|
Boppard II
Bericht zur BSI Tagung in Boppard vom 21. bis 22.09.1992 Nach einem interessanten kuenstlerischen Auftakt in dem die Teilnehmer durch interaktives Klatschen in die Stimmung der harmonischen Zusammenarbeit gebracht wurden, begann die Tagung. Herr Dr. Werner Obenhaus begruesste die Teilnehmer und erlaeuterte die Geschichte des Hauses Boppard. Es handelt sich um ein ehemaliges Kloster, das zur Bundesakademie umfunktioniert wurde. Anschliessend folgte eine kurze Begruessung durch Herrn Dr. Leiberich (Leiter des BSI) und Herr Dr. Ulrich vom BSI statt. Die gesamte Tagung gliederte sich in drei Bloecke, die jeweils unter einem praegnanten Motto standen. Block A: "Alle Maschinen uebernehmen Arbeit, aber keine Maschine uebernimmt Verantwortung" (W. Coy) Den Anstoss zu der Tagung gab Herr Dr. Manfred Moldaschl vom Institut fuer Sozialwissenschaftliche Forschung, Muenchen. Herr Moldaschl stellte zunaechst provokative Thesen auf, die er im Vortrag erlaeuterte. Es muss zunaechst ueber empirische Forschung festgestellt werden, wo Defizite in der IT vorliegen. Dazu gehoeren Forschung in den Gebieten TFA (Technologiefolgenabschaetzung), Arbeitsmarktforschung und Erforschung des Einsatzes der IT in der Industrie. Als Beispiele fuehrte er dazu Unfaelle im Bereich Eisenbahn (ein Zug konnte nicht auf ein unbenutztes Gleis umgelenkt werden, da das Gleis eines abfahrtbereiten Zuges haette gekreuzt werden muessen -> schwerer Unfall) und aus dem Bereich KKW (Sperrung des manuellen Eingriffes in den ersten 15 Minuten nach Eintritt eines Stoerfalles um Panikreaktionen zu verhindern). Aus diesen beiden Punkten schon ist das Dilemma der IT zu erkennen. Damit einher geht die Feststellung, das immer noch die Sensibilitaet fuer die Fehlbarkeit der Technik fehlt. Aus der damit verbundenen Leistungsueberschaetzung von IT Systemen folgt eine Risikoverstaerkung beim Einsatz der IT. Verstaerkt wird diese Gefahr auch dadurch, das inzwischen versucht wird, auch nichttechnische Probleme mit Hilfe der IT zu loesen. Auf diesen Vortrag hin erhielten Referenten aus den Bereichen Industrie (DEBIS), Medizin (DKFZ) und Electronic Banking Gelegenheit ihre Stand- punkte zu erlaeutern. Herr Prof. Dr. Alfred Buellesbach von der DEBIS (Leinfelden) nahm Stellung zur Bedeutung der IT fuer die Industrie. Zusammenfassend laesst sich dazu sagen, das die Industrie Vor- und Nachteile der IT erkannt haben. Einerseits schafft die IT Vorteile durch Rationalisierung und bessere Information des Management, anderer- seits werden Freiraeume durch Abbau von Ueberkapazitaeten geschaffen. Weiter wird auch das Material geschont. Doch sollte die IT so geschaffen sein, das Risiken erkann und minimiert werden koennen. Herr Prof. Dr. Claus Otto Koehler vom DKFZ Heidelberg stellte dar, wie in der Behandlung von Tumorpatienten mittels des Einsatzes der IT wesentlich genauer bestrahlt und behandelt werden kann. In den USA werden bei einer bestimmten Art von Gehirntumoren zum Beispiel durch gebohrte Kanaele radioaktive Substanzen direkt in den Tumor eingefuehrt. Diese Arbeit laesst sich mittels genau gesteuerter NC Maschinen wesentlich exakter und fuer den Patienten schonender durchfuehren wie per Hand. Doch muss immer im Bewusstsein bleiben, das es Fehler in den Steuerungen gibt und diese gerade in der Medizin verheerende