![[Foto: Prof. Dr. Winfried Hassemer bei der Eröffnungsrede des BSI-Kongress 2001]](27-1.jpg)
Bundesverfassungsrichter Prof. Dr. Winfried Hassemer sprach in seiner Eröffnungsrede von einer bedrohlichen Tendenz "bei der Risikoprävention jegliches Maß aufzugeben und der obrigkeitlichen Kontrolle vorbehaltlos zu trauen."
Erstmals stellten die Vertreter aus der Wirtschaft mit fast 50 Prozent die Mehrheit der Kongressteilnehmer. "Nur" noch 41 Prozent der Besucher gehörten der öffentlichen Verwaltung an, ein Zehntel der Anmeldungen kam aus der Wissenschaftswelt. Das zeigt nicht zuletzt, dass der Wandel des BSI von einer rein staatlichen Institution hin zu einem Vorreiter für die Sicherheit der Informationstechnik in den Unternehmen wahr- und angenommen wird.
Auf diese Entwicklung hin zu einem "Sicherheitsdienstleister mit großer Öffentlichkeitswirkung" ging auch Staatssekretär Claus-Henning Schapper in der Eröffnungsrede des Kongresses ein. Schapper war kurzfristig für Bundesinnenminister Otto Schily eingesprungen. Als weitere Aufgaben der "zukunftsorientierten Behörde" nannte er unter anderem die Herausforderungen des E-Government, die Mitarbeit am künftigen Netzwerk von Notfallteams (Computer Emergency Response Teams, CERTs), den Aufbau des CERT Bund sowie Analysen und Prognosen zu IT-Trends.
Von den Dienstleistungen des BSI sollen ausdrücklich auch internationale Partner und die Wirtschaft profitieren. Es wird zwar auch in Zukunft keine direkte Beratung von Unternehmen durch das BSI geben. Projekte wie das Grundschutzhandbuch, die Empfehlungen der Taskforce "Sicheres Internet" und die Zertifizierungsaktivitäten liefern aber wertvolle Hilfen bei der Bewältigung von Sicherheitsrisiken. Um die zusätzlichen Anforderungen erfüllen zu können, erwartet BSI-Präsident Dr. Dirk Henze für die nächsten drei Jahre einen Personalzuwachs von circa 10 Prozent.
Bundesverfassungsrichter Prof. Dr. Winfried Hassemer sprach in
seiner Eröffnungsrede von einer bedrohlichen Tendenz "bei
der Risikoprävention jegliches Maß aufzugeben und der
obrigkeitlichen Kontrolle vorbehaltlos zu trauen."
Im einleitenden Vortrag zeichnete Bundesverfassungsrichter Prof. Dr. Winfried Hassemer ein düsteres Bild der jetzigen und kommenden Informationsgesellschaft, für die er eine "allgemeine Verunsicherung" statt rationaler Reaktionen auf Risiken erwartet. Im Staat bündele sich gleichzeitig die Hoffnung vieler Menschen auf ein Umhegen des guten Lebens. Damit gehe der Wille einher, Sicherheit auch auf Kosten der Freiheit zu bevorzugen und dabei den Staat einzuladen. Mit diesem Wandel vom Freiheits- zum Sicherheitsdenken gehe der Siegeszug der Prävention einher. Die bedrohliche Tendenz ist, "bei der Risikoprävention jegliches Maß aufzugeben und der obrigkeitlichen Kontrolle vorbehaltlos zu trauen."
In weiten Teilen der Bevölkerung herrsche heute zudem eine gänzlich andere Stimmung als zu Zeiten des Volkszählungsurteils, das die informationelle Selbstbestimmung der Bürger zum schützenswerten Gut erklärt hat. Menschen verhielten sich heute oft freiwillig so, dass möglichst viele Unbekannte möglichst viel über sie wissen, beispielsweise durch Outing in Fernsehsendungen oder der arglosen Preisgabe von Daten als Verbraucher. Hassemer sieht hier eine "Erosion der Privatheit", die dazu führen könnte, dass der Datenschutz eines Tages gegenstandslos werden könnte.
