(Nichts) Neues vom Lock-Keeper
An der „Firewall” des Hasso-Plattner-Institutes scheint nichts nachprüfbar zu sein.
Auf der Webseite des deutschen Vertriebes Actisis wird unter Referenzen angegeben:
Testergebnisse Lock-Keeper
IT-Amt der Bundeswehr über den Lock-Keeper:
“Die Sicherheitsfunktionen des Lock-Keepers wurden im Auftrag des Bundesamts für Informationsmanagement und Informationstechnik der Bundeswehr unter Mitwirkung der Actisis GmbH für den Einsatz im Bereich der Bundeswehr erfolgreich untersucht.”
Weitere Referenzen können Sie bei Interesse gerne über unser Kontaktformular erfragen.
Nachdem ja nun kürzlich schon die Präsidentin der Uni Potsdam behauptet hatte, der Lock-Keeper würde beim Einsatzführungskommando der Bundeswehr erfolgreich eingesetzt, was sich indirekt als unwahr herausgestellt hat (das Einsatzführungskommando äußert sich aus Gründen der Geheimhaltung nicht dazu, ob es den Lock-Keeper einsetzt, sagt aber, daß sie nur BSI-zertifiziertes Zeug einsetzen. Und der Lock-Keeper ist laut Auskunft des BSI nicht zertifiziert.), stellt sich natürlich die Frage, ob denn wenigstens das stimmt. Also habe ich beim IT-Amt der Bundeswehr nachgefragt, per Informationsfreiheitsgesetz. Und heute deren Antwort erhalten:
Eine Auskunftserteilung nach dem IFG ist auf Grund des Ausnahmetatbestandes des § 3 Nr. 1 b) IFG nicht möglich. Auskünfte über Untersuchungen von Hard- und Software durch das IT-AmtBw sowie über deren möglichen Einsatz in der Bundeswehr können nicht erteilt werden. Die Bekanntgabe dieser Daten kann nachteilige Auswirkungen auf militärische und sonstige sicherheitsempfindliche Belange der Bundeswehr haben, da alleine der Hinweis, ob und gegebenenfalls welche Systeme eingesetzt werden, Ansatzpunkte für Angriffe auf dass IT-System der Bundeswehr bieten kann.
Das mag sein. Das will ich noch nicht einmal kritisieren. Man kann sich darüber streiten, inwieweit das IFG das tatsächlich verbietet, aber zumindest aus Sicht der Sicherheit ist es völlig richtig, daß die – ebenso wie das Einsatzführungskommando – nichts darüber sagen, was sie einsetzen und wonach sie prüfen. Als IT-Security-Consultant muß ich das sogar loben, daß die so verschwiegen sind, auch wenn es mir gerade nicht in den Kram paßt.
Allerdings bleiben zwei Punkte festzuhalten:
- Beide Behauptungen – die der Präsidentin der Uni Potsdam, wonach der Keeper beim Führungskommando eingesetzt wird und die der Actisis, wonach er vom IT-Amt der Bundeswehr positiv untersucht worden sei – sind jedenfalls nicht nachprüfbar. Sie behaupten etwas, was zwar nicht direkt von der Bundeswehr bestritten wird und werden kann (vielleicht behaupten sie es ja gerade deshalb) und im ersten Fall sogar indirekt über das BSI als unmöglich beschrieben wird.
Sonst ist da aber nichts. Warum bewirbt man ein Produkt mit nur einer einzigen Referenz, die nicht nachprüfbar ist? Hat man keine brauchbaren Referenzen? (Da würde ich lieber auf eine Referenzen-Seite verzichten.)
Mit Wissenschaft hat es jedenfalls nicht viel zu tun. Wissenschaft beruht auf Nachprüfbarkeit. Und am Lock-Keeper habe ich bisher nichts gefunden, was nachprüfbar wäre. Ob das symptomatisch für das Hasso-Plattner-Institut ist?
- Selbst wenn man mal unterstellt, daß beide Behauptungen doch wahr wären – sie unterlägen beide der Geheimhaltung und würden damit auch das HPI und die Firma Actisis zur Verschwiegenheit verpflichten. Schon die Universitätspräsidentin dürfte davon gar nichts wissen, geschweige denn es einem „Gegner”, was ich aus deren Sicht nun einmal gerade bin und sein muß, ungefragt hinterherzuwerfen.
Das heißt doch wieder, daß die selbst dann, wenn sie mit ihren Behauptungen Recht hätten, nicht vertrauenswürdig sind, weil sie das Wasser nicht halten können. Wer über solche Vorgänge – unterstellt sie stimmten überhaupt – die Klappe nicht halten kann, hat im Sicherheitsumfeld, in der Sicherheitsforschung, der Sicherheitsentwicklung und der Sicherheitsdienstleistung nichts verloren. Meine Meinung.
In meinen Augen wird das HPI immer fragwürdiger, was die Sicherheitsforschung angeht.