Websalon

BSI: Doch ein Schrecken ?


Ein halbes Jahr existiert das neue Bundesamt fuer Sicherheit in der
Informationstechnik schon. Im Augenblick noch in 3 Haeusern getrennt
untergebracht, wird das neue alte Bundesamt im August in ihr Gebaeude
in Bonn-Bad Godesberg, gegenueber dem Hotel Maritim, einziehen.

Interessant fuer uns sind aber weniger die neuen Gebaeude, als eher
die Arbeit des Bundesamtes. Wie in der Chalisti 14 geschrieben, ist
das BSI mit seinem Arbeitsbereich fuer den CCC ein Augenmerk wert.
Die Frage, ob - und besonders wie - es seine Aufgaben wahrnimmt ist
nicht nur fuer uns, sondern fuer die Gesellschaft im allgemeinen von
besonderer Wichtigkeit. Wenigstens sollte es so sein, aber das Amt kann
im Stillen seinem Aufbau nachgehen und bekommt von vielen Seiten - auch
Journalisten - eine Schonfrist zugestanden. Wir halten im Hinblick auf
die zukuenftige Entwicklung der Gesellschaft zur Informationsgesellschaft
die Arbeit des Bundesamtes fuer zu wichtig, um es jetzt einer zu langen
Schonung zu gewaehren. 100 Tage sind lange vorbei, also machen wir uns
Gedanken ueber das BSI ...

Am Anfang sehen wir unsere Aufgabe darin weitere Informationen ueber das
BSI zu geben, so wie es uns bekannt und belegbar ist. Die wichtigsten
Informationen ueber eine zentrale staatliche Stelle sind Personen,
Struktur und Finanzen. Also beschaeftigen wir uns erstmal mit diesen
Punkten. Dabei wollen wir versuchen besonders Zusammenhaenge und Hinter-
grundwissen zu vermitteln. Wir tragen damit u.A. auch Material zusammen,
welches schon im Spiegel oder anderen Publikationen veroeffentlicht wurde.

Struktur
--------
An der Spitze des BSI steht als Praesident Dr. Otto Leiberich. Knapp
ueber 60 Jahre alt, 1946 Abitur, 1947 Mathematik an der Uni Koeln
studiert, 1953 Promotion mit einem Thema aus der hoeheren Algebra, danach
wissenschaftliche Taetigkeit, dann Dienst in der Zentralstelle fuer
Chiffrierwesen (ZfCh) und dem spaeteren ZSI. Davon zwischen 1962 und
1974 Chefmathematiker und seit 1974 Leiter des ZSI und eben heute
Praesident des BSI.
Als Vizepraesident steht ihm Dr. Mertz beiseite.

Diesen beiden Personen sind die 6 Abteilungen des BSI unterstellt. Des
weiteren sind diese Abteilungen in mehrere Referate unterteilt. Wir stellen
sie hier dar, wie der Stand am 25. Maerz 1991 war. Die Quelle sind die
Informationen ueber 'Struktur, Ausstattung und Planungen des BSI vom
5.4.1991. Soweit wir hier feststellen konnten, hat sich weder an der
Struktur noch an den Personen wesentliches veraendert. Insbesondere sind
die hier als N.N. angegebenen Posten bis heute noch nicht besetzt worden.

Abteilung I 'Zentrale Aufgaben', Dr. Mertz, Durchwahl: -655

        Referat I 1, RR Dickopf, -313
                Grundsatz, Recht, Organisation, IT-Koordinierung,
                Zentrale Dokumentation, Bibliotkek, Oeffentlichkeitsarbeit
        Referat I 2, RD'n Dr. Werthebach, 346599
                Personal
        Referat I 3, Wahrnehmung durch AL I
                Haushalt, Beschaffung
        Referat I 4, RR Samsel, -653
                Innerer Dienst, Sicherheit

Abteilung II, 'Wissenschaftliche Grundlagen und Zertifizierung', N.N.
Zu dieser Abteilung gehoert unter anderem auch die Technologiefolgen-
abschaetzung unter IT-Sicherheitsaspekten, wobei diese im Augenblick eher
von Abteilung zu Abteilung geschoben wird. Es fuehlt sich de facto keiner
zustaendig. Die Hoffnung auf eine eigene Abteilung dieses komplexen Themas
und Forschunggebietes kann schon jetzt so gut wie aufgegeben werden.

