|
BSI - Geheimdienst oder Notwendigkeit
"Die gluecklichen Sklaven sind die erbittersten Feinde der Freiheit" Ebner-Eschenbach (Ausspruch eines Teilnehmers auf dem BSI-Workshop) In nur einer halben Stunde Diskussion wurde am 24. Oktober 1990 im deutschen Bundestag ein Gesetz besprochen, dessen Reichweite heute noch nicht zu ueberblicken ist. Nicht nur hat der Gesetzgeber dort ein neues Amt mit ueber 200 Mitarbeitern geschaffen, sondern definierte auch den Begriff der Sicherheit in der Informationstechnik (IT) im Hinblick auf Wirtschaft und Gesellschaft. Es kann bekanntlich davon ausgegangen werden, dass die Produktionsgesellschaft sich endgueltig in eine Informationsgesellschaft wandelt und sich damit direkt und ursaechlich in Abhaengigkeit von der verwendeten Technik, insbesondere der Informationstechnik, begibt. Ein Bundesamt fuer Sicherheit in der Informationstechnik (BSI) kommt damit automatisch eine zentrale Rolle in der zukuenftigen Entwicklung zuteil. Die Vorgeschichte ----------------- Wenn nun an dieser Stelle von einem neuen Bundesamt gesprochen wird, so ist erstmal zu erwaehnen, dass zwar der Status als Bundesamt neu ist, allerdings die Behoerde an sich schon aelter ist: Mitte der fuenfziger Jahre wurde schon die Zentralstelle fuer das Chiffrierwesen (ZfCh) gegruendet und dem Bundesnachrichtendienst (BND) zugeordnet. Die Existenz des ZfCh war lange Zeit unbekannt, da davon nur unter der Rubrik "vertraulich" neben der Regierung der Innenausschuss des Bundestages informiert war. Das ZfCh befasste sich insbesondere mit kryptographischen Verfahren zur Verschluesselung von Nachrichten und Verfahren zum "Brechen" von verschluesselten Nachrichten, sowie Koordination und Standardisierung solcher Verfahren im Rahmen der NATO. Am 1.6.1989 machte das ZfCh seine erste Wandlung durch und wurde in Zentralstelle fuer die Sicherheit in der Informationstechnik (ZSI) umbenannt. Damit anheim ging eine Erweiterung der Aufgaben auf den Bereich Sicherheit in der IT. Dies war die direkte Folge - des weit ueberschaetzten - Eindringen in Systeme der NASA, sowie der Folge des sogenannten KGB-Hacks. Mit Wirkung vom 1.1.1991 hat nun das ZSI erneut seinen Namen geaendert und heisst nun BSI. Gleichzeitig wurde das BSI aus der organisatorischen Anbindung an den BND entlassen und nun direkt dem Bundesministerium des Innern (BMI) zugeordnet. Damit lies das neue Bundesamt aber seine Entwicklung nicht am Nagel der Geschichte haengen. Die Aufgaben des Bundesamtes waren deutlich ueber den geheimdienstlichen Bereich erweitert worden, so z.B. die Beratung der Wirtschaft und Bundes- bzw. Landesbehoerden in Fragen der Sicherheit, der Unterstuetzung der Datenschutzberater, etc. Allerdings wurde das BSI der Abteilung Innere Sicherheit 4, zustaendig fuer Geheim- und Sabotage- schutz, als nationale Sicherheitsbehoerde zugeordnet. Leiter des BSI ist und bleibt Dr. Leiberich, der davor schon das ZSI und davor seit 1957 im ZfCh taetig war und seit 1974 deren Leiter war. In dem Gesetzgebungsverfahren ist dem BSI noch die Aufgabe der Technologiefolgenabschaetzung (TFA) in Par. 3, Absatz 1, Punkt 7 mit auf den Weg gegeben worden und der Bundesinnenminister machte dies in seiner Rede vor dem Bundestag nochmal deutlich. Allerdings hat die organisatorische Anbindung an das BMI schon im Vorfeld dem BSI die Moeglichkeit