Unabhängige Selbsthilfeorganisation der Wirtschaft rund um Internetsicherheit: NIFIS.
Der Streit um die Sicherheit der De-Mail geht in die nächste Runde: Angesichts von PRISM warnt der Selbsthilfeverband der Industrie NIFIS davor, De-Mail einzusetzen und sich auf die vorgegebenen Sicherheitsmaßnahmen zu verlassen. Die seien zum aktuellen Stand nachgerade ein “offenes Scheunentor” für Angreifer, interessierte Dritte, allen voran aber für Geheimdienste.
Vernichtend fällt das Urteil aus, das die Nationale Initiative für Informations- und Internet-Sicherheit e.V., (NIFIS) über die De-Mail fällt. Dr. Thomas Lapp, der Vorsitzende des Verbandes, der sich als unabhängiges Sprachrohr der Industrie in Sachen Internetsicherheit sieht, lässt kein gutes Haar an der von Regierung per Gesetz nachträglich als sicher deklarierten Technologie: Er spricht von einem „fundamental unsicheren Verschlüsselungskonzept“, weil das De-Mail-Gesetz “ausdrücklich vorsieht, dass vertrauliche Nachrichten bei den Providern für die Übermittlung entschlüsselt und damit potenziell mitgelesen werden können.”
De-Mail: Nur für unverbesserliche Optimisten
Den einzig sicheren Weg, die vollständige Ende-zu-Ende-Verschlüsselung, erwähne das Gesetz lediglich als „Option“. „Angesichts der jüngsten Skandale muss man wohl ein gutgläubiger Optimist sein, um zu glauben, dass das kein Risiko ist.”, schreibt Lapp. Prism und Co. greifen die Daten ohnehin beim Provider ab, da biete es sich nur förmlich an, gleich auch die Mails mitzulesen.
Auch hier gäbe es zwar keinerlei Beweise dafür, dass De-Mail-Provider an Prism beteiligt seien, doch seien Medienberichten zufolge alle Unternehmen mit einer Zweigstelle in den USA zur Kooperation gemäß des USA Patriot Act verpflichtet. “Der Gesetzgeber hat De-Mail durch die fehlende Ende-zu-Ende-Verschlüsselung vom Absender bis zum Empfänger […] zumindest grob fahrlässig mit einer Sicherheitslücke ausgestattet.”, fährt der NIFIS-Chef fort. Auch in Deutschland sei ja jeder Provider durch die Telekommunikations-Überwachungsverordnung gesetzlich verpflichtet, eine Überwachungsschnittstelle eigens für den staatlichen Datenabgriff einzurichten. „Nimmt man jetzt noch das neue Auskunftsgesetz hinzu, nach dem Provider auf Anordnung die Login-Daten ihrer Kunden herausgeben müssen, bestehen ernsthafte Zweifel an der angekündigten Sicherheit der De-Mail, zumal die Äußerungen der Bundeskanzlerin zu Prism kein besonderes Engagement für den Datenschutz erkennen lassen.“ resumiert Lapp enttäuscht.
Das NIFIS-Siegel belegt erfolgreiche Audits im Unternehmen.
NIFIS: Unabhängige Security für die Wirtschaft
Die NIFIS versteht sich als neutrale Selbsthilfeorganisation, die “die deutsche Wirtschaft im Kampf gegen die täglich wachsenden Bedrohungen aus dem Netz technisch, organisatorisch und rechtlich unterstützen möchte. Vornehmliches Ziel der Arbeit der unter dem Dach der NIFIS organisierten Gremien ist es, Vertraulichkeit, Verfügbarkeit und Integrität sowie den sicheren Transport von Daten in digitalen Netzwerken sicherzustellen.” NIFIS wurde 2006 gegründet, sitzt in Frankfurt und organisiert Arbeitskreise als Austauschplattform für Angewandte Informationssicherheit, BCM, Datenschutz, Identity- und Access-Management sowie allgemein zur Sicherheit in Rechenzentren.
