Websalon

BSI - Geheimdienst oder Notwendigkeit


"Die gluecklichen Sklaven sind die erbittersten Feinde der Freiheit"
                                                        Ebner-Eschenbach
                        (Ausspruch eines Teilnehmers auf dem BSI-Workshop)

In nur einer halben Stunde Diskussion wurde am 24. Oktober 1990 im deutschen
Bundestag ein Gesetz besprochen, dessen Reichweite heute noch nicht zu
ueberblicken ist. Nicht nur hat der Gesetzgeber dort ein neues Amt mit ueber
200 Mitarbeitern geschaffen, sondern definierte auch den Begriff der Sicherheit
in der Informationstechnik (IT) im Hinblick auf Wirtschaft und Gesellschaft.
Es kann bekanntlich davon ausgegangen werden, dass die Produktionsgesellschaft
sich endgueltig in eine Informationsgesellschaft wandelt und sich damit direkt
und ursaechlich in Abhaengigkeit von der verwendeten Technik, insbesondere der
Informationstechnik, begibt. Ein Bundesamt fuer Sicherheit in der
Informationstechnik (BSI) kommt damit automatisch eine zentrale Rolle in der
zukuenftigen Entwicklung zuteil.

Die Vorgeschichte
-----------------
Wenn nun an dieser Stelle von einem neuen Bundesamt gesprochen wird, so ist
erstmal zu erwaehnen, dass zwar der Status als Bundesamt neu ist, allerdings
die Behoerde an sich schon aelter ist: Mitte der fuenfziger Jahre wurde schon
die Zentralstelle fuer das Chiffrierwesen (ZfCh) gegruendet und dem
Bundesnachrichtendienst (BND) zugeordnet. Die Existenz des ZfCh war lange Zeit
unbekannt, da davon nur unter der Rubrik "vertraulich" neben der Regierung
der Innenausschuss des Bundestages informiert war. Das ZfCh befasste sich
insbesondere mit kryptographischen Verfahren zur Verschluesselung von
Nachrichten und Verfahren zum "Brechen" von verschluesselten Nachrichten,
sowie Koordination und Standardisierung solcher Verfahren im Rahmen der NATO.

Am 1.6.1989 machte das ZfCh seine erste Wandlung durch und wurde in
Zentralstelle fuer die Sicherheit in der Informationstechnik (ZSI) umbenannt.
Damit anheim ging eine Erweiterung der Aufgaben auf den Bereich Sicherheit in
der IT. Dies war die direkte Folge - des weit ueberschaetzten - Eindringen
in Systeme der NASA, sowie der Folge des sogenannten KGB-Hacks.


Mit Wirkung vom 1.1.1991 hat nun das ZSI erneut seinen Namen geaendert und
heisst nun BSI. Gleichzeitig wurde das BSI aus der organisatorischen Anbindung
an den BND entlassen und nun direkt dem Bundesministerium des Innern (BMI)
zugeordnet. Damit lies das neue Bundesamt aber seine Entwicklung nicht am
Nagel der Geschichte haengen. Die Aufgaben des Bundesamtes waren deutlich
ueber den geheimdienstlichen Bereich erweitert worden, so z.B. die Beratung
der Wirtschaft und Bundes- bzw. Landesbehoerden in Fragen der Sicherheit,
der Unterstuetzung der Datenschutzberater, etc. Allerdings wurde das BSI
der Abteilung Innere Sicherheit 4, zustaendig fuer Geheim- und Sabotage-
schutz, als nationale Sicherheitsbehoerde zugeordnet. Leiter des BSI ist und
bleibt Dr. Leiberich, der davor schon das ZSI und davor seit 1957 im ZfCh
taetig war und seit 1974 deren Leiter war.

In dem Gesetzgebungsverfahren ist dem BSI noch die Aufgabe der
Technologiefolgenabschaetzung (TFA) in Par. 3, Absatz 1, Punkt 7 mit auf den
Weg gegeben worden und der Bundesinnenminister machte dies in seiner Rede vor
dem Bundestag nochmal deutlich. Allerdings hat die organisatorische Anbindung
an das BMI schon im Vorfeld dem BSI die Moeglichkeit genommen, erstmal ohne
Misstrauen betrachtet zu werden. Die Diskussion ueber die nationale
Sicherheitsbehoerde der USA, der National Security Agency (NSA) war noch nicht
vergessen und die Befuerchtung, dass endgueltig ein neuer Geheimdienst im
Bereich der IT geschaffen wird, wurde immer haeufiger laut.


