[Chaos CD]
[Datenschleuder] [35]    BSI
[Gescannte Version] [ -- ] [ ++ ] [Suchen]  

 



Hagbard Celine ...

geb. 22.7.68      ges. 23.5.89

... der größte Hacker aller Zeiten wurde verheizt!

Sein Judas legt immer noch kaltblütig Tanzmusik bei NDR 2 auf.


Verbunden
Freundeskreis Karl Koch (FKK)


Anzeige in der taz Hamburg Donnerstag 23.6.91 16x28 cm

BSI

Geheimdienst oder Notwendigkeit?

"Die glücklichen Sklaven sind die erbittersten Feinde der Freiheit"
(Marie v. Ebner-Eschenbach, Ausspruch eines Teilnehmers auf dem BSI-Workshop)
In nur einer halben Stunde Diskussion wurde am 24. Oktober 1990 im Deutschen Bundestag ein Gesetz beschlossen, dessen Reichweite heute noch nicht zu überblicken ist. Nicht nur hat der Gesetzgeber dort ein neues Amt mit über 200 Mitarbeitern geschaffen, sondern definierte auch den Begriff der Sicherheit in der Informationstechnik-(IT) im Hinblick auf Wirtschaft und Gesellschaft. Es kann bekanntlich davon ausgegangen werden, daß die Produktionsgesellschaft sich endgültig in eine Informationsgesellschaft wandelt und sich damit direkt und ursächlich in Abhängigkeit von der verwendeten Technik, insbesondere der Informationstechnik begibt. Einem Bundesmt für Sicherheit in der Informationstechnik (BSI) kommt damit automatisch eine zentrale Rolle in der zukünftigen Entwicklung zu.

