![[Foto: Claus-Henning Schapper]](schapper.jpg)
Anrede,
der 7. Deutsche IT-Sicherheitskongress steht in diesem Jahr unter dem Motto "2001 - Odyssee im Cyberspace?" - Sicherheit im Internet. Es wird in den kommenden 3 Tagen für die Teilnehmer die Möglichkeit bestehen, sich umfassend über alle Fragen zu informieren, die mit dem Thema IT-Sicherheit im Zusammenhang stehen.
Dieser Kongress ist für mich eine gute Gelegenheit, sich vertieft dem Bundesamt für Sicherheit in der Informationstechnik (BSI) als "der" Behörde für IT-Sicherheit zu widmen. Dies nicht nur deshalb, weil das BSI den Deutschen IT-Sicherheits-Kongress schon seit vielen Jahren erfolgreich ausrichtet und durchführt, sondern auch, weil das BSI in diesen Tagen auf eine 10-jährige erfolgreiche Arbeit in Sachen IT-Sicherheit zurückblicken kann. Anhand der Aufgabendarstellung des BSI möchte ich Ihnen außerdem skizzieren, welche Ziele die Bundesregierung auf dem Gebiet der IT-Sicherheit verfolgt.
Doch kommen wir zunächst auf den Rückblick 10 Jahre BSI. Bereits in den 80er Jahren wuchs in der Bundesregierung die Erkenntnis, dass mit der Entwicklung der Informations- und Kommunikationstechnik auch der Aspekt der IT-Sicherheit nicht vernachlässigt werden darf. Deshalb wurde 1986 der damaligen "Zentralstelle für das Chiffrierwesen" zusätzlich der Aufgabenbereich "Computersicherheit" übertragen, soweit es um die Bearbeitung von Verschlusssachen ging. Nach verschiedenen Zwischenepisoden wurde das BSI als Bundesoberbehörde mit dem Inkrafttreten des BSI-Errichtungsgesetzes am 1. Januar 1991 gegründet. Im Laufe der Jahre haben die Aufgaben des BSI einen gravierenden Wandel erfahren. Zunächst lag der Aufgabenschwerpunkt eindeutig darin, die Bundesverwaltung zur Erfüllung ihrer Aufgaben mit starken kryptografischen Verfahren zu unterstützen, die den Geheimschutzbestimmungen entsprachen. Ein weiterer Schwerpunkt war darin zu sehen, die Strafverfolgungs- und Sicherheitsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben in Fragen der IT-Sicherheit zu betreuen. Ich möchte unterstreichen: diese Aufgaben sind mir wichtig und bestehen nach wie vor. Aber die schnelle Entwicklung der Informations- und Kommunikationstechnik erforderte vom BSI als zuständiger Fachbehörde des Bundes für die IT-Sicherheit ein hohes Maß an Flexibilität und projektorientiertem Handeln. Im wachsendem Umfang wurde die BSI- Beratung nachgefragt und immer mehr auch von Wirtschaftunternehmen und Privatleuten gesucht. Allgemeine Beratung über die Home-Page des BSI im Internet und die IT-Sicherheit mitbestimmende Werke, wie das Grundschutzhandbuch, erfreuen sich daher auch einer regen Nachfrage. Die Jahr 2000 Problematik hat noch einmal zu einer Sensibilisierung nicht nur von Behörden und Unternehmen für den Bedarf an kompetenter Sicherheitsberatung geführt. Zunehmend zeigt sich ein großes Interesse an den Dienstleistungsangeboten dieser jungen, modernen und zukunftsorientierten Behörde . Außerdem verlagerten sich die Aufgaben immer mehr dahin, den Aufbau des eGovernments als Gegenstück zum eCommerce mit angemessenen IT-Sicherheitslösungen zu unterstützen. Mit der Entwicklung des Internet ergab sich nach und nach ein weiterer neuer Aufgabenschwerpunkt. Unterm Strich können wir sagen, dass das BSI sich immer up to date gehalten hat und seine technische Kompetenz sich sehen lassen kann. An dieser Stelle habe ich allen Mitarbeitern des BSI, die teilweise schon seit seiner Gründung dabei sind, für ihr erfolgreiches Wirken für die IT-Sicherheit zu danken.