        Geplante Unterteilung:
                - Mathematische Grundlagen
                - Technische Grundlagen
                - Allgemeine Analyse des Gefaehrdungspotentials,
                  Grundlage der Systemsicherheit und Evaluierung
                - Zertifizerung, Zulassung, Normung

Abteilung III, 'Mathematische Sicherheit', RD Hange, -660
Dieser Abteilung obliegt im Rahmen des Par. 3, Abs. 1, Nr. 6 BSIG bei
Bedarf auch der Entzifferung von Straftaetern entwickelter Verfahren zur
Verschluesselung, z.B. aus der Rauschgiftszene.

        Referat III 1, N.N.
                Entwicklung mathematischer Sicherungsverfahren
        Referat III 2, ORR Dr. Liebefrau, -658
                Evaluierung mathematischer Sicherungsverfahren
        Referat III 3, N.N.
                Sicherheitsanalyse
        Referat III 4, RD Bahr, -659
                Software-Realisierung mathematikscher Sicherungsverfahren

Abteilung IV, 'Technische Sicherheit', VA Schwirkmann, -569
Diese Abteilung begleitet die Entwicklung von neuen Produkten bezuegl.
Sicherheitserkenntnissen und verfuegt ueber eine langjaehrige Erfahrungen
mit den zustaendigen Stellen in den USA und bei der NATO.

        Referat IV 1, BD Siedentop, -573
                Technische Realisierung mathematischer Sicherungsverfahren
        Referat IV 2, BOD Dr. Hembach, -641
                Verschluesselungssysteme
        Referat IV 3, BD Koos, -423
                Schluesselmittel
        Referat IV 4, BD Dr. Dorst, -546
                Abstrahlsicherheit
        Referat IV 5, BOR Sanne, (02254) 38-(1) 276 (ehemals BSG/BMI)
                Lauschabwehr, Abstrahl- und Lauschabwehrpruefungen
        Referat IV 6, RD Schnelder, (0221) 7924205
                Materielle Sicherungstechnik

Abteilung V, 'Sicherheit in Rechnersystemen', LRD Everts, -232
Aus dieser Abteilung kommen die bekannten IT-Sicherheitskriterien, sowie
das gerade in Vorbereitung befindliche IT-Sicherheitshandbuch, welches
im Herbst erscheinen soll. Der von Dr. Leiberich geaeusserte Wunsch, dass
sich das BSI vordringlich mit Verschluesselung und Lauschabwehr - gerade
auch im Hinblick auf neue Gefahren von innen und aussen - schlaegt sich hier
deutlich nieder.

        Referat V 1, ORR Felzmann, -234
                Systembezogene Risikoanalyse
        Referat V 2, ORR van Essen, -228
                IT-Sicherheitstandards
        Referat V 3, BD Dr. Kreutz, -229
                Massnahmen zur Systemsicherheit
        Referat V 4, ORR Dr. Kersten, -237
                Evaluierung von IT-Systemen/-Komponenten
        Referat V 5, ORR Dr. Ganser,
                Technik fuer Systemevaluierung und -entwicklung

Abteilung VI, 'Beratung und Unterstuetzung', N.N.
Die Planstellen in dieser Abteilung koennen fruehstens 1992 beantragt
werden. Allein die Beratungseinheit fuer den materiellen Geheimschutz
existiert erstmal, weil diese vom Verfassungsschutz uebernommen wurden.

        Referat VI 1, N.N.
                Grundsatz, Schulung, Informationsdienst
        Referat VI 2, RD Meissner, (0221) 7922508
                Beratungsdienst I
        Referat VI 3, N.N.
                Beratungsdienst II
        Referat VI 4, N.N.
                Unterstuetzung der Polizeien, Strafverfolungs- und
                Verfassungsschutzbehoerden, Auswertung der Sicherheits-
                erkenntnisse.