Die Vorgeschichte
Wenn nun an dieser Stelle von einem neuen Bundesamt gesprochen wird, so ist erstmal zu erwähnen, daß zwar der Status Bundesamt neu ist, allerdings die Behörde am sich schon älter ist: Mitte der fünfziger Jahre wurde schon die Zentralstelle für das Chiffrierwesen (ZfCh) gegründet und dem Bundesnachrichtendienst (BND) zugeordnet. Die Existenz des ZfCh war lange zeit unbekannt, da davon nur unter der Rubrik "vertraulich" neben der Regierung der Innenausschuß des Bundestages informiert war. Das ZfCh befaßte sich insbesondere mit kryptographischen Verfahren zur Verschlüsselung von Nachrichten und Verfahren zum "brechen" von verschlüsselten Nachrichten, sowie Koordination und Standardisierung solcher Verfahren im Rahmen der NATO.
Am 1.6.1989 machte das ZfCh seine erste Wandlung durch und wurde in Zentralstelle für die Sicherheit in der Informationetechnik (ZSI) umbenannt. Damit anheim ging eine Erweiterung der Aufgaben auf den Bereich Sicherheit in der IT. Dies war die direkte Folge - des weit überschätzten - Eindringens in Systeme der NASA, sowie des sogenannten KGB-Hacks.
Mit Wirkung vom 1.1.1991 hat nun das ZSI erneut seinen Namen geändert und heißt nun BSI. Gleichzeitig wurde das BSI der organisatorischen Anbindung an den BND entlassen und nun direkt dem Bundesministerium des Innern (BMI) zugeordnet. Damit ließ das neue Bundesamt aber seine Entwicklung nicht am Nagel der Geschichte hängen. Die Aufgaben des Bundesamtes waren deutlich über den geheimdienstlichen Bereich erweitert worden, so z.B. die Beratung der Wirtschaft und der Bundes- bzw. Landesbehörden in Fragen der Sicherheit, der Unterstützung der Datenschutzberater, etc. Allerdings wurde das BSI der Abteilung Innere Sicherheit 4, zuständig für Geheim- und Sabotageschutz, als nationale Sicherheitsbehörde zugeordnet. Leiter des BSI ist und bleibt Dr. Leiberich, der davor schon das ZSI und davor seit 1957 im ZfCh tätig war und seit 1974 deren Leiter war.
In dem Gesetzgebungsverfahren ist dem BSI noch die Aufgabe der Technologiefolgenabschätzung (TFA) in Par. 3, Absatz 1, Punkt 7 mit auf den Weg gegeben worden und der Bundesinnenminister machte dies in seiner Rede, vor dem Bundestag noch mal deutlich. Allerdings hat die organisatorische Anbindung ans BMI schon im Vorfeld dem BSI Möglichkeit genommen, erstmal ohne Mißtrauen betrachtet zu werden. Die Diskussion über die nationale Sicherheitsbehörde der USA, der National Security Agency (NSA) war noch nicht vergessen und die Befürchtung, daß endgültig ein neuer Geheimdienst im Bereich der IT geschaffen wird, wurde immer haufiger laut.
Das BSI lädt ein...
Ende April trafen sich Experten aus dem Gebiet der Wissenschaft, Wirtschaft und der Behörden zu einem Workshop in Boppard. Das BSI hatte unter der Überschrift "IT-Sicherheit: mögliche Folgen fehlender oder unzureichender Sicherheitsvorkehrungen" an den idyllischen Ort am Rhein in die Bundesakademie für Öffentliche Verwaltung in der Nähe von Bonn geladen. Die Liste der geladenen Teilnehmer las sich wie ein "Who is Who" der in IT-Sicherheit engagierten. Teilnehmer aus den diversen Universitäten, dem Virus-Tent-Labor Hamburg, Firmen wie Debis, Siemens und IABG, Landesdatenschutzbeauftragte aus Berlin und NRW, Projektträger, Ministerialräte aus den diversen Ministerien, sowie gesellschaftliche Gruppen wie DGB, Gesellschaft für Informatik (GI) oder Chaos Computer Club waren vertreten.
Die zentralen Aussagen auf diesem Workshop sollen hier dargestellt werden.
In der Begrüßung würdigte der BSI-Präsident Dr. Leiberich das Erscheinen von ca. 50 Teilnehmern und lobte den Initiator der Veranstaltung, Dr. Ulrich, für sein Engagement.
Dr. Ulrich hat sich in der Fachwelt schon einen Namen durch seine Publikationen im Bereich der TFA und der Restrisiken in der Informationssicherheit gemacht und arbeitete nun seit kurzen im BSI. Schon die Begrüßung wurde von einigen Teilnehmern als Distanzierung zu Dr. Ulrich und der Veranstaltung aufgefaßt, und auch im weiteren Verlauf der Veranstaltung kam, der unbefangene Teilnehmer nicht umhin zu vermuten, daß der Bereich TFA, im Bundesamt durch Dr. Ulrich vertreten, ein Novizendasein führt.