Auswirkungen haben. Herr Juergen Nielebrock erlaeuterte den Einsatz der IT aus der Sicht der Banken. Die Maschinen sollen die routinearbeiten uebernehmen, damit sich der Mensch auf wichtigeres (Kundenbetreuung) konzentrieren kann. Das Management soll zum Beispiel bei Krediten Vorgaberahmen geben koennen, in dennen der Sachbearbeiter dann Kredite ausrechnen kann. Auch muessen alle Aktionen zentral protkolliert werden. Bewertung der Vortraege aus Block A Nach der aus meiner Sicht zu stark an TFA Risiken orientierten Einleitung kamen drei Vortraege die auf ihre Art und Weise jede die Naivitaet des Umganges mit der IT darstellten. Mir erscheint es als unstimmig, das Herren wie Buellesbach und Nielebock die Technik so ueber alles stellen. Dabei hat Herr Buellesbach jedoch immer den Eindruck hinterlassen, das er die Risiken des IT Einsatzes erkannt hat. Herr Nielebock hingegen ist ein eiskalter Verfechter der Linie "Unser RZ ist sicher". Bei uns passiert nichts und alles muss kontrolliert werden und jeder muss im Prinzip genau nach den Vorstellungen profiorientierter Unternehmer funktionieren. Leider steht diese Auffassung im strikten Gegensatz zu einem humanen Einsatz der IT. Sehr missfallen hat mir bei die sem Vortragenden auch, das er nach den Vortraegen zum Thema Datenschutz sich im Sinne von "Wer seine Daten geschuetzt haben will, der soll gefaelligst seine eigene Bank aufmachen und nicht mit unserer Bank handeln. Diese Besserwisser sollte man rauswerfen". Herr Koehler hingegen brachte den m.E. besten Vortrag des ersten Blockes. Allerdings hatte ich den Eindruck, das er etwas traeumt beim Einsatz einer nicht 150 prozentig zuverlaessigen Technik. Die Gefahren scheint er aber mit am besten erkannt zu haben. In der anschliessenden Diskussion ergaben sich weitere Schwaechen der Vortraege. Zum einen wurde die Unterscheidung nach den englischen Begriffen safety und security nicht zum Ausdruck gebracht. Auch haette es einer Definition des Begriffes Sicherheit bedurft. Ganz wichtig in diesem Zusammenhang war auch die fehlende Einordnung in das soziale Umfeld der Betroffenen. Nach dem folgenden Abendessen begann der Block B. Dieser Block stand unter dem Motto "Der Mensch im Datennetz". Zunaechst wurde ein Film vorgefuehrt mit dem Thema Patienten Chipkarte. Es wurden die Vorzuege der Chipkarte mit alles Patientendaten fuer Arztbesuche ausfuehrlich dargestellt. Ein reiner Werbefilm fuer ein derartiges Medium. Im Anschluss an diesen Film stellte Dr. Andreas Pfitzmann die Gefahren der Karte dar. Zum einen ist die mechanische Stabilitaet vorhandener Karten voellig unzureichend. Andererseits ist auf die Speicherkapazitaet mangelhaft. Doch auch wenn diese Punkte beseitigt sind, bleiben deutliche Schwachpunkte. Soll die Karte dem schnellen Erkennen bei einem Unfall diesen, so muessen die Daten unverschluesselt vorliegen. Das ist jedoch ein Widersprcuh zum Datenschutz, da bei Diebstahl zu schuetzende Daten leicht in unbefugte Haende geraten koennen. Ausserdem wuerde ein Schutz durch die Eingabe eines Passwortes in den Rechner beim Arzt praktisch verloren gehen, da der Nichtfachmann nicht kontrollieren kann, ob die Daten von der Karte nicht verbotenenweise kopiert werden. Als Fazit wird derzeit somit - trotz aller Vorzuege - von der anwendung der Chipkarte abgeraten, da derzeit die