Personal
--------
Fuer das Jahr 1991 verfuegt das BSI 278 Planstelle/Stelle. Davon wurden
153 vom BND, 41 von BfV und 24 vom BGS uebernommen, sowie 60 neu geschaffen.
In den naechsten Jahren soll fuer 1992 50, fuer 1993 10 und fuer 1994 15
weitere Planstellen/Stellen geschaffen werden. Innerhalb der Abteilungen
besteht folgenes Verhaeltnis der Planstellen/Stellen:

                2.4.1991               1992    1993    1994
Abteilung I  :  61 (besetzt: 39)         6       -       -
Abteilung II :  18 (besetzt:  7)         -       -       -
Abteilung III:  18 (besetzt:  6)         3       -       -
Abteilung IV : 119 (besetzt: 89)         8       -       -
Abteilung V  :  40 (besetzt: 18)        10       -       -
Abteilung VI :  18 (besetzt: 15)        23      10      15

Zum Teil wird das Personal uebergangsweise in seinen urspruenglichen
Dienststellen beim BfV und beim BGS unterkommen.
Den Stellenwert der einzelnen Abteilungen kann jeder Anhand der Personal-
zahlen und im Verhaeltnis zu den Aufgaben gemaess BSIG (siehe Chalisti 14)
selbst ablesen. Aber auch die Finanzen koennen ueber das BSI eine Menge
aussagen. Besonders zu kritisieren ist der Punkt 'Beratung'. Die Abteilung IV
wird nur langsam erweitert und erreicht als einzige Abteilung ihre Ausbaustufe
erst 1994.


Finanzen
--------
Dem BSI stehen im Haushaltsjahr 57,1 Millionen DM zur Verfuegung. Davon
22,6 Millionen DM fuer Forschung. In diesen 22,6 Millionen sind insgesamt
15 Millionen fuer die ehemalige BND-Unterabteilung ZSI 'Chiffrierverfahren
und Messverfahren fuer kompromittierende Abtrahlung' vorgesehen. Dazu hat
der Bundesrechnungshof am 10.4.1991 fuer die Sitzung des Innenausschuss des
Bundestages am 17.4. festgestellt: "Das BSI hat keine Forschungsarbeiten
durchzufuehren. Diese urspruenglich im BSI-Errichtungsgesetz aufgenommene
Aufgabe wurde bei den Ressortberatungen ausdruecklich gestrichen, um eine
praxisbezogene Arbeitsweise des Bundesamtes sicherzustellen.". Es werden
also Gelder nicht gesetzgemaess eingesetzt. Laut Auskunft eines Mitarbeiters
des BSI soll aber der Bundesrechnungshof (BRH) dies inzwischen teilweise
zurueckgenommen haben. Allerdings konnten wir in keiner unserer Unterlagen
- bis hin zum Antrag auf eine entsprechende Gesetzesaenderung, die diese
Haushaltsmittel betreffen - fuer diese Aussage einen Beleg finden.

Aber nicht nur die Tatsache ist interessant. Auch fuer was dieses Geld
im Bereich der Forschung ausgegeben wird. Schon bestehende Vertraege ueber
Entwicklungen beim BSI regen zum denken an:

- Entwicklung eines hochintegrierten Kryptomoduls fuer den universellen
  Einsatz in IT-Sicherheitsprodukten: 1.000.000 DM
- Entwicklung eines Schluesselgeraetes fuer packetvermittelte Netze (Datex-P).
  Dieses Geraet kann auch fuer Verbindungen zwischen Rechnern verwendet werden,
  die ueber das Breitband-ISDN verbunden sind: 500.000 DM
  (Anm. der Redaktion: Die Verschluesselung von DatexP und ISDN Inhaltsdaten
   (vermutlich auf der Ebene des HDLC) ist eine Massnahme, die besonders fuer
   Militaers und Behoerden interessant ist. Wirtschaft und noch mehr die
   Gesellschaft muessen genauso an dem Schutz der Verkehrsdaten (Wer mit wem
   wann was) interessiert sein. Entsprechende Mechanismen existieren in
   der Theorie, wie z.B. an der Uni Karlsruhe bei Dr. A. Pfitzmann, aber
   diesbezuegl. ist beim BSI nix zu sehen. Der Staat schuetzt sich, vergisst
   aber die Buerger zu schuetzen. Dies ist auch ein kleiner Punkt, der auf-
   zeigt WO das BSI SChwerpunkte setzt.)
- Entwicklung von Kleinschluesselgeraeten fuer den Polizeibereich, um diesebn
  weitgehend abhoersicher zu machen: 500.000 DM
- Entwicklung von hochintegrierten Kryptochips, die bei vielen Anwendungen
  in der IT verwendet werden: 1.600.000 DM
- Entwicklungen auf dem Gebiet der Abstrahlmesstechnik und Lauschabwehr (z.B.
  Entwicklung eines speziellen Messempfaengers und einen Roentgenmess-
  platzes): 1.668.000 DM

Diese sind exemplarisch fuer Gegenstaende im Haushaltsplan die auf Grund
ihrer Techniken zentral fuer Geheimdienste oder das Militaer interessant sind.
Dem gegenueber stehen aber auch Mittel fuer Aufgaben, die eher fuer die
Wirtschaft und Gesellschaft wichtig sein koennten:

- Erprobungsmuster Schluesselmittelverteilung (KDC): 5.000.000 DM
  (Anm. der Redaktion: Dies koennte fuer Verfahren der elektronischen
   Unterschrift wie z.B. TeleTrust bei der GMD interessant sein)
- Erstellung des IT-Sicherheitshandbuches: 40.000 DM
  (Anm. der Redaktion: Soll im Herbst erscheinen und enthaellt z.B. auch
   zwei Kapitel ueber Risikoabschaetzung und Technologiefolgenabschaetzung).
- Entwicklung von asymetrischen Verfahren fuer die Verschluesselung von
  Authentisierungs- und Signatureverfahren (elektronische Unterschrift).
  (Anm. der Redaktion: Asymetrische Verfahren sind Public Key Kryptoverfahren,
   wie z.B. RSA (dazu siehe Chalisti 6)).

Bedenklich sind dann aber schon wieder angegebene Sachmittel fuer die
Evaluierung des Betriebssysteme von Siemens BS 2000 (450.000 DM) und
Sinix (40.000). Hier sind klar die Frage zu stellen, warum die
Betriebssysteme von Siemens auf Kosten des Steuerzahlers evaluiert werden.
Bei einer Einstufung des Systemes in die IT-Sicherheitskriterien entstehen
der Firma klare Wettbewerbsvorteile gegenueber anderen Mitbewerbern und
ein solcher Eingriff in den Markt ist sicher nicht zulaessig. Natuerlich
koennte angefuehrt werden, dass diese Betriebssysteme in der oeffentlichen
Verwaltung eingesetzt werden und daher die Einstufung fuer den Bund
interessant ist. Fuer den Fall ist natuerlich zu fragen, ob die entstehenden
Kosten der Evaluation bei Entscheidungen ueber neue Anschaffungen berueck-
sichtigt werden und ob solche Firmen wie Siemens die Ergebnisse der
Evaluation erfahren und damit dann auch wieder Werbung machen koennten.
Dabei existiert klar die Aussage aus dem BSI, dass die Zertifizierung vom
Antragssteller zu bezahlen ist und dafuer gibt es auch einen entsprechende
Gebuehrentabelle. Auf Anfrage wurde uns mitgeteilt, daSS die im Haushalts-
plan keine Evaluationskosten, sondern Forschungsmittel darstellen. Warum
steht da aber explizit "Evaluation des Betriebssystemes BS2000" ???
Eine andere Auskunft lautete, dass diese Evaluationen noch aus der Zeit
des ZSI seien. Auf der einen Seite meint das BSI, dass es nicht fair waere
immer an ihre Vergangenheit zu erinnen, da sie ja etwas neues seien. Auf
der anderen Seite werden groessere Summen fuer Aufgaben aus dieser
Vergangenheit bereitgestellt. Schizophren ?