Die Entwicklung des BSI hat mit seiner Umorganisation und der Zusammenfassung der Liegenschaften in der Godesberger Allee und in Mehlem ihren vorläufigen Abschluss gefunden. Im schnelllebigen Computerzeitalter mit seinen fast halbjährlichen Innovationszyklen gilt aber ganz besonders das Motto: "Wer rastet, der rostet". Deshalb bleibt das BSI auf seinem Weg zu einem modernen Dienstleister in Sachen Sicherheit in der Informations- und Kommunikationstechnik nicht stehen, sondern entwickelt sich fort. Die neuen zukunftsträchtigen Aufgaben des BSI lassen sich wie folgt umreißen:
Neben diesen neuen Aufgaben werden die bisherigen, wichtigen Daueraufgaben des BSI, wie z.B. die Betreuung der Strafverfolgungs- und Sicherheitsbehörden, die Zertifizierung und die Kryptografie, in gewohnter Weise weitergeführt.
Meine Damen und Herren, lassen Sie mich ein vorläufiges Fazit ziehen. Das BSI ist im Vergleich zu sonstigen europäischen Einrichtungen einzigartig, da hier - wie soeben aufgezeigt - die verschiedensten Aspekte der IT-Sicherheit in einer Behörde zusammengefasst werden. Es ist als junge innovative Behörde in einem zukunftsträchtigen Aufgabenfeld tätig und erhält jede Unterstützung bei seinem weiteren Aufbau durch das Bundesministerium des Innern. Wir haben das BSI nicht nur personell, sondern auch mit zusätzlichen Finanzmitteln ausgestattet, damit es seine neuen Aufgaben umfassend wahrnehmen kann. Wir sind ein wenig stolz darauf, dass wir dies in der bekannt schwierigen Haushaltssituation möglich machen konnten.
Nachdem ich Ihnen die neuen Aufgaben des BSI zunächst einmal nur in einem Überblick dargelegt habe, möchte ich im folgenden näher auf einzelne zukunftsträchtige Aufgabenbereiche des BSI eingehen, um Ihnen die Gelegenheit zugeben, das neue BSI besser kennen zu lernen.
Als zukunftsorientierte Behörde ist das BSI im besonderem Maße darauf angewiesen, IT-Entwicklungen und Trends in der Informations- und Kommunikationstechnik zu erkennen.
In die Abschätzung von IT-Entwicklungen und technischen Trends müssen rechtliche, ökonomische und soziale Aspekte mit einfließen. Die Entwicklung des Internets führt gar zu globalen Zusammenhängen unseres Themas IT-Sicherheit. Bei der Entwicklung von Produkten sind daher auch unterschiedliche "Sicherheitskulturen" und "Befindlichkeiten" der verschiedenen Länder zu berücksichtigen. Z.B. kann Hochsicherheitstechnologie im Bereich der NATO nur eingebracht und vermarktet werden, wenn auf die Sicherheitsaspekte der NATO Rücksicht genommen wird. Deshalb kann das BSI sich nicht mehr nur auf seinen maßgeblichen Auftrag - Sicherheitsdienstleister für die Bundesverwaltung zu sein - beschränken. Das Dienstleistungsangebot muss sich auch an internationale Partner, die Wirtschaft und jeden IT-Anwender richten.
Vor dem Hintergrund der rasanten technischen Entwicklung sind Orientierungs- und Entscheidungshilfen für alle Partner des BSI von Nöten, die so zuverlässig wie möglich die weitere technologische Entwicklung im Bereich der Informations- und Kommunikationstechnik aufzeigen. Wir müssen, um sachgerecht auf diesem Gebiet handeln zu können, einen Blick in die Zukunft werfen. Mit der Studie "Kommunikations- und Informationstechnik 2010: Trends in Technologie und Markt", hat das BSI in enger Kooperation mit Wissenschaft und Industrie, hierzu einen beachtlichen Beitrag geleistet. Die Darlegung von Technologieprognosen soll im übrigen auch auf diesem Kongress ein Schwerpunktthema sein. Nehmen wir als weiteres Beispiel das IT-Grundschutzhandbuch, dass sich längst zum Standardwerk für IT-Sicherheit entwickelt hat und auch im Ausland Anerkennung findet.