genommen, erstmal ohne Misstrauen betrachtet zu werden. Die Diskussion ueber die nationale Sicherheitsbehoerde der USA, der National Security Agency (NSA) war noch nicht vergessen und die Befuerchtung, dass endgueltig ein neuer Geheimdienst im Bereich der IT geschaffen wird, wurde immer haeufiger laut. Das BSI laedt ein ... --------------------- Ende April traffen sich Experten aus dem Gebiet der Wissenschaft, Wirtschaft und der Behoerden zu einem Workshop in Boppard. Das BSI hatte unter der ueberschrift "IT-Sicherheit: moegliche Folgen fehlender oder unzureichender Sicherheitsvorkehrungen" an den idillischen Ort am Rhein in die Bundesakademie fuer oeffentliche Verwaltung der Naehe von Bonn geladen. Die Liste der geladenen Teilnehmer las sich wie ein "Who is Who" der IT-Sicherheit- Engagierten. Teilnehmer aus den diversen Universitaeten, dem Virus-Test-Labor Hamburg, Firmen wie Debis, Siemens und IABG, Landesdatenschutzbeauftragte aus Berlin und NRW, Projekttraeger, Ministerialraete aus den diversen Ministerien, sowie gesellschaftliche Gruppen wie DGB, Gesellschaft fuer Informatik (GI) oder Chaos Computer Club waren vertreten. Die zentralen Aussagen auf diesem Workshop sollen hier dargestellt werden. In der Begruessung wuerdigte der BSI-Praesident Dr. Leiberich das Erscheinen von ca. 50 Teilnehmern und lobte den Initiator der Veranstaltung Dr. Ulrich fuer sein Engagement. Dr. Ulrich hat sich in der Fachwelt schon einen Namen durch seine Publikationen im Bereich der TFA und der Restrisiken in der Informationssicherheit gemacht und arbeitete nun sein kurzen im BSI. Schon die Begruessung wurde von einigen Teilnehmern als Distanzierung zu Dr. Ulrich und der Veranstaltung aufgefasst und auch im weiteren Verlauf der Veranstaltung kam der unbefangene Teilnehmer nicht umhin zu vermuten, dass der Bereich TFA, im Bundesamt durch Dr. Ulrich vertreten, ein Novizendasein fuehrt. Als erster Referent ergriff Prof. Rossnagel von der FH Darmstadt das Wort. Er legte dar, dass die bisherigen Bemuehungen um IT-SIcherheit zu technikzentriert sei und die gesellschaftliche Einbettung des Sicherheitsproblems nur unzureichend beruecksichtigen. Informations- und Kommunikationssysteme seien Systeme mit Auswirkungen auf die Gesellschaft und seien daher als soziotechnisches System aufzufassen. Wie die meisten Teilnehmer war auch er der Meinung, dass die Verletzlichkeit der Gesellschaft nicht nur durch technische Massnahmen zur Verhinderung von Fehlern und Missbraeuchen veringert werden muss, sondern das auch die Abhaengigkeit der Gesellschaft von Informations- und Kommunikationstechnik und das dadurch bestehende Schadens- und Katastrophenpotential beeinflusst werden muss. Es gehoert eben nicht nur zur IT-Sicherheit die moeglichen Fehler eines Systems zu betrachten, sondern auch im Verhaeltnis das Risiko das allein durch den Rechnereinsatz entsteht. Als Beispiel wurde ein einfacher Lesefehler einer Festplatte bei der Pariser Justiz angefuehrt, der dazu fuehrte das aus mehrere Bescheiden wegen Vekehrssuenden ploetzlich Delikte wegen Drogenmissbrauch und Prostitution wurden. Diese eher harmlosen Folgen stehen aber auch katastrophe Fehler im Rechnereinsatz entgegen, wie ein Softwarefehler in einem Programm zur Steuerung einer Bestrahlungsapparatur in einem Krankenhaus. Weil ein bestimmte Zustand vom Programmierer