Auf jeden Fall ist im Vergleich zu der Gesamtaufwendung, ist der Bereich
der potentiell wirklich beitragen koennte bestimmte Risiken fuer die
Gesellschaft zu vermindern recht laecherlich und wohl eher mit anderer
Intention in den Plan genommen worden. Dabei ist dies auch eine Aufgabe
des BSI.

Natuerlich sind nicht nur die laufenden Vertraege - die zum Teil noch aus
ZSI-Zeiten sind - interessant, weil sie wenig ueber die aktuelle Arbeit.
des BSI aussagen. Daher sind die demnaechst vorgesehenen Vergaben noch weit
aus interessanter. Geplant sind:

- Sicherheitsuntersuchung des Secury Communication Processor SCOMP der
  Firma Honeywell; Einsatz geplant bei NATO-Agenturen: 750.000 DM
- Untersuchung des Betriebssystemes OS/2 mit Zusatzkomponenten (Vor-
  untersuchungen schon 1990 durchgefuehrt): 650.000 DM.
- Entwicklung eines Prototyps fuer die Datensicherung in lokalen
  Netzwerken (geplant fuer AA): 900.000 DM
- Weiterentwicklung (Anm. der Redaktion: !!!) von Protokollierungs-
  Verfahren zur Erfassung sicherheitsrelevanter Ereignisse (Daten-
  veraenderung, Manipulation, u.a.): 150.000 DM
- Nutzung von Entwicklungen der kuenstlichen Intelligenz zur Sicherheits-
  ueberwachung von Anwendenderhandlungen in IT-Systemen (Anm. der
  Redaktion: Oder anders gesagt: Little Brother is watching you, on your
  system): 150.000 DM
- Entwicklung und Weiterfuehrung von "Anti-Viren"-Programmen und -Aktionen,
  besonders fuer den Bereich der Bundes- und Laenderbehoerden: 70.000 DM
- Studie uebner eine Informationsbnk zur Beratung ueber den Einsatz von
  IT-Sicherheitsprodukten: 178.000 DM
- Marktstudie ueber PC's und Netzwerke als Grundlage fuer Beratung
  und Entwicklung: 69.000 DM
- Entwicklung eines Werkzeuges zur Spezifikation und Verifikation von
  IT-sicherheitsrelevanter Software
- Studie ueber die Sicherheit eines Buerokommunikationssystems im
  Bundeskanzleramt: 100.000 DM
- Entwicklung eines Ueberwachungszusatzes fuer Abstrahluntersuchungen an
  IT-Sicherheitsprodukten: 200.000 DM
- Entwicklung von Prototypen des Schluesselgeraetes ELCORVOX 1-5: 800.000 DM

Bei diesen Zahlen verwundert das Resuemee des BRH nicht: "Wir haben den
Eindruck, dass die neuen, durch das BSI-Gesetz festgelegten Aufgaben, die
letztlich die Ursache fuer die Errichtung des BSI waren, ueber die Wahr-
nehmung der alten, noch aus dem BND-Bereich stammenden Aufgaben nicht ihrer
Bedeutung entsprechend beruecksichtigt werden. [...] Erkenntnisse aus
unseren Pruefungen auf dem Gebiet der Sicherheit der Informationstechnik
zeigen, dass die festgestellten, schwerwiegenden Maengel nicht aus fehlenden
Chiffrierverfahren und -geraeten resultieren, sondern wesentlich im fehler-
haften Einsatz und der mangelnden Kontrolle der IT begruendet sind.
U.E. sollte die Errichtung des BSI nicht als Fortfuehrung der Arbeiten
der ehemaligen BND-Unterabteilung ZSI mit zusaetzlichen Aufgaben in einem
anderen Geschaeftsbereich verstanden werden; die Aufgabenschwerpunkte
sollten sich vielmehr im gesetzlich festgelegten Rahmen am vordringlichen
Bedarf der gesamten Bundesverwaltung orientieren."

