Die Verhandlungen rund um den Brexit hielten ganz Europa jahrelang in Atem. Nun wurde die zunächst letzte Hürde überwunden und eine Einigung in Form eines 1.246 Seiten langen Handelsabkommen erzielt. Keine leichte Kost, doch allzu genau scheint man sich das Dokument abseits der öffentlichkeitswirksam bestrittenen Fischereirechte sowieso nicht durchgelesen zu haben. Darauf deutet zumindest Seite 921 hin, auf der die Verantwortlichen die Anwendungs-, Sicherheits- und Kommunikationsarchitektur thematisieren beziehungsweise konkret: die Protokolle und Standards für Verschlüsselungsmechanismen.
Das ewige Neuland
Auf Seite 921 heißt es, dass der Datenaustausch von beispielsweise Fahrzeugregistern oder Fingerabdrücken über die Funktion Standard s/MIME verschlüsselt werden soll. Die Begründung ist simpel: s/MIME „ist in die überwiegende Mehrheit moderner E-Mail-Softwarepakete integriert, einschließlich Outlook, Mozilla Mail sowie den Netscape Communikator 4.x“.
Und genau das ist das Problem, denn als „modern“ lassen sich Mozilla Mail und Netscape nun wirklich nicht bezeichnen. Um das Gedächtnis mal aufzufrischen: Die letzte Version des Netscape Communicators 4.x erschien im August 2002.
Mozilla Mail, nicht zu verwechseln mit Mozilla Thunderbird, war seinerseits Teil der Mozilla Application Suite. Das bisher letzte Update erhielt die Software immerhin im Jahr 2006. Somit ist das Programm ebenfalls nicht wirklich „modern“ im Sinne des Internets.
Noch schlimmer ist jedoch, dass das Dokument die Verwendung der 1.024-Bit-RSA-Verschlüsselung und den SHA-1-Hash-Algorithmus empfiehlt. Und diese sind jeweils schon lange veraltet und entsprechen längst nicht mehr heutigen Sicherheitsstandards.
Brexit-Dokument: Inhalt aus einem EU-Gesetz kopiert
Die Nachrichtenseite Hackaday äußert die Vermutung, dass die Verantwortlichen die entsprechende Passage schlicht aus einem älteren Dokument kopiert haben. Und tatsächlich scheint sich bereits ein entsprechender EU-Gesetzestext aus dem Jahr 2008 gefunden zu haben. Auf dessen inhaltliche Korrektheit beziehungsweise Aktualität haben Fachkräfte den Text allerdings wohl nicht geprüft. Und das öffnet Hackern die Tore – zumindest, sofern sich die für die Umsetzung verantwortlichen Experten tatsächlich an den empfohlenen Standards orientieren.
