Websalon

Boppard II


Bericht zur BSI Tagung in Boppard vom 21. bis 22.09.1992

Nach einem interessanten kuenstlerischen Auftakt in dem die
Teilnehmer durch interaktives Klatschen in die Stimmung der
harmonischen Zusammenarbeit gebracht wurden, begann die Tagung.

Herr Dr. Werner Obenhaus begruesste die Teilnehmer und erlaeuterte
die Geschichte des Hauses Boppard. Es handelt sich um ein
ehemaliges Kloster, das zur Bundesakademie umfunktioniert wurde.
Anschliessend folgte eine kurze Begruessung durch Herrn Dr.
Leiberich (Leiter des BSI) und Herr Dr. Ulrich vom BSI statt.

Die gesamte Tagung gliederte sich in drei Bloecke, die jeweils
unter einem praegnanten Motto standen.

Block A:

 "Alle Maschinen uebernehmen Arbeit, aber keine Maschine
  uebernimmt Verantwortung" (W. Coy)

 Den Anstoss zu der Tagung gab Herr Dr. Manfred Moldaschl vom
Institut fuer Sozialwissenschaftliche Forschung, Muenchen. Herr
Moldaschl stellte zunaechst provokative Thesen auf, die er im
Vortrag erlaeuterte. Es muss zunaechst ueber empirische Forschung
festgestellt werden, wo Defizite in der IT vorliegen. Dazu gehoeren
Forschung in den Gebieten TFA (Technologiefolgenabschaetzung),
Arbeitsmarktforschung und Erforschung des Einsatzes der IT in der
Industrie. Als Beispiele fuehrte er dazu Unfaelle im Bereich Eisenbahn
(ein Zug konnte nicht auf ein unbenutztes Gleis umgelenkt werden, da
das Gleis eines abfahrtbereiten Zuges haette gekreuzt werden muessen ->
schwerer Unfall) und aus dem Bereich KKW (Sperrung des manuellen
Eingriffes in den ersten 15 Minuten nach Eintritt eines Stoerfalles
um Panikreaktionen zu verhindern). Aus diesen beiden Punkten schon
ist das Dilemma der IT zu erkennen. Damit einher geht die Feststellung,
das immer noch die Sensibilitaet fuer die Fehlbarkeit der Technik fehlt.
Aus der damit verbundenen Leistungsueberschaetzung von IT Systemen folgt
eine Risikoverstaerkung beim Einsatz der IT. Verstaerkt wird diese
Gefahr auch dadurch, das inzwischen versucht wird, auch nichttechnische
Probleme mit Hilfe der IT zu loesen.

Auf diesen Vortrag hin erhielten Referenten aus den Bereichen Industrie
(DEBIS), Medizin (DKFZ) und Electronic Banking Gelegenheit ihre Stand-
punkte zu erlaeutern.

Herr Prof. Dr. Alfred Buellesbach von der DEBIS (Leinfelden) nahm
Stellung zur Bedeutung der IT fuer die Industrie. Zusammenfassend
laesst sich dazu sagen, das die Industrie Vor- und Nachteile der
IT erkannt haben. Einerseits schafft die IT Vorteile durch
Rationalisierung und bessere Information des Management, anderer-
seits werden Freiraeume durch Abbau von Ueberkapazitaeten geschaffen.
Weiter wird auch das Material geschont. Doch sollte die IT so geschaffen
sein, das Risiken erkann und minimiert werden koennen.

Herr Prof. Dr. Claus Otto Koehler vom DKFZ Heidelberg stellte dar,
wie in der Behandlung von Tumorpatienten mittels des Einsatzes
der IT wesentlich genauer bestrahlt und behandelt werden kann. In
den USA werden bei einer bestimmten Art von Gehirntumoren zum
Beispiel durch gebohrte Kanaele radioaktive Substanzen direkt in
den Tumor eingefuehrt. Diese Arbeit laesst sich mittels genau
gesteuerter NC Maschinen wesentlich exakter und fuer den Patienten
schonender durchfuehren wie per Hand. Doch muss immer im Bewusstsein
bleiben, das es Fehler in den Steuerungen gibt und diese gerade
in der Medizin verheerende Auswirkungen haben.