Ein Schnitt fuer das BSI ?
--------------------------
Als CCC'ler bin ich zusaetzlich der Meinung, dass genau diese Fortfuehrung
der ZSI im BSI vielfach befuerchtet wurde, und nun anscheinend auch ein-
treten. Die Warnungen an Oeffentlichkeit und Politik sind Jahre alt und
wurden kaum gehoert. Egal ob diese von bekannten Professoren oder
verschiedenen gesellschaftlichen Gruppen vorgebracht wurden. Es ist
erfreulich, dass der Bundesrechnungshof von selbst die Erkenntnis gewonnen
hat, dass diese Befuerchtungen evntl. doch der Wahrheit entsprechen koennten
und von seiner Seite her auch Taten folgen laesst. So hat der BRH
im Aenderungsantrag vom 21.5.1991 dem Bundestag vorgeschlagen, die Titel
die sich auf 'Kosten fuer Forschungs- und Entwicklungsvorhaben' beziehen
sowie den damit in Zusammenhang stehenden Erwerb von Geraeten, etc zu
sperren. Dabei handelt es sich ingesamt um eine Summe von 12,45 Millionen DM.

Wie der BRH bin ich auch der Meinung, dass die Beratung gerade des normalen
Betroffenen garnicht und die Beratung der Wirtschaft kaum beruecksichtigt
wurde. Leider hat das BRH sich garnicht zum Bereich der Forschung im Bereich
der Technologiefolgenabschaetzung geaeussert. Hierfuer scheint es keinen
einzigen Pfennig zu geben. Dabei sollte (und laut BSIG ist es das auch)
gerade dies eine Aufgabe des BSI sein. Es soll bei Gesetzen beratend taetig
werden und muss auf die moeglichen Risiken des Einsatzes der IT aufmerksam
machen. Dieser erst nachtraeglich aufgenommene Punkt im Artikel 2, Abs. 7
BSIG sollte weit aus mehr in Personal und finanziellen Mitteln berueck-
sichtigt werden.

Nun folgen noch einige Randbemerkungen ueber das BSI, die doch den
ersten Eindruck weiter verstaerken.

Was ist mit den 40 Ex-DDRlern ?
-------------------------------
Schon in der Chalisti 14 erwaehnten wir einen anderen Punkt im Bezug auf
das BSI. Naemlich die Ausweisung von 40 Mitarbeitern des ehemaligen
zentralen Chiffrierorgan (ZCO) der DDR. Diese wurden - anders als viele
andere aus dem ehemaligen Ministerum des Innern der DDR - nicht zum 31.12.1990
gekuendigt, sondern wurden erstmal uebernommen und dem BSI zugeteilt. Ihr
Arbeitsverhaeltnis sollte auf Grund einer Kabinettsentscheidung, dass keine
MdI-Mitarbeiter in Bundesbehoerden uebernommen werden sollen, am 31.3.1991
erloeschen. Auf Anfrage der Bundestagsabgeordneten Frau Ingrid Koeppe
von B90/Gruene aus Sachsen-Anhalt nach Verbleib dieser 30 Mitarbeiter wurde
ihr mitgeteilt, dass im BSI nie Mitarbeiter des ZCO beschaeftigt wurden und
werden. Die damals ausgewiesenen Mitarbeiter hatte die Aufgabe des ZCO
aufzuloesen. Warum nun allerdings gerade SekretaerInnen und Kryptgraphen
(die stellen die Mehrheit dieser 40 Leute) besonders geeignet sind das
ZCO aufzuloesen ist ebenfalls unklar. Was aus diesen Mitarbeitern geworden
ist, wird nicht deutlich.