Für eine zukunftsträchtige Behörde genügt es nicht, darauf zu vertrauen, dass seine Arbeit ohne weitere Anstrengungen in der Öffentlichkeit angemessen wahrgenommen wird. Das Bild eines modernen IT-Sicherheitsdienstleisters will hart erarbeitet sein. Deshalb baut das BSI seine Öffentlichkeitsarbeit und seinen Service aus. Dies zeigt sich in der deutlich verbesserten Messepräsentation auf wichtigen Messen mit Schwerpunkt IT-Technik, wie z.B. der Cebit oder der SYSTEMS. Von dem gelungenen Messestand des BSI konnte ich mir jüngst auf der Cebit selbst einen Eindruck verschaffen. Zur Abrundung der Öffentlichkeitsarbeit gehört außerdem der bewährte Internetauftritt unter "www.bsi.bund.de". Ferner ist im Rahmen einer IT-Sicherheitskampagne an die Einrichtung von Hot- und/oder Helplines gedacht, um ein noch engeres Verhältnis zu allen "Kunden" zu entwickeln.
Meine Damen und Herren,
kommen wir nun zu einer der neuen Hauptaufgaben des BSI. Die jüngsten Virenvorfälle -Naked Wife, Kurnikova und Matcher.A - zeigen wieder einmal sehr deutlich, dass es die Sicherheitsinfrastrukturen in Verwaltung, Wirtschaft ermöglichen müssen, Erkenntnisse über Risiken und Schwachstellen der Informations- und Kommunikationstechnik sowie Informationen über erforderliche Sicherheitsmaßnahmen zeitnah verfügbar zu machen. Vor diesem Hintergrund muss aus unserer Sicht, die Zusammenarbeit der sogen. Computer-Notfall-Teams (Computer Emergency Response Team/CERT) verbessert und eine CERT-Infrastruktur in Deutschland auf- und ausgebaut werden. Eine schnelle Reaktionsfähigkeit ist von zentraler Bedeutung. Deshalb haben wir im BSI ein Computer-Notfall-Zentrum eingerichtet, das seinen - zunächst provisorischen - Betrieb im Sommer des vergangenen Jahres aufgenommen hat. Qualifizierte Mitarbeiter aus den Bereichen Internetsicherheit und Virenprophylaxe haben hier einen Rund-um-die-Uhr Bereitschaftsdienst und können bei IT-Sicherheitsvorfällen von nationaler Bedeutung durch das Lagezentrum des Innenministeriums innerhalb kurzer Zeit aktiviert werden. Im IT-Krisenfall werden die Experten schnell Gegenmaßnahmen und sinnvolle Reaktionen entwickeln können. Von dieser schnellen Reaktion werden nicht nur die Bundesregierung, sondern auch die Wirtschaft und der Anwender profitieren. Gerade in derartigen Krisen-Situationen wird sich die vertrauensvolle Zusammenarbeit der verschiedenen nationalen Computer-Notfall-Teams in Wirtschaft, Forschung und Verwaltung bewähren, so dass mittelbar auch Wissenschaft und Industrie daraus Nutzen ziehen können.
Dieses Computer-Notfall-Zentrum beim BSI bauen wir gegenwärtig zu einem CERT-Bund für die Bundesverwaltung aus. Das CERT-Bund soll nicht nur im Notfall schnelle Hilfe leisten, sondern auch mit der Analyse von Schwachstellen und möglichen Angriffsmethoden wichtige präventive Aufgaben übernehmen.
