|
Was nun BSI ?
Dirk Rode, Universitaet Oldenburg, FB Informatik Frank Simon, Chaos Computer Club, Vorstandsmitglied Erstellt als Beitrag fuer Boppard-Impuls und den BSI-Workshop in Boppard Ende April (siehe Chalisti 14) Die Errichtung eines Bundesamtes fuer Sicherheit in der Informationstechnik ist sehr zu begruessen. Erstmals wurde damit in der Bundesrepublik Deutschland eine oeffentliche Institution geschaffen, die fuer die gesamte Bevoelkerung zugaenglich ist und die sich mit der Sicherheit in der Informationstechnik befasst. Dies ist insofern zu begruessen, da laengst ueberfaellig, denn die Vorgaengerinstitutionen waren direkt dem BND zugeordnet, geheim und damit fuer die breite Bevoelkerung nicht zugaenglich. Auch ist es sehr zu befuerworten, dass, aehnlich wie in den USA mit dem Orange Book und seinem Netzwerk Pendant (Trusted Computer Evaluation Criteria, Trusted Network Evaluation Criteria) ein Kriterienkatalog entworfen wurde. Mit Hilfe dieses Kriterienkataloges kann auf einer einheitlichen Basis beurteilt, und damit auch verglichen, werden, welchern Sicherheitsgrad Computersysteme erreichen. Teil I Auf der Grundlage des BSI-Errichtungsgesetzes und einer gehoerigen Portion Optimismus soll nun an die Frage gegangen waeren, was denn als erster Schritt die weitere Entwicklung des BSI sein kann. Das BSI kann keine Aufgaben wahrnehmen, fuer die sie nicht gesetzlich legitimiert ist. Aber sie kann natuerlich Schwerpunkte setzen und hat sogar die Aufgabe, das Gesetz mit Leben zu fuellen. Zur Wahrnehmung der Aufgabe der BSI ist oeffentliches Problembewusstsein im Umgang mit Sicherheit erforderlich. Dazu gehoert, dass denn BSI ein Mindestmass am Vertrauen entgegengebracht wird. Trotz der etwas ungluecklichen Gruendungsgeschichte des BSI, sollte das neue Bundesamt auf Grund seiner konkreten Arbeit und - dies halten wir fuer wesentlich - auf Grund seiner seiner Oeffentlichsarbeit bewertet werden. Ein Amt fuer Sicherheit in der Informationstechnik wird wesentlich ueber seinen Umgang mit Information beurteilt werden. Eine weitverbreitete Befuerchtung in der interessierten Oeffentlichkeit (und die haben da eine Multiplikatorwirkung) ist, dass es sich bei dem BSI um ein deutsches NSA bzw. NIST handelt bzw. handeln wird. Diese Befuerchtung muss das BSI entgegentreten und zwar nicht nur mit Worten, sondern auch mit Taten. Tut es das nicht, dann wird es nicht nur seine Glaubwuerdigkeit einbuessen, sondern auch ueber kurz oder lang durch die pragmatische Arbeit in jene Ecke gedraengt, in der es vermutlich selbst nicht will. Eine Information der Oeffentlichkeit ueber Arbeit des BSI nach Vorbild anderer Bundesbehoerden ist ueber die "allgemeine Beratung der Hersteller, Anwender und Betreiber" laut BSI-Errichtungsgesetz sicher abgedeckt. Eine solche Form der Oeffentlichkeitsarbeit (z.B. regelmaessige Veroeffentlichungen aus dem Bundesamt) wird dem BSI und seiner Arbeit dienlich sein. Auch freiwillige Arbeitsberichte fuer das Parlament koennten dem Eindruck der "Geheimnistuerei" entgegenwirken. Ein solcher Bericht nur Ende 1992 ist eindeutig zu wenig. Eine weitere positive Wirkung kann im Bereich der Unterstuetzung der Datenschutzbeauftragten als Schwerpunkt erreicht werden. Die doch weitgehend juristische und sozio-technische Ausbildung der DS-Beuftragten ist beispielsweise nicht dazu geeignet, im Einzelfall ganz konkrete Fragen zum Einsatz von Unix-Systemen im Betrieben und Behoerden bezuegl. ihrer Unbedenklichkeit wg. Personueberwachungssystemen zu beantworten. Falsche Antworten bei Anfragen sind vorprogrammiert, wie ein diesbezueglicher Versuch beim Bundes-, Niedersaechsischen und Weser-Ems Datenschutzbeauftragten gezeigt hat. Eine intensive Kooperation ist dringend erforderlich um das BDSG auch in der Praxis weitgehend umzusetzen. Damit kommt unserer Meinung nach dem BSI auch die Aufgabe zu, Bevoelkerung und insbesondere Datenschutzbeauftragte in regelmaessigen Abstaenden zu unterrichten, und nicht nur auf Anfrage zu arbeiten, so wie es aus dem Errichtungsgesetz hervorgeht. Das BSI sollte weiterhin eine Stelle darstellen, die allgemeine Beratung auch auf Grund des IT-Sicherheitshandbuches in Bezug auf Datenschutz, Urheberrechte und Wirtschaftsrecht erteilt. Das BSI sollte auch bei Gesetzgebungsverfahren die in Zusammenhang mit Computersystemeinsatz stehen beratend mitwirken. Nur Fachleute aller Sparten koennen in Zusammenarbeit optimale Ergebnisse erstellen. Der Gesamtkomplex der Sicherheit in der Informationstechnik umfasst nicht nur Sicherheit (oder spitz formuliert) Schutz der Informationstechnik vor dem Buerger, sondern auch der umgekehrte Fall. Sicherheit ist immer auch die Sicherheit des Buergers bzw. der Gesellschaft. Daher sollte Boppard kein Einzelfall