Hassemers Vortrag "Informationssicherheit als Staatsaufgabe?" sowie die Eröffnungsrede stehen im KES-Internet-Archiv im Volltext zur Verfügung (www.kes.de/archiv/material/bsikongress2001.htm).
![[Foto: Gespräche am Rande des BSI-Kongresses]](27-3.jpg)
Die Vortragspausen waren wie immer beliebte Gelegenheit zur
Diskussion oder zum Besuch der begleitenden Ausstellung. ![[Foto: Gespräche an einem Stand der begleitenden Ausstellung]](27-4.jpg)
Einige Besucher vermissten angesichts der
großen Teilnehmerzahl ein wenig die familiärere
Atmosphäre früherer BSI-Kongresse.
Die Vorträge des Kongresses liefen in den sechs Sektionen Internet-Sicherheit, Elektronische Signaturen, E-Government/E-Commerce, Public Key Infrastructure, Gesellschaft und Internet sowie Verschlüsselung. Zu den einzelnen Sessions sei auf den Tagungsband verwiesen; eine Zusammenfassung in wenigen Sätzen würde den Inhalten kaum gerecht.
Der Tagungsband enthält alle angenommenen Beiträge sowie zwei Paper aus den Poster Sessions (über Side-Channel-Angriffe auf manipulationsgeschützte Hardware sowie Missbrauchsschutz von Frankiermaschinen durch Public-Key-Kryptographie); es fehlt auch nicht das "inoffizielle Schlusswort" des Kongresses, in dem Prof. Dr. Gerhard Banse vom Karlsruher Institut für Technikfolgenabschätzung und Systemanalyse über die Odyssee im Cyberspace als solche philosophiert hat.
![[Foto: dichtgedrängte Kongressteilnehmer bei einem Vortrag der Poster Session]](27-5.jpg)
Trotz vorgerückter Stunde platzten die Poster Sessions am
zweiten Kongresstag aus allen Nähten.
Die Titel der Beiträge hat die KES bereits in der letzten Ausgabe (KES 2001/2, S. 28) abgedruckt; das Inhaltsverzeichnis steht auch im Internet zur Verfügung (www.kes.de/archiv/material/bsikongress2001/tagungsband.htm). Der Tagungsband ist im SecuMedia-Verlag erschienen und kann von dort, über den KES-Online-Buchshop oder über den Buchhandel für 96 DM bezogen werden. Überdies druckt das BSI-Forum in dieser und den kommenden Ausgaben die drei mit dem Best Paper Award prämierten Beiträge (s. u.) vollständig ab.
Zum Auftakt des zweiten Kongresstages fand ein internationales Panel zum Thema CyberCrime – eine Bedrohung für den E-Commerce statt. Patrick Diemer, General Manager von VISA International, eröffnete die Runde mit beschwichtigenden Zahlen: Mit schätzungsweise 1,4 Millionen Mark entfielen bei VISA nur etwa vier Prozent des gesamten Kreditkartenmissbrauchs auf Internet-Transaktionen. Insgesamt habe man in Deutschland im Jahr 2000 rund 33 Millionen Verluste durch Kreditkartenmissbrauch registriert, das seien etwa 5 DM pro Karte und Jahr.
Dr. Riccardo Genghini vom Studio Notariale Genghini, Mailand unterstrich die Analogien zwischen der realen und virtuellen Welt in Bezug auf die Kriminalitätsbekämpfung. Falls man im Internet auf – vermeintliche oder reale – Gefahren mit der Beschneidung von Freiheiten und Rechten reagiere, so laufe man Gefahr, die gleichen Probleme zu ernten, die es in Ländern gibt, in denen die politische Lage allgemein eine solche repressive Situation erlaube: dort zeigt die Bevölkerung häufig Solidarität mit Kriminellen. Entsprechend vorsichtig sollte man auch mit Identifizierungspflichten umgehen: Jeder sollte im Netz eine Art Pass bei sich tragen, aber diesen nicht ständig vorzeigen und so quasi ein weithin lesbares Namensschild auf der Brust tragen müssen.
