Sichere Übermittlung von Certificate Authority (CA)-Zertifikaten der Public- Key-Infrastruktur (PKI) der Berliner Verwaltung

Schriftliche Anfrage Drucksache 19/14238

der Abgeordneten Franziska Brychcy und Tobias Schulze

1. Wie sollen Bürger*innen die Certificate Authority (CA)-Zertifikate der Public-Key-Infrastruktur (PKI) der Berliner Verwaltung sicher erhalten, um z. B. S/MIME-signierte E-Mails zu prüfen oder sicherzustellen, dass sie für das korrekte Zertifikat verschlüsseln?
2. Weshalb ist die Webseite http://pki.verwalt-berlin.de Stand heute (08.12.2022) nur per unverschlüsseltem HTTP und nicht per Transport-Layer-Security (TLS)-verschlüsselter Verbindung zu erreichen?
3. Wie soll ohne TLS sichergestellt werden, dass die unter http://pki.verwalt-berlin.de herunterladbaren Zertifikate nicht kompromittiert wurden?
4. Wann soll dieser Missstand beseitigt werden?
5. Haben die Mitarbeiter*innen bei der PKI der Berliner Verwaltung entsprechende Fachkenntnisse über Kryptographie? Falls ja, weshalb ist eine so zentrale Seite nicht kryptografisch abgesichert?
6. Wie schätzt der Senat das Risiko ein, das durch Import eines nicht authentifiziert heruntergeladenen CA-Zertifikats entstehen kann?
7. Wie viele Berliner Behörden setzen über eine nicht kryptografisch abgesicherte Verbindung heruntergeladene Zertifikate ein?
8. Wie möchte der Senat sicherstellen, dass dadurch kein Schaden entstanden ist oder entstehen könnte?
9. Weshalb ist die Berliner Verwaltungs-PKI nicht durch eine global akzeptierte Certificate Authority (CA) cross-signiert, so dass die von ihr ausgestellten Zertifikate automatisch vertrauenswürdig sind und Bürger*innen und Behörden nicht gezwungen sind, die Sicherheit ihrer Systeme durch den händischen Import eines CA-Zertifikats potentiell zu kompromittieren?
10. Welche Kosten entstehen Berliner Behörden durch die so ausgestellten Zertifikate (bitte nach unterschiedlichen Zertifikatstypen unterscheiden) und wie bewertet der Senat die Kosten insbesondere im Hinblick auf die eklatanten Sicherheitsmängel der ausgegebenen Zertifikate, bzw. der zu diesen gehörenden Vertrauenskette?
11. Sind Erstattungen durch das IT Dienstleistungszentrum Berlin (ITDZ) an die Stellen geplant, die für diese Zertifikate Mittel aufwenden mussten? Falls nein, weshalb nicht?

Antwort

https://pardok.parlament-berlin.de/starweb/adis/citat/VT/19/SchrAnfr/S19-14238.pdf

 

Zurück zur Kategorie
AbgeordnetenhausAnfragenDatenschutzDigitalisierungNetzpolitik