Herr Juergen Nielebrock erlaeuterte den Einsatz der IT aus der Sicht
der Banken. Die Maschinen sollen die routinearbeiten uebernehmen,
damit sich der Mensch auf wichtigeres (Kundenbetreuung) konzentrieren
kann. Das Management soll zum Beispiel bei Krediten Vorgaberahmen geben
koennen, in dennen der Sachbearbeiter dann Kredite ausrechnen kann.
Auch muessen alle Aktionen zentral protkolliert werden.


Bewertung der Vortraege aus Block A

Nach der aus meiner Sicht zu stark an TFA Risiken orientierten
Einleitung kamen drei Vortraege die auf ihre Art und Weise jede
die Naivitaet des Umganges mit der IT darstellten. Mir erscheint
es als unstimmig, das Herren wie Buellesbach und Nielebock die
Technik so ueber alles stellen. Dabei hat Herr Buellesbach jedoch
immer den Eindruck hinterlassen, das er die Risiken des IT
Einsatzes erkannt hat. Herr Nielebock hingegen ist ein eiskalter
Verfechter der Linie "Unser RZ ist sicher". Bei uns passiert nichts
und alles muss kontrolliert werden und jeder muss im Prinzip genau
nach den Vorstellungen profiorientierter Unternehmer funktionieren.
Leider steht diese Auffassung im strikten Gegensatz zu einem humanen
Einsatz der IT. Sehr missfallen hat mir bei die sem Vortragenden auch,
das er nach den Vortraegen zum Thema Datenschutz sich im Sinne von
"Wer seine Daten geschuetzt haben will, der soll gefaelligst seine
eigene Bank aufmachen und nicht mit unserer Bank handeln. Diese
Besserwisser sollte man rauswerfen". Herr Koehler hingegen brachte
den m.E. besten Vortrag des ersten Blockes. Allerdings hatte ich den
Eindruck, das er etwas traeumt beim Einsatz einer nicht 150 prozentig
zuverlaessigen Technik. Die Gefahren scheint er aber mit am besten
erkannt zu haben.

In der anschliessenden Diskussion ergaben sich weitere Schwaechen
der Vortraege. Zum einen wurde die Unterscheidung nach den englischen
Begriffen safety und security nicht zum Ausdruck gebracht. Auch haette
es einer Definition des Begriffes Sicherheit bedurft. Ganz wichtig in
diesem Zusammenhang war auch die fehlende Einordnung in das soziale
Umfeld der Betroffenen.


Nach dem folgenden Abendessen begann der Block B. Dieser Block
stand unter dem Motto "Der Mensch im Datennetz".

Zunaechst wurde ein Film vorgefuehrt mit dem Thema Patienten
Chipkarte. Es wurden die Vorzuege der Chipkarte mit alles
Patientendaten fuer Arztbesuche ausfuehrlich dargestellt. Ein
reiner Werbefilm fuer ein derartiges Medium. Im Anschluss an diesen
Film stellte Dr. Andreas Pfitzmann die Gefahren der Karte dar.
Zum einen ist die mechanische Stabilitaet vorhandener Karten
voellig unzureichend. Andererseits ist auf die Speicherkapazitaet
mangelhaft. Doch auch wenn diese Punkte beseitigt sind, bleiben
deutliche Schwachpunkte. Soll die Karte dem schnellen Erkennen
bei einem Unfall diesen, so muessen die Daten unverschluesselt
vorliegen. Das ist jedoch ein Widersprcuh zum Datenschutz, da bei
Diebstahl zu schuetzende Daten leicht in unbefugte Haende geraten
koennen. Ausserdem wuerde ein Schutz durch die Eingabe eines
Passwortes in den Rechner beim Arzt praktisch verloren gehen, da
der Nichtfachmann nicht kontrollieren kann, ob die Daten von der
Karte nicht verbotenenweise kopiert werden. Als Fazit wird
derzeit somit - trotz aller Vorzuege - von der anwendung der
Chipkarte abgeraten, da derzeit die Nachteile (Datenschutz,
Eindeutigkeit der Zuordnung Karte <-> Mensch) die Vorteile (bei
Unfall etc schnelle Moeglichkeit sich ueber bestehende Krankheiten
zu informieren) ueberwiegen.

