Websalon

Was nun BSI ?


Dirk Rode, Universitaet Oldenburg, FB Informatik
Frank Simon, Chaos Computer Club, Vorstandsmitglied
Erstellt als Beitrag fuer Boppard-Impuls und den BSI-Workshop in Boppard
Ende April (siehe Chalisti 14)

Die Errichtung eines Bundesamtes fuer Sicherheit in der Informationstechnik
ist sehr zu begruessen. Erstmals wurde damit in der Bundesrepublik Deutschland
eine oeffentliche Institution geschaffen,  die  fuer die gesamte Bevoelkerung
zugaenglich ist und die sich mit der Sicherheit in der Informationstechnik
befasst. Dies ist insofern zu begruessen, da laengst ueberfaellig, denn die
Vorgaengerinstitutionen  waren direkt dem BND  zugeordnet, geheim und damit
fuer die breite Bevoelkerung nicht zugaenglich.  Auch ist es sehr zu
befuerworten,  dass,  aehnlich wie in den USA mit dem Orange Book  und  seinem
Netzwerk Pendant (Trusted  Computer  Evaluation Criteria, Trusted Network
Evaluation Criteria) ein Kriterienkatalog entworfen wurde. Mit Hilfe dieses
Kriterienkataloges kann auf einer einheitlichen Basis beurteilt,  und damit
auch  verglichen, werden, welchern Sicherheitsgrad Computersysteme erreichen.

Teil I

Auf der Grundlage des BSI-Errichtungsgesetzes und einer gehoerigen Portion
Optimismus soll nun an die Frage gegangen waeren, was denn als erster
Schritt die weitere Entwicklung des BSI sein kann.

Das BSI kann keine Aufgaben wahrnehmen, fuer die sie nicht gesetzlich
legitimiert ist. Aber sie kann natuerlich Schwerpunkte setzen und hat
sogar die Aufgabe, das Gesetz mit Leben zu fuellen.

Zur Wahrnehmung der Aufgabe der BSI ist oeffentliches Problembewusstsein
im Umgang mit Sicherheit erforderlich. Dazu gehoert, dass denn BSI ein
Mindestmass am Vertrauen entgegengebracht wird. Trotz der etwas
ungluecklichen Gruendungsgeschichte des BSI, sollte das neue Bundesamt auf
Grund seiner konkreten Arbeit und - dies halten wir fuer wesentlich - auf
Grund seiner seiner Oeffentlichsarbeit bewertet werden. Ein Amt fuer
Sicherheit in der Informationstechnik wird wesentlich ueber seinen Umgang
mit Information beurteilt werden.

Eine weitverbreitete Befuerchtung in der interessierten Oeffentlichkeit
(und die haben da eine Multiplikatorwirkung) ist, dass es sich bei dem BSI um
ein deutsches NSA bzw. NIST handelt bzw. handeln wird. Diese Befuerchtung muss
das BSI entgegentreten und zwar nicht nur mit Worten, sondern auch mit Taten.
Tut es das nicht, dann wird es nicht nur seine Glaubwuerdigkeit einbuessen,
sondern auch ueber kurz oder lang durch die pragmatische Arbeit in jene Ecke
gedraengt, in der es vermutlich selbst nicht will.

Eine Information der Oeffentlichkeit ueber Arbeit des BSI nach Vorbild
anderer Bundesbehoerden ist ueber die "allgemeine Beratung der Hersteller,
Anwender und Betreiber" laut BSI-Errichtungsgesetz sicher abgedeckt. Eine
solche Form der Oeffentlichkeitsarbeit (z.B. regelmaessige Veroeffentlichungen
aus dem Bundesamt) wird dem BSI und seiner Arbeit dienlich sein.
Auch freiwillige Arbeitsberichte fuer das Parlament koennten dem Eindruck
der "Geheimnistuerei" entgegenwirken. Ein solcher Bericht nur Ende 1992
ist eindeutig zu wenig.