Auch Michael Niebel von der Europäischen Kommission unterstrich, dass die Datennetze keine neue Welt seien, die ein neues Rechtssystem erforderlich machen. Heikle Folgen könnte beispielsweise die Kriminalisierung von Urheberrechtsverstößen nach sich ziehen: Wer etwa Napster-User mit Verbrechern in einem Topf wirft, würde einer Identifizierung und Solidarisierung mit Kriminellen Vorschub leisten, wie sie Genghini beschrieben hat.
Vertrauensbildende Maßnahmen, Aufklärung und Anleitung zum Selbstschutz im Netz forderte Dr. Joachim Jacob, der Bundesbeauftragte für den Datenschutz: Jeder Bürger müsse auch sein eigener Datenschützer werden. Sichere und anonyme Zahlungsverfahren stärken Vertrauen, präventive Maßnahmen wie Polizeistreifen im Netz oder eine Impressumspflicht wären ebenfalls wünschenswert. Von einer Datensammlung auf Vorrat, damit im Falle eines Falles Beweismaterial zur Verfügung steht, hält Jacob indes überhaupt nichts: Es passe nicht zum einem vertrauensvollen Umgang, wenn 95 Prozent aller erhobenen Daten unnötig wären.
Kurt Haering, Geschäftsführer der Stiftung für die Sicherheit der Informationsinfrastruktur in der Schweiz, betonte die Notwendigkeit gemeinsamen internationalen Vorgehens und eine Konzentration auf tatsächliche Schwierigkeiten. Letztlich seien beispielsweise verantwortlich handelnde Hacker, die Sicherheitslücken aufdecken, die preisgünstigsten Polizisten, die man kriegen könne.
![[Foto: Kongressteilnehmer warten vor den Saalmikrofonen auf das Wort]](27-2.jpg)
Während der Diskussionsveranstaltungen gab es
regelmäßig etliche Wortmeldungen aus dem Plenum.
Aus dem Plenum meldete sich unter anderem Prof. Andreas Pfitzmann aus Dresden zu Wort. Er sieht nicht nur im CyberCrime eine Bedrohung des E-Commerce. Auch Gesetze und Aktivitäten zum Schutz des E-Commerce könnten eine Gefährdung darstellen, wenn sie durch IT-Unkundige gemacht würden: So habe die unselige Kryptodebatte vor einigen Jahren die Sicherheit im Internet deutlich zurückgeworfen. Und wenn in der Nachfolge des Urheberrechtsschutzes eine Richtlinie die Aufklärung von Sicherheitslücken mit Strafe belege, so könne das wohl kaum der Sicherheit dienen. Auf der anderen Seite würden Apple und Microsoft die Kriminalität im Netz fördern, "weil sie den Eindruck erwecken, man könne auf ihren Plattformen sicheren E-Commerce treiben." Provokativ schlug Pfitzmann vor, einen Warnhinweis auf PCs anzubringen: "Nicht geeignet für sichere Transaktionen".
Moderator Peter Kraaibeek forderte zum Abschluss der Diskussion, über die Interessen der Wirtschaft und des Staates nicht die Menschen zu vergessen, ohne die Staat und Wirtschaft letztlich rein gar nichts wären. Und Niebel konstatierte: Selbst wenn ein Bremseffekt durch CyberCrime nicht objektivierbar sei, so genüge doch die subjektive Empfindung einer solchen Bedrohung, um den E-Commerce zu stören – "Perception is Reality."
Auch die Frage nach "Sicherheit durch Open Source" stand in einer Podiumsdiskussion zur Debatte. Thomas Uhl vom Linux Verband e. V. vertrat die "Pro"-Position und betonte das Prinzip "Sicherheit durch Transparenz" und die Vorteile eines nachvollziehbaren "Software-Darwinismus", der einen Wettlauf um die beste oder sicherste Implementierung sowie eine Artenvielfalt verschiedener Systeme und Anwendungen ermögliche, die weniger anfällig gegenüber Computerschädlingen sei.