nicht vorgesehen waren, wurden 2 Patienten mit erhoehter Strahlung behandelt was zum Tode der Betroffenen fuehrte. Ebenso machte Prof. Rossnagel darauf aufmerksam, dass ein Fehler in Rechensystemen weit aus staerkere Folgen haette als gemeinhin angenommen. Durch die Verkettung der Gesellschaft wuerde der Ausfall von zentralen Rechner in einigen Grossstaedten sich im gesamten System fortpflanzen und eine Gefahr fuer die Gesamtheit darstellen. Ein "Chaosmanagment" waere aber dann auch nicht mehr moeglich, weil die gesamte dafuer notwendige Infrastruktur ebenfalls ausgefallen waere. Eine schreckliche Vorstellung fuer jedem im Katastrophenschutz. Das BSI hat - aehnlich wie ihre Vorgaenger in anderen Staaten - den Weg des technokratischen Sicherheit gewaehlt und sich damit auf einen Wettlauf zwischen steigender Verletzlichkeit und Sicherungstechnik eingelassen, die letztere kaum gewinnen kann. Prof. Brunnstein vom Virentestlabor in Hamburg fuehrte in seinem Beitrag ebenfalls aus, dass er beim BSI eine Fehlentwicklung sieht, weil sich das BSI allein auf technische Massnahmen konzentriert. Da es aber keine sichere Systeme geben kann, muessen technisch und sozial beherrschbare Systeme gefordert werden. Unter beherrschbaren Systemen muessen aber Systeme verstanden werden, die von Menschen noch erfasst und damit kontrolliert werden koennen. Da aber die gesamte heutige Computertechnik auf die Ideen von Neumann aufbaut, ist dies faktisch unmoeglich. Von Neumann hatte den Rechner mit seinem Bus, Speicher, CPU, etc verglichen mit dem Aufbau des menschlichen Gehirn und ging dadurch von einer moeglichen Transparenz zwischen Mensch und Maschine aus. Heute wissen wir, dass diese aehnlichkeit nicht besteht, also der Rechner ansich dem Menschen immer fremd bleiben muss. Dr. Buellesbach von der Daimler Benz Informationssysteme (debis) und fruehrer Datenschutzbeuftrager Bremens ging das Sicherheitsproblem von der Entwicklungsseite an. Er kritisierte das nachtraegliche Aufspueren von Sicherheitsluecken mit Hilfe von Tiger-Teams, also professionel-angestellten Hackern, und legte dar, dass bei der Entwicklung von Software in Zusammenarbeit mit den Betroffenen (Betreiber, Benutzer, Anwender) die Basis fuer "Security Managment" gelegt werden muss. Gleichzeitig muss ueber Sicherheitsprobleme oeffentlich diskutiert werden, den diese Transparenz ist die Basis fuer den Fortschritt. Zwar stehen dem Sicherheitsbedenken der Hersteller oder Abwender entgegen, aber in der Regel sei Verheimlichung kein Sicherheitsgewinn. Eine ganze andere - eher pragmatische - Sichtweise wurde von Dr. Bunge, Ministerialrat beim Bundesrechnungshof, vorgestellt. Das BRH stellt haeufig Sicherheitsmaengel fest, die allerdings nicht bekannt werden. Dadurch werden aber aehnliche Maengel in anderen oeffentlichen Einrichtungen nicht beseitigt. Daher ist der Rechnungshof dazu uebergegangen, solche Maengel anonym zu veroeffentlichen. Dabei werden diese aber abstrakt dargestellt um Nachahmungstaeter zu vermeiden. Die Details gelten aus vertraulich. Sicherheit ist fuer den BRH ein wichtiger Punkt, da es ueber den angemessen und wirtschaftlichen Einsatz staatlicher Gelder wacht. Auf der einen Seite kostet Sicherheit aber Geld, ein evntl. Schaden kann auch grosse finanzielle Aufwendungen nachsichziehen. Inzwischen muss daher bei Antrag auf den