Eine weitere positive Wirkung kann im Bereich der Unterstuetzung der
Datenschutzbeauftragten als Schwerpunkt erreicht werden. Die doch weitgehend
juristische und sozio-technische Ausbildung der DS-Beuftragten ist
beispielsweise nicht dazu geeignet, im Einzelfall ganz konkrete Fragen zum
Einsatz von Unix-Systemen im Betrieben und Behoerden bezuegl. ihrer
Unbedenklichkeit wg. Personueberwachungssystemen zu beantworten.
Falsche Antworten bei Anfragen sind vorprogrammiert, wie ein diesbezueglicher
Versuch beim Bundes-, Niedersaechsischen und Weser-Ems Datenschutzbeauftragten
gezeigt hat. Eine intensive Kooperation ist dringend erforderlich um das
BDSG auch in der Praxis weitgehend umzusetzen.

  Damit kommt unserer Meinung nach dem BSI auch die  Aufgabe  zu,
Bevoelkerung    und   insbesondere    Datenschutzbeauftragte    in
regelmaessigen Abstaenden zu unterrichten, und nicht nur auf Anfrage
zu arbeiten,  so wie es aus dem Errichtungsgesetz hervorgeht. Das
BSI  sollte  weiterhin eine  Stelle  darstellen,  die  allgemeine
Beratung auch auf Grund des IT-Sicherheitshandbuches in Bezug auf
Datenschutz,  Urheberrechte und Wirtschaftsrecht erteilt. Das BSI
sollte  auch bei Gesetzgebungsverfahren die in  Zusammenhang  mit
Computersystemeinsatz  stehen beratend mitwirken.  Nur  Fachleute
aller  Sparten  koennen  in  Zusammenarbeit  optimale   Ergebnisse
erstellen.

Der Gesamtkomplex der Sicherheit in der Informationstechnik umfasst nicht
nur Sicherheit (oder spitz formuliert) Schutz der Informationstechnik
vor dem Buerger, sondern auch der umgekehrte Fall. Sicherheit ist immer
auch die Sicherheit des Buergers bzw. der Gesellschaft. Daher sollte
Boppard kein Einzelfall darstellen. Ein regelmaessiges Treffen mit dem
Ziel der Diskussion und Weiterentwicklung des sozio-technischen Gedankens
im Hinblick auf die gesamte Gesellschaft waere wuenschenswert, wenn nicht
sogar drigend geboten. Dabei ist eine rege Beteiligung auch der
Mitarbeiter des BSI erforderlich. Diese muessen das schliesslich in der
praktischen Arbeit umsetzen.

Ebenfalls sollte gelten, dass Sicherheitsprobleme nicht verschwiegen
werden. Vorwuerfe von Clifford Stoll und anderer Menschen die praktisch
mit der Administration von Rechensystemen beschaeftigt sind in Richtung
NSA sind wohlbekannt. Ebenfalls die Veroeffentlichung von kryptographische
Verfahren gehoert dazu. Ein Verfahren, welches nicht veroeffentlicht werden
kann - aus welchen Gruenden auch immer - ist fuer die Gesellschaft
nicht tragbar.

Diese Massnahmen und Ideen koennen nur ein Anfang sein, sie werden aber durch
die Verantwortung des Beamten, Politikers und Wissenschaftlers fuer die
Gesellschaft gebeten. Der Weg zur Informationsgesellschaft und informierten
Gesellschaft ist wesentlich. Heutige Entwicklungen und Entscheidungen
bestimmen die Geschichte unserer und der globalen Gesellschaft direkt und
fuer alle Zeiten.


Teil II

 Die Kritikpunkte die wir oben aufgefuehrt haben,  sind in unseren
Augen Feinheiten,  die in der genauen Spezifikation der  Aufgaben
des  BSI eingefuegt werden muessen.  Leider muessen wir noch  einige
andere  Kritik  auffuehren,   denn  ein  wichtiger  Teil  in   der
Sicherheit  von Computersystemen wird nach unserer Meinung  nicht
bzw.  nur unzureichend beachtet worden. Dazu wollen wir in diesem
Teil Stellung beziehen.  Als Stichpunkt vorweg soll das Stichwort
Technologiefolgenabschaetzung dienen.  Unter  Technologiefolgenab-
schaetzung wollen wir die Abschaetzung der Folgen des Einsatzes von
Computersystemen  und deren Gefahren durch unsachgemaessen  Einsatz
bzw. Fehlfunktionen verstehen.