Big BSI ist watching you ?
--------------------------
Das BSI nimmt natuerlich auch an Forschungs- und privaten Netzen teil.
Dabei wird es von den wenigstens wahrgenommen, dabei werden im BSI
explizit auch die Newsgruppen (Bretter) gelesen. Dabei werden das BSI
betreffende Beitraege auch genommen, gedruckt und an die betreffenden
Stellen In-House verteilt. Dabei ist unklar, in wie weit Beitraege raus-
gefischt werden, die das BSI direkt oder nur in seiner Arbeit betreffen.
Ebenfalls unklar ist, wie diese Beitraege erfasst und archiviert werden,
und vielleicht eines Tages dem Autor zum Nachteil gereichen. Dabei ist
besonders zu bedenken, dass Schreiber von Beitraegen in den Netzen nicht
durch das Presserecht geschuetzt werden. Ob hier einfach Gedankenlosigkeit
oder nur die Nutzung und Freundlichkeit Einzeler gegenueber Mitarbeiter
 im BSI herauskristalisiert, kann nicht gesagt werden.
Um aber das richtige Verhaeltnis dazustellen sollte deutlich folgenes gesagt
werden: Es sieht nicht danach aus, als wuerden Nachrichten systematisch und
regelmaessig gelesen und weiterverteilt oder gar weiterverarbeitet. Es
sprechen fehlendes Personal beim BSI sowie Aeusserungen einzelner BSI'ler
dagegen.  Aber das Gefuehl, dass ein Bundesamt wie das BSI mitliesst, wird
sicher bei einzelnen dazu fuehren, dass sie ihr Netzgeflogenheiten aendern.
Wer schweigend am Netz teilnimmt, ein Bundesamt mit einem gewissen Prozent-
satz von ehemaligen Mitarbeitern von BKA, BND, BfV und BGS ist, sollte
sich nicht im geheimen, sondern oeffentlich im Netz darstellen. Wie in
der BSI-Dokumentation geschrieben, ist das BSI auf Vertrauen angewissen.
Dieses muss geschaffen werden.
Leugnen der Vergangenheit gilt da recht wenig ...

Das BSI raet
------------
Nach Vorbild der amerikanischen Computer Emergency Response Teams, sollen
in Deutschland und Europa Anlaufstellen fuer Sicherheitsprobleme eingerichtet
werden. Ein Ziel solcher Anlaufstellen in den USA ist es, dass eventuelle
Angriffe und Sicherheitsloecher schnell an die betroffenen und verantwortlichen
Stellen weitergeleitet werden koennen. In den USA wird das CERT von einer
Gruppe Leute betrieben, die mit moeglichst wenig Formalien auskommen,
allerdings ein Zugriffsverfahren unterhalten, welches regelt wer welche
Informationen bekommen kann. Das BSI ist natuerlich auch in den Verteilern
der amerikanischen CERT's und zwar mit der hoechsten Prioritaet.

In Deutschland ist noch unklar, welche rechtliche Grundlagen und welche
Struktur das CERT in Deutschland schlussendlich besitzen soll. Diese Fragen
werden im BSI gerade angegangen und sollen bis Ende des Jahres geklaert sein.
Gewuenscht wird, dass dezentral Ansprechpartner als CERT vorhanden sind und
dort in den verschiedenen Problembereichen helfen koennen. Allerdings gibt
es fuer denn spezielle Problematik " Viren" schon zwei Anlaufstelle: Das
Viren-Text Center in Hamburg von Prof. Brunnstein und das Mikrobitcenter
der Uni Karlsruhe. Auf weitere muessen wohl noch gewartet werden.

Im Augenblick existiert aber schon KITS. Dies steht fuer Kommunikations-
plan IT-Sicherheit und soll auf Behoerdenebene die zuegige Verteilung von
Information bezuegl. Angriffe und Sicherheitsproblemen gewaehrleisten.
Falls ein solcher Fall eintritt, dann gehen die Informationen an eine Stelle
im Bundeskriminalamtes. Das BKA informiert dann das Bundesinnen-, das Bundes-
verteidigungs- und das Bundeswirtschaftsministerium, die obersten Bundees-
behoerden, denn Bundestag, den Bundesrat, die Bundesbank, das Bumdesamt
fuer Verfassungsschutz, den Bundesbeauftragten fuer den Datenschutz, das
Bundesverfassungsgericht, den Bundesrechnungshof, natuerlich das BSI,
das Bundesverwaltungsamt, sowie die Landeskriminalaemter. Bei Bedarf
werden auch die Landesaemter fuer den Verfassungsschutz sowie die
IT-Hersteller benachrichtigt. Letzteres geschieht ueber ausgewaehlte
Verbaende, die entsprechend angeschrieben wurden.