darstellen. Ein regelmaessiges Treffen mit dem Ziel der Diskussion und Weiterentwicklung des sozio-technischen Gedankens im Hinblick auf die gesamte Gesellschaft waere wuenschenswert, wenn nicht sogar drigend geboten. Dabei ist eine rege Beteiligung auch der Mitarbeiter des BSI erforderlich. Diese muessen das schliesslich in der praktischen Arbeit umsetzen. Ebenfalls sollte gelten, dass Sicherheitsprobleme nicht verschwiegen werden. Vorwuerfe von Clifford Stoll und anderer Menschen die praktisch mit der Administration von Rechensystemen beschaeftigt sind in Richtung NSA sind wohlbekannt. Ebenfalls die Veroeffentlichung von kryptographische Verfahren gehoert dazu. Ein Verfahren, welches nicht veroeffentlicht werden kann - aus welchen Gruenden auch immer - ist fuer die Gesellschaft nicht tragbar. Diese Massnahmen und Ideen koennen nur ein Anfang sein, sie werden aber durch die Verantwortung des Beamten, Politikers und Wissenschaftlers fuer die Gesellschaft gebeten. Der Weg zur Informationsgesellschaft und informierten Gesellschaft ist wesentlich. Heutige Entwicklungen und Entscheidungen bestimmen die Geschichte unserer und der globalen Gesellschaft direkt und fuer alle Zeiten. Teil II Die Kritikpunkte die wir oben aufgefuehrt haben, sind in unseren Augen Feinheiten, die in der genauen Spezifikation der Aufgaben des BSI eingefuegt werden muessen. Leider muessen wir noch einige andere Kritik auffuehren, denn ein wichtiger Teil in der Sicherheit von Computersystemen wird nach unserer Meinung nicht bzw. nur unzureichend beachtet worden. Dazu wollen wir in diesem Teil Stellung beziehen. Als Stichpunkt vorweg soll das Stichwort Technologiefolgenabschaetzung dienen. Unter Technologiefolgenab- schaetzung wollen wir die Abschaetzung der Folgen des Einsatzes von Computersystemen und deren Gefahren durch unsachgemaessen Einsatz bzw. Fehlfunktionen verstehen. Zu diesem Bereich der Abschaetzung der Folgen sollte nicht nur die rein technische Abschaetzung gehoeren, sondern auch die Information der Bevoelkerung und der Ministerien. In diesem Bereich geht es zunaechst um die Abschaetzung der Gefahren die von Computeranlagen ausgehen. Dabei handelt es einerseits um technische Folgen, andererseits aber auch um gesellschaftspolitische Folgen. Technische Folgen des Einsatzes von Computeranlagen werden ersichtlich im Einsatz von Computeranlagen in Technik und Medizin. So wurden durch einen Computerfehler in einem Krankenhaus mindestens zwei Personen toedlich verstrahlt. Sollte so ein Fehler in einem Kernkraftwerk passieren, ohne entsprechende Sicherungen kaeme es zu einer Katastrophe. Insofern muss untersucht werden, wie sicher ein System funktioniert, und in sensiblen Bereichen muss fuer entsprechende Ausfallsicherheit gesorgt werden. So muss ein als nicht ausfallsicher bekanntes System erkannt werden, und darf nicht in einem sensiblen Bereich eingesetzt werden. Dies gilt sowohl fuer Hardware wie auch fuer Software. Somit muessen Einschraenkungen der Zulassung bestimmter Soft- und Hardware vorgenommen werden. Eine Reihe von Systemen, zum Beispiel DOS PCs sind nicht zur Speicherung personenbezogener Daten geeignet, da sie nur ueber unzureichende Mittel zum Datenschutz verfuegen. Damit sollte die Speicherung personenbezogener Daten auf einem DOS PC nicht zulaessig sein. Diese Forderung muss aber auch durchgesetzt werden. Gesellschaftspolitische Folgen des Einsatzes von Computersystemen sind in einer Reihe von Anwendungen zu erwarten. Eine grosse Diskussion hat es zum Beispiel um die Speicherung von personenbezogenen Daten bei der Einfuehrung von ISDN gegeben. Doch nicht nur hier sind Probleme zu erwarten. Auffallend sind zum Beispiel auch die Schreiben unterschiedlicher Werbefirmen, die man erhaelt, wenn man an einem Preisausschreiben teilnimmt. Diese Weitergabe von Daten ist nur einem Teil der Bevoelkerung bekannt, der Grossteil der Bevoelkerung wundert sich lediglich. Bewertung Mit der Errichtung des BSI und den schon vorhandenen und geplanten Kriterien ist schon ein grosser Schritt gemacht worden. Leider sind dabei die gesellschaftlichen Aspekte und die Abschaetzung der Folgen des Computereinsatzes zu kurz gekommen. Wie wir oben schon ausgefuehrt haben, sollte das BSI mit mehr Rechten in Richtung gesellschaftlicher Aspekte ausgestattet werden. Dazu gehoeren insbesondere Abschaetzung der Folgen des Computereinsatzes und Information der Bevoelkerung ueber Gefahren und Moeglichkeiten des Missbrauches. In dieser Richtung wuerden wir gerne das BSI weiter unterstuetzen indem wir mit Rat und Tat zur Seite stehen. Oldenburg im Mai 1991 Dirk Rode Frank Simon ------------------------------------------------------------------------------ |
[Contrib]
[Chalisti]
[15]
Was nun BSI ?