Das BSI laedt ein ...
---------------------
Ende April traffen sich Experten aus dem Gebiet der Wissenschaft, Wirtschaft
und der Behoerden zu einem Workshop in Boppard. Das BSI hatte unter der
ueberschrift "IT-Sicherheit: moegliche Folgen fehlender oder unzureichender
Sicherheitsvorkehrungen" an den idillischen Ort am Rhein in die Bundesakademie
fuer oeffentliche Verwaltung der Naehe von Bonn geladen. Die Liste
der geladenen Teilnehmer las sich wie ein "Who is Who" der IT-Sicherheit-
Engagierten. Teilnehmer aus den diversen Universitaeten, dem Virus-Test-Labor
Hamburg, Firmen wie Debis, Siemens und IABG, Landesdatenschutzbeauftragte aus
Berlin und NRW, Projekttraeger, Ministerialraete aus den diversen Ministerien,
sowie gesellschaftliche Gruppen wie DGB, Gesellschaft fuer Informatik (GI)
oder Chaos Computer Club waren vertreten.
Die zentralen Aussagen auf diesem Workshop sollen hier dargestellt werden.

In der Begruessung wuerdigte der BSI-Praesident Dr. Leiberich das Erscheinen
von ca. 50 Teilnehmern und lobte den Initiator der Veranstaltung Dr. Ulrich
fuer sein Engagement. Dr. Ulrich hat sich in der Fachwelt schon einen Namen
durch seine Publikationen im Bereich der TFA und der Restrisiken in der
Informationssicherheit gemacht und arbeitete nun sein kurzen im BSI. Schon die
Begruessung wurde von einigen Teilnehmern als Distanzierung zu Dr. Ulrich und
der Veranstaltung aufgefasst und auch im weiteren Verlauf der Veranstaltung
kam der unbefangene Teilnehmer nicht umhin zu vermuten, dass der Bereich TFA,
im Bundesamt durch Dr. Ulrich vertreten, ein Novizendasein fuehrt.

Als erster Referent ergriff Prof. Rossnagel von der FH Darmstadt das Wort.
Er legte dar, dass die bisherigen Bemuehungen um IT-SIcherheit zu
technikzentriert sei und die gesellschaftliche Einbettung des
Sicherheitsproblems nur unzureichend beruecksichtigen. Informations- und
Kommunikationssysteme seien Systeme mit Auswirkungen auf die Gesellschaft und
seien daher als soziotechnisches System aufzufassen. Wie die meisten Teilnehmer
war auch er der Meinung, dass die Verletzlichkeit der Gesellschaft nicht nur
durch technische Massnahmen zur Verhinderung von Fehlern und Missbraeuchen
veringert werden muss, sondern das auch die Abhaengigkeit der Gesellschaft von
Informations- und Kommunikationstechnik und das dadurch bestehende Schadens-
und Katastrophenpotential beeinflusst werden muss. Es gehoert eben nicht nur
zur IT-Sicherheit die moeglichen Fehler eines Systems zu betrachten, sondern
auch im Verhaeltnis das Risiko das allein durch den Rechnereinsatz entsteht.
Als Beispiel wurde ein einfacher Lesefehler einer Festplatte bei der Pariser
Justiz angefuehrt, der dazu fuehrte das aus mehrere Bescheiden wegen
Vekehrssuenden ploetzlich Delikte wegen Drogenmissbrauch und Prostitution
wurden. Diese eher harmlosen Folgen stehen aber auch katastrophe Fehler im
Rechnereinsatz entgegen, wie ein Softwarefehler in einem Programm zur Steuerung
einer Bestrahlungsapparatur in einem Krankenhaus. Weil ein bestimmte Zustand
vom Programmierer nicht vorgesehen waren, wurden 2 Patienten mit erhoehter
Strahlung behandelt was zum Tode der Betroffenen fuehrte.
Ebenso machte Prof. Rossnagel darauf aufmerksam, dass ein Fehler in
Rechensystemen weit aus staerkere Folgen haette als gemeinhin angenommen.
Durch die Verkettung der Gesellschaft wuerde der Ausfall von zentralen
Rechner in einigen Grossstaedten sich im gesamten System fortpflanzen und
eine Gefahr fuer die Gesamtheit darstellen. Ein "Chaosmanagment" waere
aber dann auch nicht mehr moeglich, weil die gesamte dafuer notwendige
Infrastruktur ebenfalls ausgefallen waere. Eine schreckliche Vorstellung
fuer jedem im Katastrophenschutz.

