüsselt und damit der Einsicht durch Dritte entzogen sind und sie gewährleistet Integrität, da sie Gewissheit über die Identität des Webseitenanbieters gibt und so Phishing- oder Man-in-the-Middle-Angriffen vorbeugen kann. Während in der Vergangenheit HTTPS vor allem im Rahmen bestimmter besonders sensibler Dienste wie etwa Zahlungstransaktionen verwendet wurde, hat es sich in den letzten Jahren immer mehr als allgemeiner Sicherheitsstandard etabliert und inzwischen erfolgt weltweit mehr als die Hälfte des Webverkehrs über HTTPS (www.eff.org/ deeplinks/2017/02/were-halfway-encrypting-entire-web).
Seit 2014 existiert ein Mindeststandard des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für den Einsatz des SSL/TLS-Protokolls durch Bundesbehörden, dessen Anwendung nach einer entsprechenden Verwaltungsvorschrift (Gemeinsames Ministerialblatt GMBl 2015 S. 173) verbindlich ist und das in seiner Begründung insbesondere auf die Wichtigkeit der damit gewährleisteten sicheren Datenübertragung bei E-Government-Anwendungen verweist. In ihrer Digitalen Agenda 2014 bis 2017 hat sich die Bundesregierung unter anderem das Ziel gesetzt, "die Kommunikation über digitale Netze zu schützen und dafür den Zugang zu sicheren und einfach zu nutzenden Verschlüsselungsverfahren zu fördern" und Deutschland zum "Verschlüsselungs-Standort Nr. 1" werden zu lassen. Dazu solle "die Verschlüsselung von privater Kommunikation in der Breite zum Standard werden".
Nach Recherchen der Open Knowledge Foundation Deutschland unterstützen von 513 untersuchten Domains deutscherBundesbehörden mit Stand vom Januar 2018 lediglich 135, also etwa 26 Prozent,den Einsatz von HTTPS.
(Deutscher Bundestag: ra)
eingetragen: 12.02.18
Newsletterlauf: 04.04.18