Bericht: BSI hält sich nicht an eigene Verschlüsselungsrichtlinie
Berlin (dpa) - Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nutzt auf seiner Internetseite eine Verschlüsselung, vor deren Schwächen es selbst warnt.
Wie auch die Webseite der Bundesverwaltung Bund.de zwinge die BSI-Homepage die Nutzer zu einer Verschlüsselung mit dem Verfahren RC4, berichtet der Branchendienst „heise online“. Diese Verschlüsselungsform könne die NSA jedoch vermutlich in Echtzeit knacken. Im Fall von Bund.de bliebe den Nutzern nur eine unverschlüsselte Alternative, da die Site keine sicheren Varianten der Verschlüsselung als Alternative zu RC4 akzeptiert.
Paradox daran: Das BSI selbst warnt in einer technischen Richtlinie vor der Benutzung von RC4. „Die Stromchiffre RC4 hat bekannte kryptographische Schwächen“, heißt es in dem bereits im Januar veröffentlichten Papier. Heise zufolge empfiehlt auch die europäische Sicherheitsbehörde Enisa, auf RC4 zu verzichten.