Quo vadis BSI
-------------
In und um dem BSI geht es weiter neblig zu. Die Befuerchtung, dass das
BSI zu einem deutschen NIST bzw. NCSA oder gar NSA werden koennte, sind
auch auf Grund des heutigen Kenntnisstandes nicht auszuschliessen.
Natuerlich sind auch optimistische Toene aus dem BSI zu vernehmen. So
ist geplant, dass ueber Mailarchive, und Textserver wichtige Informationen
verfuegbar gemacht werden soll. Ausserdem wird das BSI, sobald seine
Verbindungen ins EUnet stabil funktionieren, auch entsprechende Informationen
ueber diesen Weg verbreiten. Im Augenblick haelt mensch sich damit noch
bedeckt. Verwirrende Postings mit dem Absender zsi.uucp, verlorengegangene
Mails an diese Adresse, nicht beantwortete Mails an bsi.de haengen alle
damit zusammen, dass die Netzwerkverbindungen beim BSI erst sicher gestaltet
werden sollen. Wie sagte jemand noch aus dem BSI ? "Was koennte sich ein
Hacker schoeneres vorstellen, als ins BSI reinzukommen". Auf jeden Fall
denkt das BSI wohl an mehr Transparenz als im Augenblick realisiert scheint.

Nachtrag: Workshop in Boppard
-----------------------------
Zum BSI-Workshop in Boppard (Chalisti 14) ist noch zu sagen, dass das
Buch 'Boppart-Impuls' wohl nicht erscheinen wird. Dieses Buch sollte die
Meinungen und Beitraege zum Thema BSI/Technologiefolgenabschaetzung
buendeln und veroeffentlich werden. Dies waere dann auch dem Buerger, der
Wissenschaft und nicht nur den Referenten und Verwaltungen zugaenglich gemacht
worden. Das dies Buch nicht erscheint, liegt aber nicht am BSI, sondern an
den Referenten. Von denn sicher ueber 10 Referenten haben erst 4 ihren
Beitrag abgegeben. Daher wird zusammen mit einem Vorwort die Beitraege und
evntl. einem Pressespiegel rechtzeitig zu Boppard II (so es denn kommen
soll im Rahmen von IT 2000) den neuen und alten Teilnehmern zugeleitet
werden. Damit bleibt die Gruppe, die sich um diesen Bereich bemueht,
weiter unter sich. Die also engagierten Teilnehmer sollten sich auch mal
um ihre Verantwortung Gedanken machen.

Zusammen mit einem Freund an der Uni Oldenburg, der selbst nicht Mitglied
im CCC ist, diesen aber in einigen Punkten nahesteht und sich selbst
intensiv mit BSI und besonders IT-Sicherheitskriterien beschaeftigt hat,
haben wir einen Beitrag fuer diesen Boppard-Impuls ausgearbeitet.
Insbesondere Teil I gibt weitgehend das wieder, was ich in der Podiums-
diskussion gesagt habe. Teil II dient als Ergaenzung zu jenem Teil, welches
aus Zeitgruenden in Boppard nicht mehr vorgetragen wurde. Dieser Beitrag
wird ebenfalls in dieser Chalisti 15 als Dokumentation veroeffentlicht.

Abschliessend noch die derzeitige Adresse des BSI, weil wir mehrfach danach
gefragt wurden:

        BSI     , Postfach 200363  , 5300 Bonn 2
        Haus I  , Mainzer Str. 88  , 5300 Bonn 2, Tel. (0228) 346599
        Haus II , Mainzer Str. 86  , 5300 Bonn 2, Tel. (0228) 345499
        Haus III, Am Nippenkreuz 19, 5300 Bonn 2, Tel. (0228) 85510
        Anfragen der Presse bitte an Dr. Dickopf in Haus III.

Autor: Terra (Frank Simon).

------------------------------------------------------------------------------