Sehr gut zu diesem Beitrag passte auch der Beitrag von Frau Dr.
Kaethe Friedrich, die das Thema unter einem philosophischen
Gesichtspunkt erleuchtete. Es muss ganz klar gesagt und auch
gelehrt werden, dass die IT sich nicht nur mit der Technik
auseinandersetzt. Die IT bestimmt zunehmend das Leben der
Individuen und greift somit in fast alle Lebensaspekte ein. Diese
Einwirkungen werden derzeit jedoch nicht ausreichend in der
Forschung beruecksichtigt.


Damit endete der erste Tag.

Am zweiten Tag wurden nun Handlungsoptionen vorgestellt. Der
Block C stand unter dem Motto: "Wir wissen nicht was Wahrheit
ist, aber wir programmieren sie". (K. Kornwachs).

Der Block begann mit einem Gespraech zwischen Gunhild Luetge und
Dr. Otto Ulrich. In Laufe dieses Gespraeches wurde der Eingriff
des immer weiter zunehmenden IT Einsatzes dargestellt. So hat
sich das Leben in den letzten zehn Jahren durch den Einsatz der
IT immer weiter geaendert, dadurch das die IT in immer mehr
Bereiche des Lebens eingreift. ALs Einfuehrung nicht schlecht.

Aufbauend auf dieses Gespraech stellte Herr Prof. Dr. Reinhard
Vossbein die Eigenverantwortung und Marktwirtschaft der als
Steuerungsimpulse der IT-Sicherheit dar. Zusammenfassend mit dem
letzten Beitrag, Herausforderung kuenftiger Probleme der IT-
sicherheit von Prof. Dr. Alexander Rossnagel laesst sich erkennen,
das der einzelne kaum Chancen hat, sich gegen Uebergriffe beim IT
Einsatz zu wehren. Das aber ueber Fachgremien und Wahlen durchaus
Chancen bestehen, auf die Industrie und Dienstleistungsanbieter
entsprechend Druck auszuueben das der IT Eisnatz nicht ueberhand
nimmt.

An diese letzen Vortraege schloss sich eine Diskussion an, die m.E.
bezeichnen fuer die Gedankengaenge vieler an der IT Sicherheit
beteiligter ist. Es wurde schlicht und ergreifend ueber zwei
Themen diskutiert:

- Sicherheit der einzelnen Rechner (wie schuetze ich meinen DOS PC;
  Was richten die boesen Viren an)

- Sinn und Unsinn von Chipkarten

Damit aber scheint bei vielen der Anwesenden der Sinn der Ver-
anstaltung nicht angekommen zu sein. Als Vertreter des CCC hatte
ich doch ein wenig was anderes erwartet. Als ich von Herrn Leiberich
und Herrn Ulrich am Abend des ersten Tages und nach der Veranstaltung
nach meiner Meinung gefragt wurde, habe ich das auch kundgetan.
Auf meine Aussage das ich die Tagung als gelungen im Sinne der Vortraege
zu den Themen "es geht nicht nur um Technik sondern um das Leben im
allgemeinen das Gefahr laeuft durch die IT erdrueckt zu werden"
wurde mir von beiden Herren erfreut gedankt. Die Tagung sei genau
in diese Richtung zu verstehen gewesen. Man bat mich, diese
Meinung am Ende der Tagung in der offenen Aussprache Kund zu tun.
Dies war auch in dem Sinne zu verstehen, das schon in den Pausen
die Gespraeche immer wieder auf die technische Schiene abglitten,
und sich somit an den Beduerfnissen des einzelnen weit vorbeibewegten.
(Anm. der Redaktion: Auch diese Leuten haben anscheinend Probleme, die
 Technik als Werkzeug zu sehen und nicht ins Zentrum zu stellen).
Denn zunaechst muss erfasst werden, was der einzelne benoetigt, bevor
ihm eine - zum Teil nutzlose - IT aufgezwungen wird. Dieser Meinung
wurde auch allgemein geteilt.