Das BSI hat - aehnlich wie ihre Vorgaenger in anderen Staaten - den Weg des
technokratischen Sicherheit gewaehlt und sich damit auf einen Wettlauf
zwischen steigender Verletzlichkeit und Sicherungstechnik eingelassen, die
letztere kaum gewinnen kann.

Prof. Brunnstein vom Virentestlabor in Hamburg fuehrte in seinem Beitrag
ebenfalls aus, dass er beim BSI eine Fehlentwicklung sieht, weil sich das BSI
allein auf technische Massnahmen konzentriert. Da es aber keine sichere Systeme
geben kann, muessen technisch und sozial beherrschbare Systeme gefordert
werden. Unter beherrschbaren Systemen muessen aber Systeme verstanden werden,
die von Menschen noch erfasst und damit kontrolliert werden koennen. Da aber
die gesamte heutige Computertechnik auf die Ideen von Neumann aufbaut, ist
dies faktisch unmoeglich. Von Neumann hatte den Rechner mit seinem Bus,
Speicher, CPU, etc verglichen mit dem Aufbau des menschlichen Gehirn und ging
dadurch von einer moeglichen Transparenz zwischen Mensch und Maschine aus.
Heute wissen wir, dass diese aehnlichkeit nicht besteht, also der Rechner
ansich dem Menschen immer fremd bleiben muss.

Dr. Buellesbach von der Daimler Benz Informationssysteme (debis) und fruehrer
Datenschutzbeuftrager Bremens ging das Sicherheitsproblem von der
Entwicklungsseite an. Er kritisierte das nachtraegliche Aufspueren von
Sicherheitsluecken mit Hilfe von Tiger-Teams, also professionel-angestellten
Hackern, und legte dar, dass bei der Entwicklung von Software in
Zusammenarbeit mit den Betroffenen (Betreiber, Benutzer, Anwender) die Basis
fuer "Security Managment" gelegt werden muss. Gleichzeitig muss ueber
Sicherheitsprobleme oeffentlich diskutiert werden, den diese Transparenz ist
die Basis fuer den Fortschritt. Zwar stehen dem Sicherheitsbedenken der
Hersteller oder Abwender entgegen, aber in der Regel sei Verheimlichung kein
Sicherheitsgewinn.

Eine ganze andere - eher pragmatische - Sichtweise wurde von Dr. Bunge,
Ministerialrat beim Bundesrechnungshof, vorgestellt. Das BRH stellt haeufig
Sicherheitsmaengel fest, die allerdings nicht bekannt werden. Dadurch werden
aber aehnliche Maengel in anderen oeffentlichen Einrichtungen nicht beseitigt.
Daher ist der Rechnungshof dazu uebergegangen, solche Maengel anonym zu
veroeffentlichen. Dabei werden diese aber abstrakt dargestellt um
Nachahmungstaeter zu vermeiden. Die Details gelten aus vertraulich. Sicherheit
ist fuer den BRH ein wichtiger Punkt, da es ueber den angemessen und
wirtschaftlichen Einsatz staatlicher Gelder wacht. Auf der einen Seite kostet
Sicherheit aber Geld, ein evntl. Schaden kann auch grosse finanzielle
Aufwendungen nachsichziehen. Inzwischen muss daher bei Antrag auf den Einsatz
von Rechnern ein Nachweis ueber Angemessenheit und eine Risiokoabschaetzung
eingereicht werden.
Das BRH beschaeftigt sich darueber hinaus nicht nur mit der punktuellen
Sicherheit einzelner Systeme, sondern auch im Gesamtkonzept
Mensch-Organisation-Technik. Beispielsweise findet im Augenblick eine
Diskussion ueber den Einsatz von Unix im Hinblick auf Sicherheit, Wirtschaft-
lichkeit und Risiko statt.