Einsatz von Rechnern ein Nachweis ueber Angemessenheit und eine Risiokoabschaetzung eingereicht werden. Das BRH beschaeftigt sich darueber hinaus nicht nur mit der punktuellen Sicherheit einzelner Systeme, sondern auch im Gesamtkonzept Mensch-Organisation-Technik. Beispielsweise findet im Augenblick eine Diskussion ueber den Einsatz von Unix im Hinblick auf Sicherheit, Wirtschaft- lichkeit und Risiko statt. Am 2. Tag der Veranstaltung erlaeuterten Dr. Pfitzmann von der Uni Karlsruhe und Prof. von Henke von der Uni Ulm, die Anforderungen von IT-Systemen bezuegl. Funktionalitaet und Korrektheit. Dabei wurde erlaeutert, dass die Regel Fehler in der Software und seltener in der Hardware liegen. Kleine Fehler in Fortranprogrammen koennen Raumsonen um Hunderttausende von KM ihr Ziel verfehlen lassen (und Cruise Missiles um paar Meter). Ein Loesungsansatz wurde z.B. beim Airbus 320 verwendet. Zwei vollkommen eigenstaendig entwickelte Systeme, die ihre Ergebnisse vergleichen. Solange ihre Ergebnisse uebereinstimmen, kann davon ausgegangen werden, dass das Ergebnis richtig ist. Bei nicht uebereinstimmung koennen entsprechende Massnahmen eingeleitet werden. Allerdings hat das System auch seine schlechten Seiten, wie der Absturz bei einer Airbus-Vorfuehrung in Paris gezeigt hat. Als abschliessendes Referat brachte Herr Lau von der Uni Rostock noch einen Einblick in die Situation in der ehemaligen DDR. Eine Abteilung Daten- sicherheit war der Abt. Geheimnisschutz des Ministerrates in der DDR unterstellt. Datenschutz an sich gab es in der DDR nicht. Datensicherheit selbst wurde aber auch an den Universitaeten gelehrt. Fuer Informatiker waren da 30 SWS Pflicht. Ob das so bleiben wird, ist unklar. Geplant ist demnaechst ein Workshop von der Uni Rostok un der Uni Bremen zur Rechtsangleichung des Datenschutzes. Was nun BSI ? ------------- Wo sieht das Bundesamt aber seine zukuenftige Aufgabe ? Die Teilnehmer waren einer Meinung, dass die Arbeit des BSI auf Grundlage des Errichtungsgesetzes geschehen muesse, aber dieses genug Freiraeume zum setzen von Schwerpunkten und Prioritaeten lassen wuerde. Dabei wurden denn Punkten oeffentlichkeitsarbeit, Kooperation mit der Wissenschaft, Unterstuetzung der Datenschutzbeauftragten und der Technologiefolgenabschaetzung hohe Stellenwerte eingeraeumt. Es kam der Wunsch auf, dass die Technologiefolgenabschaetzung eine eigene Abteilung im BSI werden wuerde und nicht stiefmuetterlich am Rande zum Vorzeigen verwendet werden wuerde. Die parlamentarische und ausserparlamentarische Kontrolmechanismen werden einen besonderen Augenmerk auf die TFA werden, die ja erst im letzten Augenblick in das Gesetz aufgenommen wurde. Die Teilnehmer der abschliessenden Podiumsdiskussion sprachen sich durch- weg fuer die Verbindung zwischen Technik und Gesellschaftlicher Verantwortung. Sicherheit darf nicht nach dem olympischen Prinzip (hoeher, weiter, schneller), so Prof. Dierstein, betrachtet werden, sondern auch nach TFA und Verfassungskonformitaet. Auch wurde die Zusammenarbeit zwischen Juristen, Techniker, BSI und Betroffenen angemahnt, sowie regelmaessige Treffen zum Bereich der TFA vorgeschlagen. Die Abschlussrede blieb Dr. Leiberich vorenthalten. Es bedankte sich bei den Teilnehmern und lobte die Diskussion. Dann erlaeuterte, wo der die Schwerpunkte des BSI sehen wuerde, naemlich