Leider hat sich jedoch diese Meinung noch nicht bis in alle Koepfe
fortgesetzt. Ich sehe es als schade an, das einige anscheinend
mit der Intention "hier werdn wir unser Sicherheitskonzept
erarbeiten" quasi unvorbereitet zu dieser Veranstaltung kamen.
Diese wurden verstaendlicherweise enttaeuscht. Eine solche Tagung
kann lediglich zu Gedanken anregen und fertige Loesungen
vorstellen, erarbeiten kann sie diese nicht.
Hinter dieser Aussage stehe ich, ebenso hinter der Aussage das die
Teilnehmer entsprechende Vorarbeiten leisten sollten, bevor sie zu
solchen Tagungen kommen, da alle Teilnehmer aus entsprechend arbeitenden
Kreisen kamen. Doch diese Meinung darf man anscheinend nicht oeffentlich
sagen, ich habe mir von einem der juengerern Teilnehmern (unter 30 Jahren,
hab den Namen nicht mehr im Kopf) den Vorwurf des Destruktiven und
Kontraproduktiven eingehandelt. Wer allerdings so redet, der kann in
meinen Augen kein Fachmann in diesem Gebiet sein, sondern ist hoechstens
Spezialist auf einem kleinen Gebiet der die Uebersicht ueber die gesamte
Thematik verloren hat.

Wie meistens lief auch einiges am Rande. So wurde doch die Bitte an
den CCC herangetragen, die Zerwuerfnisse mit Prof. Brunnstein (siehe
Chalisti 18; Editorial) zu bereinigen. Im Interesse der Zusammenarbeit
der wenigen Aktiven im Bereich der Technik-Kritik waere dies zu
begruessen. Herr Bunge vom Bundesrechnunghof in Frankfurt ist sehr an Infos
ueber Schwachstellen und an einer Zusammenarbeit interessiert. Weiter hat
der Rechnungshof die Moeglichkeit, unangemeldet Pruefungen der IT Sicherheit
durchzufuehren, diese Moeglichkeit hat das BSI nicht. Das BSI arbeitet nur
auf Anforderung. Herr Bunge war schon bei Boppard I einer der wenigen
Lichtblicke gewesen, weil dort die Risikoabschaetzung und die TFA nicht
nur leere Begriffe waren, sondern konkrete Richtlinien und Ueberpruefungen
zur Folge haben.
Desweiteren hat ein Mitarbeiter des BSI hat anscheinend ebenfalls die
Pressemitteilung des CCC's zum Michelangelo-Virus gelesen. Ueberhaupt
liesst das BSI ja recht viel, was im UseNet so los ist. Er hatte sich
wenigstens gewuenscht, dafuer "Terra am liebsen den Hals umzudrehen". Den
guten Mann (warum antwortet er eigentlich nicht ueber E-Mail ?) empfehlen
wir die Lektuere des SPIEGEL vom 26.10.1992. Nachdem nur wenige die Viren-
Panik kritisieren hat und der CCC fuer seine Meinung von diversen Seiten
angegriffen wurde, ist dieser Artikel eine spaete Genugtuung (damit soll
nicht bestimmte "Namensaenderungen" des Virus gerechtfertigt werden - es
geht hier um die Sache).

Zum Abschluss nochmal die Liste der Vortragenden:

Die Vortragenden:

Dr. Werner Obenhaus                 BakoeV, Leiter des Hauses
Dr. Otto Leiberich                  Leiter BSI
Dr. Otto Ulrich                     BSI
Dr. Manfred Modaschl                ISF Muenchen
Prof. Dr. Alfred Buellesbach        Debis
Prof. Dr. Claus Otto Koehler        DKFZ Heidelberg
Juergen Nielebock                   Gesellschaft f. auto. DV Muenster
Dr. Andreas Pfitzmann               Uni Hildesheim
Dr. Kaethe Friedrich                Humboldt Universitaet Berlin
Gunhild Luetge                      DIE ZEIT
Prof. Dr. Reinhard Vossbein         Gesamthochschule Essen
Prof. Dr. Alexander Rossnagel       Fachhochschule Darmstadt

Autor: Dirk Rode (diro@edison.north.de)

------------------------------------------------------------------------------