[ Kongresslogo: IT-Sicherheit im verteilten Chaos – 8. Dt. IT-Sicherheitskongress – 13.-15. Mai 2003 ] Stimmen vom 8. BSI-Kongress

Ordnungsmerkmale

erschienen in: <kes> 2003#3, Seite 32

Rubrik: BSI-Kongress 2003

Schlagwort: Nachlese

Zusammenfassung: Mitte Mai 2003 fand der 8. Deutsche IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik (BSI) statt. Über 30 Vorträge standen unter dem Motto IT-Sicherheit im verteilten Chaos – rund 550 Teilnehmer waren dazu nach Bonn gereist.

In der heutigen Informationstechnik vermittelt "das Zusammenspiel aus unterschiedlicher Hard- und Software, permanenten Veränderungen und verwirrender Anzahl von Technologien für einen Laien schnell einen chaotischen Eindruck", konstatierte BSI-Präsident Dr. Udo Helmbrecht in seiner Eröffnungsrede zum achten BSI-Kongress. Hieraus leitete sich auch das Kongressmotto IT-Sicherheit im verteilten Chaos ab: "Damit soll der Fokus auf die erschlagende Vielfalt in der Informationstechnik gesetzt werden, die schließlich auch Experten in besonderer Weise herausfordert." Zwar lichte sich das scheinbare Durcheinander bei näherer Betrachtung zu wohldurchdachten und geordneten Teilbereichen, eine "umfassende und zugleich robuste IT-Sicherheit ist jedoch nicht durch isolierte Lösungen zu erreichen", so Helmbrecht weiter.

[Foto: Dr. Udo Helmbrecht bei der Eröffnungsrede]
Dr. Udo Helmbrecht, Präsident des BSI: "Heute sind wir an einem Punkt angelangt, an dem die Informationstechnik von niemandem mehr in allen Details erfasst werden kann." Umso wichtiger werde die Rolle von Transparenz und fundierten Informationen zur Lageeinschätzung.

Um den Überblick im (vermeintlichen) Chaos zu bewahren sind zudem zügig gelieferte Erkenntnisse zu aktuellen Entwicklungen wichtig. Hier zeige sich ein besonderes Dilemma: Informationen müssen schnell, dürfen aber nicht vorschnell sein und sich im Nachhinein als falsch erweisen. Als problematisches Beispiel nannte Helmbrecht die Diskussion um den Sicherheits-Chip der Trusted Computing Group (TCG, vormals TCPA). Im Übrigen ging der BSI-Präsident unter anderem auf die Bedeutung der Transparenz von Leistungsfähigkeit und Zuverlässigkeit bei IT-Produkten ein; hierzu bieten sich Zertifizierungen nach internationalen Kriterien oder nach dem IT-Grundschutzhandbuch an.

----------Anfang Textkasten----------

Präsidentschaftswechsel feierlich vollzogen

Bundesinnenminister Otto Schily hat im Vorfeld des BSI-Kongresses am 12. Mai 2003 Dr. Udo Helmbrecht im Rahmen eine Feierstunde nun auch "offiziell" in das Amt des BSI-Präsidenten eingeführt; die Bestellung war bereits Anfang März erfolgt (vgl. <kes> 2003#2, S. 35). Dr. Helmbrecht trat die Nachfolge von Dr. Dirk Henze an, der Ende November letzten Jahres aus dem Amt schied. In seiner Rede würdigte Schily die Leistungen von Dr. Henze: Das BSI habe sich unter seiner Führung zum zentralen IT-Sicherheitsdienstleister für die Bundesregierung entwickelt. Ferner hob der Minister die ständig steigende Bedeutung der IT-Sicherheit im Informationszeitalter hervor. Schily dankte den Mitarbeitern des BSI für ihre engagierte Arbeit seit der Gründung des BSI im Jahr 1991 und wünschte dem neuen Präsidenten für seine Amtszeit viel Erfolg.