im Bereich der Verhinderung des Abhoerens kommerzieler und staatlicher Links. Diese Gefahr erlaeuterte er recht ausfuehrlich. Das in naechster Zeit wirklich nicht mit einer aenderung der Einstellung zu rechnen ist, zeigt die 2. Deutsche Konferenz ueber Computersicherheit die Mitte Juni vom BSI und BIFOA veranstaltet wird. Von ueber 30 Vortraegen beschaeftigt sich keiner mit TFA. Dafuer gibt es aber eine Podiumsdiskussion ueber "Techno-Terrorismus" und Kongressgebuehren von ueber 1000 DM. Ob damit der Gesellschaft geholfen ist ? Und in wie weit es sinnvoll ist, dass die von der ehemaligen ZSI entwickelten Sicherheitskriterien fuer Software kein Wort der TFA enthaelt und die ueberpruefung von Software nach diesen Kriterien - neben drei TueV-Anstalten - auch von der IABG in Muenchen vorgenommen werden, also einer Firma die zu grossen Teilen dem Bund gehoert und bis jetzt stark fuer die Geheimdienste und dem Verteidigungsministerium gearbeitet hat, spricht ebenfalls nicht dafuer, dass das BSI ernsthaft um eine Trennung seiner Vergangenheit bemueht ist. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Laut BSI-Errichtungsgesetz vom 17.12.1990 kommt dem neuen Bundesamt gemaess Par. 3, Absatz 1 folgene Aufgaben zu: 1. Untersuchung der Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Verfahren und Geraeten fuer die Sicherheit in der Informationstechnik, soweit dies zur Erfuellung von Aufgaben des Bundes erforderlich ist, 2. Entwicklung von Kriterien, Verfahren und Werkzeugen fuer die Pruefung und Bewertung der Sicherheit von informationstechnischen Systemen und Komponenten, 3. Pruefung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten, 4. Zulassung von informationstechnischen Systemen oder Komponenten, die fuer die Verarbeitung oder uebertragung amtlich geheimgehaltener Information (Verschlusssachen) im Bereich des Bundes oder bei Unternehmen im Rahmen von Auftraegen des Bundes eingesetzt werden sollen, sowie Herstellung von Schluesseldaten, die fuer den Betrieb zugelassener Verschluesselungsgeraete benoetigt werden, 5. Unterstuetzung der fuer die Sicherheit in der Informationstechnik zustaendigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen, dies gilt vorrangig fuer den Bundesbeauftragten fuer den Datenschutz, dessen Unterstuetzung im Rahmen der Unabhaengigkeit erfolgt, die ihm bei der Erfuellung seiner Aufgaben nach dem Bundesdaten- schutzgesetz zusteht, 6. Unterstuetzung a) der Polizeien und Strafverfolgungsbehoerden bei der Wahrnehmung ihrer gesetzlichen Aufgaben, b) der Verfassungsschutzbehoerden bei der Auswerttung und Bewertung von Informationen, die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Taetigkeiten im Rahmen gesetzlicher Befugnisse nach den Verfassungsschutzgesetzen des Bundes und der Laender anfallen. Die Unterstuetzung darf nur gewaehrt werden, soweit sie erforderlich ist, um Taetigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informations- technik erfolgen. Die Unterstuetzungsersuchen sind durch das Bundesamt aktenkundig zu machen, 7. Beratung der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik unter Beruecksichtigung der moeglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Terra ------------------------------------------------------------------------------ |
[Contrib]
[Chalisti]
[14]
BSI - Geheimdienst oder Notwendigkeit