Als erster Referent ergriff Prof. Roßnagel von der FH Darmstadt das Wort. Er legte dar daß die bisherigen Bemühungen um IT-Sicherheit zu technikzentriert sei und die gesellschaftliche Einbettung des Sicherheitsproblems nur unzureichend berücksichtigen. Informations- und Kommunikationssysteme seien Systeme mit Auswirkungen auf die Gesellschaft und seien daher als soziotechnisches System aufzufassen. Wie die meisten Teilnehmer war auch er der Meinung daß die Verletzlichkeit der Gesellschaft nicht nur durch technische Massnahmen zur Verhinderung von Fehlern und Mißbrauchen veringert werden muß, sondern daß auch die Abhängigkeit der Gesellschaft von Informations- und Kommunikationstechnik und das dadurch bestehende Schadens- und Katastrophenpotential beeinflußt werden muss.
Es gehört eben nicht nur zur IT-Sicherheit, die möglichen Fehler eines Systems zu betrachten, sondern auch im Verhältnis das Risiko, das allein durch den Rechnereinsatz entsteht.
Als Beispiel wurde ein einfacher Lesefehler einer Festplatte bei der Pariser Justiz angeführt, der dazu führte, daß aus mehreren Bescheiden wegen Verkehrssünden plötzlich Delikte wegen Drogenmißbrauch und Prostitution wurden.
Diesen eher harmlosen Folgen stehen aber auch katastrophale Fehler im Rechnereinsatz entgegen, wie ein Softwarefehler in einem Programm zur Steuerung einer Bestrahlungsapparatur in einem Krankenhaus. Weil ein bestimmter Zustand vom Programmierer nicht vorgesehen waren, wurden 2 Patienten mit erhöhter Strahlung behandelt, was zum Tode der Betroffenen führte.
Ebenso machte Prof. Rofinagel darauf aufmerksam, daß ein Fehler in Rechensystemen weitaus stärkere Folgen hätte als gemeinhin angenommen. Durch die Verkettung der Gesellschaft würde der Ausfall von zentralen Rechnern in einigen Großstädten sich im gesamten Sytemen fortpflanzen und eine Gefahr für die Gesamtheit darstellen. Ein "Chaosmanagement" wäre aber dann, auch nicht mehr möglich, weil die gesamte dafür notwendige Infrastruktur ebenfalls ausgefallen wäre. Eine schreckliche Vorstellung für jedem im Katastrophenschutz.
Das BSI hat - ähnlich wie ihre Vorgänger in anderen Staaten - den Weg der technokratischen Sicherheit gewählt und sich damit auf einen Wettlauf zwischen steigender Verletzlichkeit und Sicherungstechnik eingelassen, die letztere kaum gewinnen kann.
Prof. Brunnstein vom Virentestlabor in Hamburg führte in seinem Beitrag ebenfalls aus, daß er beim BSI eine Fehlentwicklung sieht, weil sich das BSI allein auf technische Massnahmen konzentriert. Da es aber keine sicheren Systeme geben kann, müssen technisch und sozial beherrschbare Systeme gefordert werden. Unter beherrschbaren Systemen müssen aber Systeme verstanden werden, die von Menschen noch erfaßt und damit kontrolliert werden können.
Da aber die gesammte heutige Computertechnik auf den Ideen John von Neumanns aufbaut, ist die faktisch unmöglich. Von Neumann hatte den Rechner mit seinem Bus, Speicher, CPU, etc. mit dem Aufbau des menschlichen Gehirns verglichen und ging dadurch von einer möglichen Transparenz zwischen Mensch und Maschine aus. Heute wissen wir, daß diese Ähnlichkeit nicht besteht, also der Rechner, an sich dem Menschen immer fremd bleiben muß.
Dr. Büllesbach von der Daimler Benz Informationssysteme (debis) und früerer Datenschutzbeauftragter Bremens ging das Sicherheitsproblem von der Entwicklungsseite an. Er kritisierte das nachträgliche Aufspüren von Sicherheitslücken mit Hilfe von TigerTeams, also professionellen, angestellten Hackern, und legte dar, daß bei der Entwicklung von Software in Zusammenarbeit mit den Betroffenen (Betreiber, Benutzer, Anwender) die Basis für "Security Management" gelegt werden muss. Gleichzeitig muss über Sicherheitsprobleme öffentlich diskutiert werden, denn diese Transparenz ist die Basis für den Fortschritt. Zwar stehen dem Sicherheitsbedenken der Hersteller oder Abwender entgegen, aber in der Regel sei Verheimlichung kein Sicherheitsgewinn.
Eine ganze andere - eher pragmatische - Sichtweise wurde von Dr. Bunge, Ministerialrat beim Bundesrechnungshof, vorgestellt. Der BRH stellt häufig Sicherheitsmängel fest, die allerdings nicht bekannt werden. Dadurch werden aber ähnliche Mängel in anderen öffentlichen Einrichtungen nicht beseitigt. Daher ist der Rechnungshof dazu übergegangen, solche Mängel anonym zu veröffentlichen.
Dabei werden diese aber abstrakt dargestellt, um Nachahmungstäter zu vermeiden. Die Details gelten als vertraulich. Sicherheit ist für den BRH ein wichtiger Punkt, da er über den angemessenen und wirtschaftlichen Einsatz staatlicher Gelder wacht. Auf der einen Seite kostet Sicherheit aber Geld, ein evtl. Schaden kann auch große finanzielle Aufwendungen nachsichziehen. Inzwischen must daher bei Antrag auf den Einsatz von Rechnern ein Nachweis über Angemessenheit und eine [??? d.S.] eingereicht werden.