  Zu diesem Bereich der Abschaetzung der Folgen sollte  nicht  nur
die  rein  technische  Abschaetzung  gehoeren,   sondern  auch  die
Information der Bevoelkerung und der Ministerien.

  In  diesem  Bereich geht es zunaechst  um  die  Abschaetzung  der
Gefahren  die  von Computeranlagen  ausgehen.  Dabei  handelt  es
einerseits  um  technische  Folgen,  andererseits  aber  auch  um
gesellschaftspolitische Folgen.

  Technische  Folgen  des Einsatzes  von  Computeranlagen  werden
ersichtlich  im  Einsatz  von  Computeranlagen  in  Technik   und
Medizin.   So   wurden  durch  einen  Computerfehler   in   einem
Krankenhaus mindestens zwei Personen toedlich  verstrahlt.  Sollte
so   ein   Fehler  in   einem   Kernkraftwerk   passieren,   ohne
entsprechende Sicherungen kaeme es zu einer Katastrophe.  Insofern
muss untersucht werden, wie sicher ein System funktioniert, und in
sensiblen  Bereichen  muss  fuer  entsprechende   Ausfallsicherheit
gesorgt  werden.  So  muss ein als nicht  ausfallsicher  bekanntes
System erkannt werden,  und darf nicht in einem sensiblen Bereich
eingesetzt  werden.  Dies gilt sowohl fuer Hardware wie  auch  fuer
Software.  Somit muessen Einschraenkungen der Zulassung  bestimmter
Soft- und Hardware vorgenommen werden.  Eine Reihe von  Systemen,
zum Beispiel DOS PCs sind nicht zur Speicherung personenbezogener
Daten  geeignet,   da  sie  nur  ueber  unzureichende  Mittel  zum
Datenschutz    verfuegen.    Damit    sollte    die    Speicherung
personenbezogener  Daten  auf einem DOS PC nicht  zulaessig  sein.
Diese Forderung muss aber auch durchgesetzt werden.

    Gesellschaftspolitische     Folgen    des    Einsatzes    von
Computersystemen sind in einer Reihe von Anwendungen zu erwarten.
Eine grosse Diskussion hat es zum Beispiel um die Speicherung  von
personenbezogenen Daten bei der Einfuehrung von ISDN gegeben. Doch
nicht  nur hier sind Probleme zu erwarten.  Auffallend  sind  zum
Beispiel  auch die Schreiben unterschiedlicher  Werbefirmen,  die
man erhaelt,  wenn man an einem Preisausschreiben teilnimmt. Diese
Weitergabe von Daten ist nur einem Teil der Bevoelkerung  bekannt,
der Grossteil der Bevoelkerung wundert sich lediglich.

Bewertung

  Mit  der  Errichtung  des BSI und  den  schon  vorhandenen  und
geplanten Kriterien ist schon ein grosser Schritt gemacht  worden.
Leider   sind  dabei  die  gesellschaftlichen  Aspekte  und   die
Abschaetzung  der Folgen des Computereinsatzes zu  kurz  gekommen.
Wie  wir  oben schon ausgefuehrt haben,  sollte das BSI  mit  mehr
Rechten  in  Richtung  gesellschaftlicher  Aspekte   ausgestattet
werden.  Dazu  gehoeren  insbesondere Abschaetzung der  Folgen  des
Computereinsatzes  und Information der Bevoelkerung ueber  Gefahren
und Moeglichkeiten des Missbrauches.  In dieser Richtung wuerden wir
gerne  das BSI weiter unterstuetzen indem wir mit Rat und Tat  zur
Seite stehen.

Oldenburg im Mai 1991
Dirk Rode            Frank Simon

------------------------------------------------------------------------------