Nachteile (Datenschutz, Eindeutigkeit der Zuordnung Karte <-> Mensch) die Vorteile (bei Unfall etc schnelle Moeglichkeit sich ueber bestehende Krankheiten zu informieren) ueberwiegen. Sehr gut zu diesem Beitrag passte auch der Beitrag von Frau Dr. Kaethe Friedrich, die das Thema unter einem philosophischen Gesichtspunkt erleuchtete. Es muss ganz klar gesagt und auch gelehrt werden, dass die IT sich nicht nur mit der Technik auseinandersetzt. Die IT bestimmt zunehmend das Leben der Individuen und greift somit in fast alle Lebensaspekte ein. Diese Einwirkungen werden derzeit jedoch nicht ausreichend in der Forschung beruecksichtigt. Damit endete der erste Tag. Am zweiten Tag wurden nun Handlungsoptionen vorgestellt. Der Block C stand unter dem Motto: "Wir wissen nicht was Wahrheit ist, aber wir programmieren sie". (K. Kornwachs). Der Block begann mit einem Gespraech zwischen Gunhild Luetge und Dr. Otto Ulrich. In Laufe dieses Gespraeches wurde der Eingriff des immer weiter zunehmenden IT Einsatzes dargestellt. So hat sich das Leben in den letzten zehn Jahren durch den Einsatz der IT immer weiter geaendert, dadurch das die IT in immer mehr Bereiche des Lebens eingreift. ALs Einfuehrung nicht schlecht. Aufbauend auf dieses Gespraech stellte Herr Prof. Dr. Reinhard Vossbein die Eigenverantwortung und Marktwirtschaft der als Steuerungsimpulse der IT-Sicherheit dar. Zusammenfassend mit dem letzten Beitrag, Herausforderung kuenftiger Probleme der IT- sicherheit von Prof. Dr. Alexander Rossnagel laesst sich erkennen, das der einzelne kaum Chancen hat, sich gegen Uebergriffe beim IT Einsatz zu wehren. Das aber ueber Fachgremien und Wahlen durchaus Chancen bestehen, auf die Industrie und Dienstleistungsanbieter entsprechend Druck auszuueben das der IT Eisnatz nicht ueberhand nimmt. An diese letzen Vortraege schloss sich eine Diskussion an, die m.E. bezeichnen fuer die Gedankengaenge vieler an der IT Sicherheit beteiligter ist. Es wurde schlicht und ergreifend ueber zwei Themen diskutiert: - Sicherheit der einzelnen Rechner (wie schuetze ich meinen DOS PC; Was richten die boesen Viren an) - Sinn und Unsinn von Chipkarten Damit aber scheint bei vielen der Anwesenden der Sinn der Ver- anstaltung nicht angekommen zu sein. Als Vertreter des CCC hatte ich doch ein wenig was anderes erwartet. Als ich von Herrn Leiberich und Herrn Ulrich am Abend des ersten Tages und nach der Veranstaltung nach meiner Meinung gefragt wurde, habe ich das auch kundgetan. Auf meine Aussage das ich die Tagung als gelungen im Sinne der Vortraege zu den Themen "es geht nicht nur um Technik sondern um das Leben im allgemeinen das Gefahr laeuft durch die IT erdrueckt zu werden" wurde mir von beiden Herren erfreut gedankt. Die Tagung sei genau in diese Richtung zu verstehen gewesen. Man bat mich, diese Meinung am Ende der Tagung in der offenen Aussprache Kund zu tun. Dies war auch in dem Sinne zu verstehen, das schon in den Pausen die Gespraeche immer wieder auf die technische Schiene abglitten, und sich somit an den Beduerfnissen des einzelnen weit vorbeibewegten. (Anm. der Redaktion: Auch diese Leuten haben anscheinend Probleme, die Technik als Werkzeug zu sehen und nicht ins Zentrum zu stellen). Denn zunaechst muss erfasst werden, was der einzelne benoetigt, bevor ihm eine - zum Teil nutzlose - IT aufgezwungen