Am 2. Tag der Veranstaltung erlaeuterten Dr. Pfitzmann von der Uni Karlsruhe
und Prof. von Henke von der Uni Ulm, die Anforderungen von IT-Systemen
bezuegl. Funktionalitaet und Korrektheit. Dabei wurde erlaeutert, dass die
Regel Fehler in der Software und seltener in der Hardware liegen. Kleine
Fehler in Fortranprogrammen koennen Raumsonen um Hunderttausende von KM
ihr Ziel verfehlen lassen (und Cruise Missiles um paar Meter). Ein
Loesungsansatz wurde z.B. beim Airbus 320 verwendet. Zwei vollkommen
eigenstaendig entwickelte Systeme, die ihre Ergebnisse vergleichen. Solange
ihre Ergebnisse uebereinstimmen, kann davon ausgegangen werden, dass das
Ergebnis richtig ist. Bei nicht uebereinstimmung koennen entsprechende
Massnahmen eingeleitet werden. Allerdings hat das System auch seine schlechten
Seiten, wie der Absturz bei einer Airbus-Vorfuehrung in Paris gezeigt hat.

Als abschliessendes Referat brachte Herr Lau von der Uni Rostock noch einen
Einblick in die Situation in der ehemaligen DDR. Eine Abteilung Daten-
sicherheit war der Abt. Geheimnisschutz des Ministerrates in der DDR
unterstellt. Datenschutz an sich gab es in der DDR nicht. Datensicherheit
selbst wurde aber auch an den Universitaeten gelehrt. Fuer Informatiker waren
da 30 SWS Pflicht. Ob das so bleiben wird, ist unklar. Geplant ist demnaechst
ein Workshop von der Uni Rostok un der Uni Bremen zur Rechtsangleichung des
Datenschutzes.


Was nun BSI ?
-------------
Wo sieht das Bundesamt aber seine zukuenftige Aufgabe ?  Die Teilnehmer
waren einer Meinung, dass die Arbeit des BSI auf Grundlage des
Errichtungsgesetzes geschehen muesse, aber dieses genug Freiraeume zum
setzen von Schwerpunkten und Prioritaeten lassen wuerde. Dabei wurden denn
Punkten oeffentlichkeitsarbeit, Kooperation mit der Wissenschaft,
Unterstuetzung der Datenschutzbeauftragten und der
Technologiefolgenabschaetzung hohe Stellenwerte eingeraeumt. Es kam der Wunsch
auf, dass die Technologiefolgenabschaetzung eine eigene Abteilung im BSI werden
wuerde und nicht stiefmuetterlich am Rande zum Vorzeigen verwendet werden
wuerde. Die parlamentarische und ausserparlamentarische Kontrolmechanismen
werden einen besonderen Augenmerk auf die TFA werden, die ja erst im letzten
Augenblick in das Gesetz aufgenommen wurde.

Die Teilnehmer der abschliessenden Podiumsdiskussion sprachen sich durch-
weg fuer die Verbindung zwischen Technik und Gesellschaftlicher Verantwortung.
Sicherheit darf nicht nach dem olympischen Prinzip (hoeher, weiter, schneller),
so Prof. Dierstein, betrachtet werden, sondern auch nach TFA und
Verfassungskonformitaet. Auch wurde die Zusammenarbeit zwischen Juristen,
Techniker, BSI und Betroffenen angemahnt, sowie regelmaessige Treffen zum
Bereich der TFA vorgeschlagen.