[Foto: Dr. Udo Helmbrecht und Dr. Dirk Henze im Gespräch]
Im Rahmen einer Feierstunde wurden die Leistungen des "alten" BSI-Präsidenten Dr. Dirk Henze (im Bild rechts) gewürdigt und der neue Präsident Dr. Udo Helmbrecht (im Bild links) offiziell ins Amt eingeführt.

----------Ende Textkasten----------

Auch Staatssekretär Dr. Göttrik Wewer (BMI) betonte während der Kongresseröffnung die Bedeutung von Transparenz, um das notwendige Vertrauen in Technik und Dienstleistungen zu schaffen. Gerade am Beispiel des selbstständig gewachsenen, scheinbar undurchschaubaren Internets werde deutlich, dass "Chaos und Sicherheit keine Gegensätze sein müssen", wenn das dahinter steckende System offengelegt wird: "Der Weg eines Datenpakets ist nicht vorgeschrieben und auch nicht vorhersehbar; was zählt ist einzig und allein die vollständige und richtige Übertragung aller Daten von der Quelle zum Ziel. Gerade diese scheinbare Unordnung ist gewollt und wurde von den Entwicklern des Internet zur Erhöhung der Sicherheit und Zuverlässigkeit eingesetzt. Wichtig ist in diesem Zusammenhang jedoch, dass diese Zuverlässigkeit und Sicherheit transparent gemacht wird.", erläuterte Wewer.

Wewer unterstrich, dass die Bundesregierung Maßnahmen zur Steigerung der Sicherheit bereits umgesetzt habe und auch weiter ausbauen wolle. Dabei gehe es beispielsweise um sichere Technik mit einer Abkehr von Monokulturen und mit der Förderung von Open-Source-Software. Zudem seien schon mehrere Punkte für eine umfassende Sicherheitsinfrastruktur initiiert, unter anderem mit dem Ziel einer flächendeckenden CERT-Landschaft und der Entwicklung eines Hochsicherheitskompendiums als Ergänzung zum IT-Grundschutzhandbuch. Nicht zuletzt bringe die Regierung IT-Sicherheit auch ins öffentliche Bewusstsein.

In weiteren Eröffnungsvorträgen forderte Willi Berchtold (BITKOM) vor allem die Stärkung des Schutzes von geistigem Eigentum und die Möglichkeit der eindeutigen Identifizierung von Geschäftspartnern bei gleichzeitiger Wahrung der Privatsphäre. Und Jürgen Herrmann (Veba Oil) empfahl eindrücklich einen Paradigmenwechsel und die Abkehr vom technikzentrierten Sicherheitsdenken: Denn die Unfallforschung zeige (wie auch Studien zur IT-Sicherheit), dass die meisten Vorfälle auf Verhaltens- und Organisationsfehler zurückzuführen sind, nicht auf mangelhafte Technik. Unternehmen dürften daher nicht länger als Maschinerie angesehen werden, in der Menschen nur Bediener darstellen. Vielmehr müsse man Sicherheitsmanagementsysteme im Konsens aufbauen; der Mensch wird dann zum Entscheider, das Unternehmen zu einem Organismus.

Alle Eröffnungsvorträge sind über die Materialsammlung zum BSI-Kongress auf <kes> online frei verfügbar (www.kes.info/archiv/material/bsikongress2003/). Dort liegt auch unsere Vorberichterstattung mit dem Vortragsprogramm bereit. Die übrigen rund 30 Beiträge des BSI-Kongresses sind in einem Tagungsband im SecuMedia-Verlag erschienen (s. u.).

[Foto: Blick in die begleitende Ausstellung während einer Kongresspause]
Wie schon in den Vorjahren nutzten die Kongressteilnehmer die ausgiebigen Vortragspausen zum Fachgespräch untereinander und an den Ständen der begleitenden Ausstellung.