Ergänzend sei angemerkt, dass das CERT des deutschen Forschungsnetzes (DFN) schon länger erfolgreich länderübergreifend, mit Unterstützung durch die Bundesregierung, für Zwecke der Wissenschaft und Forschung tätig ist. Auch im Bereich der deutschen Wirtschaft gibt es Initiativen, die Zusammenarbeit einzelner CERT's in den Unternehmen zu verbessern und ggf. in einem Dach-CERT zu koordinieren. Unser Ziel ist es, ein Netzwerk deutscher CERT's aufzubauen, in dem Wirtschaft, Wissenschaft und öffentliche Verwaltung koordiniert zusammenarbeiten. Dies wäre ein wichtiger Eckpfeiler für den Ausbau einer IT-Sicherheitsinfrastruktur in Deutschland.
Ich hatte eingangs erwähnt, dass das BSI sich als eine seiner neuen Aufgaben an innovativen IT-Projekten des Bundesministeriums des Innern mit ressortübergreifender Bedeutung beteiligt.
Eines dieser Projekte des Bundesministeriums des Innern ist die Entwicklung des eGovernment als Pendant zum eCommerce. Die eGovernment-Initiative wurde unter dem Titel "Bund Online 2005" gestartet. Damit verpflichtete sich der Bund, bis Ende 2005 alle internetfähigen Dienstleistungen der Bundesverwaltung auch online anzubieten. Wir streben damit eine nachhaltige Verbesserung der Service-Qualität der öffentlichen Verwaltung und des Zugangs zu ihren Dienstleistungen an. Es handelt sich hierbei um ein sehr ehrgeiziges Programm, denn es gilt gewachsene - zum Teil seit vielen Jahren betriebene IT-Fachanwendungen - so mit Schnittstellen zu Bürgern und Wirtschaft zu versehen, dass Kommunikation und Transaktionen ohne Brüche möglich werden.
Das BSI kommt hier ins Spiel, wenn es darum geht, die neuen Dienstleistungen der öffentlichen Verwaltung im Internet zu härten und sicher zu machen. Denn eines ist klar: die neuen elektronischen Dienstleistungen werden von den Bürgerinnen und Bürgern nur dann akzeptiert, wenn sie vertrauenswürdig und sicher sind. Das BSI hat deshalb sein Dienstleistungsspektrum erweitert, um die Bundesverwaltung in ihrem Bemühen um sicheres eGovernment durch Sicherheitsberatung und -revision zu unterstützen. Als zentralen Ansatz verfolgt das BSI die Herausgabe eines eGovernment-Handbuchs. Dieses Handbuch enthält bedarfsorientierte Informationen, Musterlösungen und Sicherheitsansätze. Seine Adressaten sind die eGovernment-Beauftragten der Behörden. Abgerundet wird dieses Angebot durch Workshops zum Erfahrungsaustausch, um gemeinsame Lösungen für technische Probleme im komplexen Umfeld des eGovernments zu finden.
Das Aufgabenspektrum des BSI beim eGovernment zeigt aber auch sehr deutlich, dass die Sicherheit keineswegs isoliert gesehen werden darf. Aufgabe des BSI ist es nicht, Sicherheit für eGovernment zu schaffen, sondern sicheres eGovernment. Das BSI ist deshalb in diesem wichtigen politischen Vorhaben der Bundesregierung von Anfang an dabei und spielt eine zentrale Rolle.
Das BSI unterstützt außerdem im Rahmen von eGovernment das Pilotprojekt des Bundes SPHINX. Hier testet die Bundesverwaltung zusammen mit vielen Partnern aus der Wirtschaft, z.B. Deutscher Telekom und Deutscher Bank, sowie den Ländern die Einführung einer digitalen Signatur und Verschlüsselung für E-Mails. Diese Tests waren sehr erfolgreich, und der Bund beginnt jetzt, auf Sphinx basierende Produkte für die Unterzeichnung und Verschlüsselung von E-Mails in der Verwaltung einzuführen. Damit Sphinx Breitenwirkung entfalten kann, wird das BSI jeden Interessenten gerne über den Sphinx-Standard informieren und hinsichtlich der Anwendungsmöglichkeiten beraten.
