Welchen Fortschritt hat die Sicherheit bei der Verschlüsslung zwischen 2008 und 2020, also in 12 Jahren gemacht? Glaubt man dem BREXIT-Handels- und Zusammenarbeitsabkommen: keinen! In dem Beschluss 2008/616/JI des Rates der Europäischen Union vom 23. Juni 2008 werden IT-Sicherheitsstandards zum Datenaustausch bei der grenzüberschreitenden Zusammenarbeit, insbesondere zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität festgeschrieben. Diese sind 256-Bit AES, 1024-Bit RSA und SHA-1. Über zwölf Jahre später werden im BREXIT-Handels- und Zusammenarbeitsabkommen (Entwurf vom 24.12.2020) IT-Sicherheitsstandards zum Austausch von DNS-Profilen, Fingerabdruck-Daten und Fahrzeug Registrierungen („Exchanges of DNA, Fingerprints and vehicle registration data“) festgeschrieben. Es ist kaum zu glauben, was dort steht: 256-Bit AES, 1024-Bit RSA und SHA-1. Als Begründung wird 2020 die gleiche Argumentation wie 2008 verwendet: „Die s/MIME-Funktionalität ist bereits Bestandteil der überwiegenden Mehrzahl moderner E-Mail-Softwarepakete einschließlich Outlook, Mozilla Mail sowie Netscape Communicator 4.x und bietet eine Interoperabilität mit allen gängigen E-Mail-Softwarepaketen.“ Was 2008 „modern“ war, ist 2020 auch noch „modern“.
„Copy and Paste“ ist ja grundsätzlich okay. Wer macht das nicht. Bei Grundschülern passiert es vielleicht auch mal, dass man etwas kopiert, was man nicht wirklich versteht. Aber bei politischen Verhandlungen auf dem „Kompetenzlevel“? Bleibt nur zu hoffen, dass im Rahmen der Ratifizierung jemand den Text liest und aktualisiert.
Aber auch 2008 waren die Empfehlungen nicht auf der Höhe der Zeit. Mozilla Mail (Bestandteil der Mozilla Suite) wurde 2006 eingestellt. Seit 2004 gab es den Mozilla Thunderbird. Die letzte Version des Netscape Communicators 4.x erschien 2002. Das NIST (Special Publication 800-131A; mittlerweile auch schon außer Kraft) sieht RSA mit Schlüssellänge 1024 Bit als akzeptierbar (“acceptable“) bis Ende 2010 und ab Anfang 2014 als verboten („disallowed“) an. Gleiches gilt für den Hash-Algorithmus SHA-1.
Wenn dieser Text die neue Messlatte ist, muss man sich in Datenschutzseminaren gut überlegen, wie man bei „Was ist Stand der Technik?“ argumentiert. Der Austausch sensibler Daten zwischen Behörden scheint hier um Jahrzehnte zurück zu sein.
Die kleine Synopse stellt die beiden Fassungen gegenüber.