Beim Einsatz kryptographischer Produkte sind diverse gesetzliche Rahmenbedingungen zu beachten. In einigen Ländern dürfen beispielsweise kryptographische Verfahren nicht ohne Genehmigung eingesetzt werden. Dies kann dazu führen, daß bei der Übermittlung verschlüsselter Datensätze in solche Länder die Empfänger diese nicht lesen können, da sie die benötigten Kryptomodule nicht einsetzen können, oder sich vielleicht sogar strafbar machen.
Außerdem ist in sehr vielen Ländern auch der Export von Produkten mit starker Kryptographie erheblich eingeschränkt. Hier sind insbesondere die USA zu nennen. Bei Exportrestriktionen wird häufig die Stärke von an sich starken Verschlüsselungsprodukten künstlich (durch Reduzierung der Schlüsselmannigfaltigkeit) herabgesetzt. Solche künstlich geschwächten Verfahren bieten teilweise nicht einmal für mittleren Schutzbedarf ausreichenden Schutz. Dies gilt z. B. für aus den USA stammende PC-Standardsoftware wie Internet-Browser (SSL), in denen nur eine reduzierte Schlüssellänge von 40 Bit eingesetzt wird. Teilweise erfordern die Exportregelungen aber auch, daß Teile der Schlüssel hinterlegt werden, so daß die Kryptomodule zwar im Prinzip uneingeschränkt nutzbar sind, aber für die ausländischen Nachrichtendienste eine Zugriffsmöglichkeit im Bedarfsfall bleibt.
Auf der anderen Seite können solche Einschränkungen, die beim Einsatz innerhalb mancher Länder bzw. beim Export gelten, dazu verleiten, schützenswerte Daten unverschlüsselt zu lassen oder mit minderwertigen Kryptoprodukten zu schützen. Dies kann zum einen Angreifern Tür und Tor öffnen und zum anderen auch zum Verstoß gegen nationales Recht führen. So kann durch Datenschutzgesetze der Einsatz adäquater kryptographischer Verfahren zum Schutz personenbezogener Daten vorgeschrieben sein.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000
.