wird. Dieser Meinung wurde auch allgemein geteilt. Leider hat sich jedoch diese Meinung noch nicht bis in alle Koepfe fortgesetzt. Ich sehe es als schade an, das einige anscheinend mit der Intention "hier werdn wir unser Sicherheitskonzept erarbeiten" quasi unvorbereitet zu dieser Veranstaltung kamen. Diese wurden verstaendlicherweise enttaeuscht. Eine solche Tagung kann lediglich zu Gedanken anregen und fertige Loesungen vorstellen, erarbeiten kann sie diese nicht. Hinter dieser Aussage stehe ich, ebenso hinter der Aussage das die Teilnehmer entsprechende Vorarbeiten leisten sollten, bevor sie zu solchen Tagungen kommen, da alle Teilnehmer aus entsprechend arbeitenden Kreisen kamen. Doch diese Meinung darf man anscheinend nicht oeffentlich sagen, ich habe mir von einem der juengerern Teilnehmern (unter 30 Jahren, hab den Namen nicht mehr im Kopf) den Vorwurf des Destruktiven und Kontraproduktiven eingehandelt. Wer allerdings so redet, der kann in meinen Augen kein Fachmann in diesem Gebiet sein, sondern ist hoechstens Spezialist auf einem kleinen Gebiet der die Uebersicht ueber die gesamte Thematik verloren hat. Wie meistens lief auch einiges am Rande. So wurde doch die Bitte an den CCC herangetragen, die Zerwuerfnisse mit Prof. Brunnstein (siehe Chalisti 18; Editorial) zu bereinigen. Im Interesse der Zusammenarbeit der wenigen Aktiven im Bereich der Technik-Kritik waere dies zu begruessen. Herr Bunge vom Bundesrechnunghof in Frankfurt ist sehr an Infos ueber Schwachstellen und an einer Zusammenarbeit interessiert. Weiter hat der Rechnungshof die Moeglichkeit, unangemeldet Pruefungen der IT Sicherheit durchzufuehren, diese Moeglichkeit hat das BSI nicht. Das BSI arbeitet nur auf Anforderung. Herr Bunge war schon bei Boppard I einer der wenigen Lichtblicke gewesen, weil dort die Risikoabschaetzung und die TFA nicht nur leere Begriffe waren, sondern konkrete Richtlinien und Ueberpruefungen zur Folge haben. Desweiteren hat ein Mitarbeiter des BSI hat anscheinend ebenfalls die Pressemitteilung des CCC's zum Michelangelo-Virus gelesen. Ueberhaupt liesst das BSI ja recht viel, was im UseNet so los ist. Er hatte sich wenigstens gewuenscht, dafuer "Terra am liebsen den Hals umzudrehen". Den guten Mann (warum antwortet er eigentlich nicht ueber E-Mail ?) empfehlen wir die Lektuere des SPIEGEL vom 26.10.1992. Nachdem nur wenige die Viren- Panik kritisieren hat und der CCC fuer seine Meinung von diversen Seiten angegriffen wurde, ist dieser Artikel eine spaete Genugtuung (damit soll nicht bestimmte "Namensaenderungen" des Virus gerechtfertigt werden - es geht hier um die Sache). Zum Abschluss nochmal die Liste der Vortragenden: Die Vortragenden: Dr. Werner Obenhaus BakoeV, Leiter des Hauses Dr. Otto Leiberich Leiter BSI Dr. Otto Ulrich BSI Dr. Manfred Modaschl ISF Muenchen Prof. Dr. Alfred Buellesbach Debis Prof. Dr. Claus Otto Koehler DKFZ Heidelberg Juergen Nielebock Gesellschaft f. auto. DV Muenster Dr. Andreas Pfitzmann Uni Hildesheim Dr. Kaethe Friedrich Humboldt Universitaet Berlin Gunhild Luetge DIE ZEIT Prof. Dr. Reinhard Vossbein Gesamthochschule Essen Prof. Dr. Alexander Rossnagel Fachhochschule Darmstadt Autor: Dirk Rode (diro@edison.north.de) ------------------------------------------------------------------------------ |
[Contrib]
[Chalisti]
[20]
Boppard II