Auch bei den Überlegungen zum Schutz kritischer Infrastrukturen vor Angriffen im Sinne eines "Cyber Wars" ist die Kompetenz des BSI gefragt. Mit "kritischen Infrastrukturen" sind besonders sensible Bereiche in Wirtschaft und Verwaltung gemeint, die im erheblichen Maße von einem korrekten Funktionieren der Informations- und Kommunikationstechnik abhängen. Als Beispiele seien Telekommunikationsunternehmen und die Energieversorger genannt. Das Thema hat in der Öffentlichkeit deshalb eine sehr große Aufmerksamkeit erfahren, weil die Amerikaner im Rahmen ihrer Aktivitäten zur Bekämpfung des "Cyber War" auch die kritischen Infrastrukturen ihres Landes mit einem erheblichen Mittelaufwand schützen wollen. Das Bundesministerium des Innern fördert den Schutz der kritischen Infrastrukturen gegen IT-gestützte Angriffe durch die im Frühjahr 2000 eingesetzte Task Force "Sicheres Internet". Dabei wird die Task Force maßgeblich durch das BSI unterstützt, das in diesem Rahmen präventive Aufgaben wahrnehmen soll. Zu diesen präventiven Aufgaben zählt z.B. der Einsatz eines "Tiger Teams" zur Durchführung von Penetrationsversuchen, die Identifizierung von kritischen Infrastrukturen sowie die Durchführung von Sicherheitsberatungen zunächst in der Bundesverwaltung.
An dieser Stelle soll nicht unerwähnt bleiben, dass das BSI nicht nur das BMI bei seinen Projekten unterstützt, sondern durchaus auch eigene Entwicklungsvorhaben, z.B. auf dem Gebiet der Kryptografie, durchführt. Hier konzentriert das BSI seine Entwicklungsanstrengungen auf dem Sektor der Hochsicherheitstechnik. Die speziellen Sicherheitsanforderungen der Bundesverwaltung machen teilweise einen kompromisslosen, besonderen Aufwand, der durch Entwicklungen der Wirtschaft nicht aufgefangen werden kann, erforderlich. Als Beispiele möchte ich nennen: das Projekt Kryptochip PLUTO, der in diesen Tagen fertiggestellt wird und primär der Versorgung des deutschen Geheimschutzbereichs dient, das Projekt Sichere Netzanbindungen (SINA), das in einer Verbundlösung jeden Informationsaustausch, sei es per Fax, E-Mail oder Telephonie, hochgradig absichern soll, und das Projekt Elcrodat 6-2. Hierbei handelt es sich um ein Schlüsselgerät, welches auch die Übertragung von Verschlusssachen erlaubt.
Als zusätzliche Aufgabe konzipiert und koordiniert das BSI außerdem Aufbau, Betrieb und technische Weiterentwicklung von IT-Infrastrukturen in der Bundesverwaltung. An erster Stelle ist hier die Weiterentwicklung des Informationsverbundes Bonn-Berlin (IVBB) zu nennen. Wie Sie wissen, gewährleistet der IVBB die Kommunikation der Verfassungsorgane und die Verfügbarkeit von Informationen zwischen Bonn und Berlin. Zugleich bietet er den Schlüssel zu einer umfassenden Verwaltungsmodernisierung. Das BSI unterstützt diesen Prozess durch Sicherheitsrevisionen und verbessert damit die Verfügbarkeit der Dienste im IVBB. Als weiterer Schwerpunkt konnten zukunftsweisende Techniken, wie das mobile Arbeiten, die Integration von Sprache und Daten und die Einführung modernster Übertragungstechnik unter Berücksichtigung der notwendigen Sicherheitsmaßnahmen projektiert und umgesetzt werden.
Meine Damen und Herren,
nicht zuletzt ist es Aufgabe des BSI, in Zusammenarbeit mit den Strafverfolgungs- und Sicherheitsbehörden "Sicherheit" zu produzieren. Sicherheit im Internet ist für uns mehr als nur die technische Sicherheit und die Vertrauenswürdigkeit von Online-Geschäften. Wer als Bürger immer mehr Alltagsgeschäfte über das Internet erledigt oder das Netz zur Freizeitgestaltung benutzt, der erwartet vom Staat, im Netz nicht zum Opfer von Straftaten zu werden.