Der BRH beschäftigt sich darüberhinaus nicht nur mit der punktuellen Sicherheit einzelner Systeme, sondern auch im Gesamtkonzept Mensch-Organisation-Technik. Beispielsweise findet im Augenblick eine Diskussion über den Einsatz von Unix im Hinblick auf Sicherheit, Wirtschaftlichkeit und Risiko statt.
Am 2. Tag der Veranstaltung erläuterten Dr. Pfitzmann von der Uni Karlsruhe und Prof. von Henke von der Uni Ulm die Anforderungen an IT-Systeme bezüglich Funktionalität und Korrektheit. Dabei wurde erläutert, daß in der Regel Fehler in der Software und seltener in der Hardware liegen.
Kleine Fehler in FORTRAN-Programmen können Raumsonden um Hunderttausende von KM ihr Ziel verfehlen lassen (und Cruise Missiles um paar Meter).
Ein Lösungansatz wurde z.B. beim Airbus 320 verwendet: zwei vollkommen eingenständig entwickelte Systeme, die ihre Ergebnisse vergleichen. Solange ihre Ergebnisse übereinstimmen, kann davon ausgegangen werden, daß das Ergebnis richtig ist. Bei Nichtübereinstimmung können entsprechende Maßnahmen eingeleitet werden. Allerdings hat das System auch seine schlechten Seiten, wie der Absturz bei einer Airbus-Vorführung in Paris gezeigt hat.
Als abschliessendes Referat bracht Herr Lau von der Uni Rostock noch einen Einblick in die Situation in der ehemaligen DDR. Eine Abteilung Datensicherheit war der Abt. Geheimnisschutz des Ministerrates in der DDR unterstellt. Datenschutz an sich gab es in der DDR nicht. Datensicherheit selbst wurde aber auch an den Universitäten gelehrt. Für Informatiker waren da 30 Semesterwochenstunden Pflicht. Ob das so bleiben wird, ist unklar. Geplant ist demnächst ein Workshop von der Uni Rostock und der Uni Bremen zur Rechtsangleichung des Datenschutzes.
Was nun, BSI ?
Wo sieht das Bundesamt aber seine zukünftige Aufgabe? Die Teilnehmer waren einer Meinung, daß die Arbeit des BSI auf Grundlage des Errichtungsgesetzes geschehen müsse, aber dieses genug Freiräume zum Setzen von Schwerpunkten und Prioritäten lassen würde.
Dabei wurden denn Punkten Öffentlichkeitsarbeit, Kooperation mit der Wissenschaft, Unterstützung der Datenschutzbeauftragten und der Technologiefolgenabschätzung hohe Stellenwerte eingeräumt. Es kam der Wunsch auf, daß die Technologiefolgenabschätzung eine eigene Abteilung im BSI werden würde und nicht stiefmütterlich am Rande zum Vorzeigen verwendet werden würde.
Die parlamentarischen und ausserparlamentarischen Kontrollmechanismen werden einen besonderen Augenmerk auf die TFA werfen, die ja erst im letzten Augenblick in das Gesetz aufgenommen wurde.
Die Teilnehmer der abschliessenden Podiumsdiskussion sprachen sich durchweg für die Verbindung zwischen Technik und Gesellschaftlicher Verantwortung aus. Sicherheit darf nicht nach dem olympischen Prinzip (höher, weiter, schneller), so Prof. Dierstein, betrachtet werden, sondern auch nach TFA und Verfassungskonformität. Auch wurde die Zusammenarbeit zwischen Juristen, Techniker, BSI und Betroffenen angemahnt sowie regelmässige Treffen zum Bereich der TFA vorgeschlagen.
Die Abschlußrede blieb Dr, Leiberich vorenthalten. Er bedankte sich bei den Teilnehmern und lobte die Diskussion. Dann erläuterte wo er die Schwerpunkte des BSI sehen würde, nämlich im Bereich der Verhinderung des Abhöhrens kommerzieller und staatlicher Links. Diesee Gefahr erläuterte er recht ausführlich.
Das in nächster Zeit wirklich nicht mit einer Änderung der Einstellung zu rechnen ist, zeigt die 2. Deutsche Konferenz über Computersicherheit, die Mitte Juni vom BSI und BIFOA veranstaltet wird.
Von über 30 Vorträgen beschäftigt sich keiner mit TFA. Dafür gibt es aber eine Podiumsdiskussion über "Techno-Terrorismus" und Kongressgebühren von über 1000 DM. Ob damit der Gesellschaft geholfen ist? Und in wie weit es sinnvoll ist, daß die von der ehemaligen ZSI entwickelten Sicherheitskriterien für Software kein Wert der TFA enthält und die Überprüfung von Software nach diesen Kriterien - neben drei TÜV-Anstalten - auch von der IABG in München vorgenommen werden, also einer Firma die zu grossen Teilen, dem Bund gehört und bis jetzt stark für die Geheimdienste und dem Verteidigungsministerium gearbeitet hat, spricht ebenfalls nicht dafür, daß das BSI ernsthaft um eine Trennung von seiner Vergangenheit bemüt ist.

Terra

 

  [Chaos CD]
[Datenschleuder] [35]    BSI
[Gescannte Version] [ -- ] [ ++ ] [Suchen]