Gerold Hübner von Microsoft gab "Contra" und hielt dagegen, dass kaum ein Benutzer offengelegten Quellcode wirklich interpretieren oder überprüfen könne. Überdies wären Prüfungen auch möglich, wenn Anbieter nur bestimmten Kunden und Forschungseinrichtungen gegenüber ihren Source-Code offenlegen. Zudem seien Open-Source-Plattformen kaum von dritter Seite nach unabhängigen Kriterien wie ITSEC zertifizierbar.
Zum Abschluss des Kongresses zeichnete BSI-Präsident Dr. Dirk Henze die drei besten Beiträge mit einem Best Paper Award aus. Die Auswahl der Preisträger erfolgte durch den Programmbeirat in einem mehrstufigen Verfahren. Prämiert wurden Beiträge, die allgemeinverständlich geschrieben und innovativ sowie wissenschaftlich oder praxisorientiert hochwertig sind. Die Preisträger durften sich über gesponserte Preise sowie Urkunden und BSI-Medaillen freuen.
![[Foto der Preisträger]](27-6.jpg)
Die Gewinner der Best Paper Awards bei der Preisverleihung (v.
l. n. r.): Dr. Dirk Henze (BSI), Niko Schweitzer und Prof. Dr.
Christoph Ruland (Uni Siegen), Dr. Volker Hammer (Secorvo Security
Consulting), Hanno Langweg und Dr. Adrian Spalka (Uni
Bonn).
Der erste Preis ging an Prof. Dr. Christoph Ruland und Niko Schweitzer vom Institut für Nachrichtenübermittlung der Universität Siegen. Mit ihrem Beitrag "Digitale Signatur von Bitströmen" sei es in vorbildlicher Weise gelungen, ein aktuelles Sicherheitsproblem der Datenübertragungstechnik sowie dessen Lösung allgemein verständlich zu beschreiben, ohne es an wissenschaftlicher Darstellungskraft fehlen zu lassen. Das beschriebene Verfahren ermögliche, Datenströme online zu signieren, ohne zusätzliche Bandbreite zu beanspruchen. Dieser Beitrag ist auf den folgenden Seiten vollständig abgedruckt.
Prof. Dr. Armin B. Cremers, Dr. Adrian Spalka und Hanno Langweg vom Institut für Informatik III der Rheinischen Friedrich-Wilhelm-Universität Bonn errangen den zweiten Preis für ihr Paper "Vermeidung und Abwehr von Angriffen Trojanischer Pferde auf digitale Signaturen". Die Forscher hätten den erreichten Stand der Technik kritisch analysiert sowie in einer gelungenen Mischung aus Theorie und Praxis betrachtet. In konstruktiver Weise würden Lösungsansätze diskutiert, nachdem eine beispielhafte Kompromittierung eines konkreten Signierproduktes vorgeführt wurde. Das von den Autoren entwickelte Trojan-Resistant-Secure-Signing-Verfahren stelle einen erfolgversprechenden Ansatz zur Absicherung der technischen Signatur-Infrastrukturen dar.
Die "Aspekte der Cross-Zertifizierung" von Dr. Volker Hammer und Dr. Holger Petersen von der Secorvo Security Consulting, Karlsruhe wurden mit dem dritten Preis belohnt. Begründung: Mit dem Paper wiesen die Autoren auf ein bislang weitgehend vernachlässigtes Problemfeld hin und erörterten erste Lösungsansätze. Viele Infrastrukturen sähen sich derzeit selbst als einzige PKI auf der Welt an; die Kooperation zwischen PKIs sei jedoch für eine sichere Informations- und Kommunikationsinfrastruktur essenziell, wodurch der Aspekt der Cross-Zertifizierung an Bedeutung gewinne.
In seinen Schlussworten ging zuletzt auch BSI-Präsident Henze auf die These "ohne Vertrauen kein Fortschritt" ein und bedankte sich für einen gelungenen Kongress. Die Ergebnisse der Teilnehmerbefragung unterstreichen die positiven Eindrücke: Fast 90 Prozent wollen zu künftigen BSI-Kongressen wiederkommen. Die nächste Gelegenheit ergibt sich beim 8. Deutschen IT-Sicherheitskongress vom 13. bis 15. Mai 2003 wiederum in Bonn.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2001, Seite 27