Leider ist das Internet mittlerweile zur Plattform von Straftätern und Straftaten aller Art geworden. Sie reichen vom Kreditkartenbetrug über systematische Urheberrechtsverletzungen bis zum Anbieten abscheulichster kinderpornografischer Darstellungen. Die fehlende Sicherheit von PCs öffnet Straftaten wie Computersabotage, Datenklau, Hacking, Angriffe gegen die Verfügbarkeit von Netzdienstleistern usw. Tür und Tor.
Die Polizeien des Bundes und der Länder haben sich hier auf ganz neue Formen der Kriminalitätsausübung einstellen müssen. Und sie haben natürlich auch neue Formen der Ermittlung entwickeln und erproben müssen. Das BSI leistet hierzu seinen Beitrag, wenn spezielles technisches Wissen gefragt ist, dass in dieser Form in keiner der genannten Fachbehörden vorhanden ist. Weiter ist zur Unterstützung der Strafverfolgungs- und Sicherheitsbehörden beabsichtigt, diesen ein Internet-Ermittlungstool (INTERMIT) zur Verfügung zu stellen. Bei INTERMIT handelt es sich im Kern um eine sog. Meta-Suchmaschine, die auf einer Programmentwicklung mit Open-Source-Elementen basiert und seine Ergebnisse in einer UNIX-Datenbank ablegt. Wir geben damit den genannten Behörden ein Ermittlungswerkzeug an die Hand, mit dem sie weitgehend automatisiert und systematisch das Internet nach verbotenen Inhalten, wie z. B. extremistischen oder kinderpornografischen Seiten, durchsuchen können. Die erzielten Ermittlungsergebnisse können dann zur Bewertung und für künftige vergleichende Untersuchungen in einer Datenbank abgelegt werden. Die Beweissicherung erfolgt nach gesonderten Vorgaben der jeweiligen Bedarfsträger. Darüber hinaus ist INTERMiT generell geeignet, alle Institutionen zu unterstützen, die ebenfalls eine systematische Recherche im Internet durchführen müssen. Deshalb beteiligt sich auch die Zentralstelle der Länder für den Jugendschutz (jugendschutz.net) aus Mainz an dem Projekt des BSI.
Meine Damen und Herren,
ich möchte zum Schluss meiner Ausführungen kommen. Ich hoffe, dass ich deutlich machen konnte, dass sich das BSI zu einem modernen IT-Sicherheitsdienstleister entwickelt hat, der mit seinen Servicedienstleistungen der Verwaltung, Wirtschaft und auch dem normalen IT-Anwender im Rahmen seiner Möglichkeiten und in Anbetracht seiner vielfältigen Aufgaben zur Verfügung steht.
Der vom BSI ausgerichtete 7. Deutsche IT-Sicherheitskongress bietet Ihnen jetzt eine Plattform zum Erfahrungs- und Meinungsaustausch. Sie haben aber auch die Möglichkeit, zur Bewältigung von Sicherheitsproblemen bei elektronischen, internetfähigen Dienstleistungen effiziente Unterstützung zu erlangen. Der Kongress reiht sich damit in den Kreis der vielfältigen Aktivitäten der Bundesregierung ein, die Sicherheit und damit das Vertrauen der Bürger in die elektronischen Verwaltungsdienstleistungen zu verbessern bzw. zu stärken. Wir haben klare Prioritäten gesetzt. Denn die Entwicklung sicherer internetfähiger Dienstleistungen in Deutschland ist ein wichtiger Beitrag zur Sicherung des Standortes Deutschland. Die Bundesverwaltung geht hier mit gutem Beispiel voran.
Ich wünsche diesem Kongress ein gutes Gelingen und viel Erfolg.
Ich danke Ihnen für Ihre Aufmerksamkeit.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik All Rights Reserved.