Die Abschlussrede blieb Dr. Leiberich vorenthalten. Es bedankte sich bei
den Teilnehmern und lobte die Diskussion. Dann erlaeuterte, wo der die
Schwerpunkte des BSI sehen wuerde, naemlich im Bereich der Verhinderung
des Abhoerens kommerzieler und staatlicher Links. Diese Gefahr erlaeuterte
er recht ausfuehrlich.
Das in naechster Zeit wirklich nicht mit einer aenderung der Einstellung
zu rechnen ist, zeigt die 2. Deutsche Konferenz ueber Computersicherheit
die Mitte Juni vom BSI und BIFOA veranstaltet wird.
Von ueber 30 Vortraegen beschaeftigt sich keiner mit TFA. Dafuer gibt es
aber eine Podiumsdiskussion ueber "Techno-Terrorismus" und Kongressgebuehren
von ueber 1000 DM. Ob damit der Gesellschaft geholfen ist ?
Und in wie weit es sinnvoll ist, dass die von der ehemaligen ZSI entwickelten
Sicherheitskriterien fuer Software kein Wort der TFA enthaelt und die
ueberpruefung von Software nach diesen Kriterien - neben drei TueV-Anstalten -
auch von der IABG in Muenchen vorgenommen werden, also einer Firma die zu
grossen Teilen dem Bund gehoert und bis jetzt stark fuer die Geheimdienste und
dem Verteidigungsministerium gearbeitet hat, spricht ebenfalls nicht dafuer,
dass das BSI ernsthaft um eine Trennung seiner Vergangenheit bemueht ist.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Laut BSI-Errichtungsgesetz vom 17.12.1990 kommt dem neuen Bundesamt gemaess
Par. 3, Absatz 1 folgene Aufgaben zu:

1. Untersuchung der Sicherheitsrisiken bei Anwendung der Informationstechnik
   sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von
   informationstechnischen Verfahren und Geraeten fuer die Sicherheit in der
   Informationstechnik, soweit dies zur Erfuellung von Aufgaben des Bundes
   erforderlich ist,

2. Entwicklung von Kriterien, Verfahren und Werkzeugen fuer die Pruefung und
   Bewertung der Sicherheit von informationstechnischen Systemen und
   Komponenten,

3. Pruefung und Bewertung der Sicherheit von informationstechnischen Systemen
   oder Komponenten und Erteilung von Sicherheitszertifikaten,

4. Zulassung von informationstechnischen Systemen oder Komponenten, die fuer
   die Verarbeitung oder uebertragung amtlich geheimgehaltener Information
   (Verschlusssachen) im Bereich des Bundes oder bei Unternehmen im Rahmen von
   Auftraegen des Bundes eingesetzt werden sollen, sowie Herstellung von
   Schluesseldaten, die fuer den Betrieb zugelassener Verschluesselungsgeraete
   benoetigt werden,

5. Unterstuetzung der fuer die Sicherheit in der Informationstechnik
   zustaendigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder
   Kontrollaufgaben wahrnehmen, dies gilt vorrangig fuer den Bundesbeauftragten
   fuer den Datenschutz, dessen Unterstuetzung im Rahmen der Unabhaengigkeit
   erfolgt, die ihm bei der Erfuellung seiner Aufgaben nach dem Bundesdaten-
   schutzgesetz zusteht,

6. Unterstuetzung
   a) der Polizeien und Strafverfolgungsbehoerden bei der Wahrnehmung ihrer
      gesetzlichen Aufgaben,
   b) der Verfassungsschutzbehoerden bei der Auswerttung und Bewertung von
      Informationen, die bei der Beobachtung terroristischer Bestrebungen oder
      nachrichtendienstlicher Taetigkeiten im Rahmen gesetzlicher Befugnisse
      nach den Verfassungsschutzgesetzen des Bundes und der Laender anfallen.

   Die Unterstuetzung darf nur gewaehrt werden, soweit sie erforderlich ist, um
   Taetigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in
   der Informationstechnik gerichtet sind oder unter Nutzung der Informations-
   technik erfolgen. Die Unterstuetzungsersuchen sind durch das Bundesamt
   aktenkundig zu machen,

7. Beratung der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit
   in der Informationstechnik unter Beruecksichtigung der moeglichen Folgen
   fehlender oder unzureichender Sicherheitsvorkehrungen.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Terra


------------------------------------------------------------------------------