Podiumsdiskussion Digitale Signatur

Über die Zukunft von elektronischer Signatur und PKI diskutierte am zweiten Kongresstag ein fünfköpfiges Podium. Dr. Johann Bizer (Universität Frankfurt) warnte davor, zu erwarten, dass Verbraucher bereit sind, für eine Verschlechterung ihrer Rechtsposition zu bezahlen: Wer als Käufer digital signiert, stärke im Wesentlichen die Rechtssicherheit des Verkäufers. Zudem gebe es etliche Anwendungsfelder, wo Interaktion, soziale Kontrollmechanismen oder geschlossene Benutzergruppen (zumindest "starke") elektronische Signaturen überflüssig machen. Auch Martin Schallbruch (Bundesministerium des Innern) unterstrich das: Von rund 400 Dienstleistungen für das Projekt Bund Online würden beispielsweise weniger als 20 die Schriftform und somit aufwändige Signaturen erfordern.

Bernhard Esslinger (Deutsche Bank) betonte den Wert einer Chipkarte für viele Anwendungen und plädierte für einen gewissen Pragmatismus bei den Anforderungen, um auch eingefahrene Abläufe der Banken zur Identifizierung von Signaturkarteninhabern nutzen zu können. Die Deutsche Bank will in den kommenden Jahren ec-Karten optional gegen Aufpreis mit Signaturfunktion ausstatten; die Sparkassen verfolgen ähnliche Pläne. Man erwartete, dass etwa 10 Prozent der ec-Kunden die Option nutzen werden. Prof. Dr. Reinhard Posch (A-SIT) berichtete, dass in Österreich ab Mitte 2004 alle ec-Karten eine Signaturfunktion erhalten sollen; die Aktivierung obliege aber dem Kunden. Posch favorisiert dabei Geschäftsmodelle, bei denen keine Anschaffungskosten für Infrastruktur, sondern geringe Gebühren pro Nutzung anfallen: Er erwarte eine hohe Akzeptanz, wenn beispielsweise eine Signatur 10 Cent koste und verwies auf den Erfolg der ähnlich billigen Handy-Kurznachrichten (SMS).

Grundschutz- und Trendforum

Parallel zu den Vortrags-Sektionen fanden zwei themenbezogene Foren statt. Im IT-Grundschutz-Forum gab es neben einer Bestandsaufnahme zu Grundschutz-Handbuch (GSHB), -Tool und -Zertifizierung (inkl. Erfahrungsbericht) Ausblicke auf zwei extern vergebene BSI-Projekte, die künftig die Annäherung an das GSHB erleichtern sollen: Das Fraunhofer-Institut für Sichere Telekooperation (SIT) entwickelt einen Web-Learning-Kurs zum GSHB, dessen Publikation für den Herbst geplant ist. Bereits in der Abstimmungsphase befindet sich der Leitfaden "Grundschutz kompakt", in dem EUROSEC die wichtigsten Fakten zum IT-Grundschutz auf rund 60 Seiten zusammenfasst; Zielgruppe sind vor allem GSHB-Einsteiger und der Mittelstand (KMU). Ebenfalls im Auftrag des BSI untersucht die ConSecur GmbH die Vorgehensweisen des GSHB im Vergleich zu (künftigen) ISO-Normen.

[Foto: überfüllter Brunnensaal während der Vorstellung der neuen Trendstudie]
Das große Interesse an der Vorstellung der neuen Trendstudie Kommunikations- und Informationstechnik 2010+3 überforderte die Sitzplatzkapazitäten des Saals. [Foto: einige Autoren der Trendstudie] Im Bild unten einige der Autoren (v. l. n. r. ): Markus Garschhammer, Ammar Alkassar, Prof. Dr. Manfred Broy, Frank Gehring, Patrick Keil, Harald Kelter, Markus Ullmann.

Drei Jahre nach der ersten Trendstudie "2010" folgt als Ergebnis einer interdisziplinären Kooperation der Technischen Universität München, der Ludwig-Maximilians-Universität München, der Sirrix AG security technologies und des BSI die komplett neue Studie Kommunikations- und Informationstechnik 2010+3: Neue Trends und Entwicklungen in Technologie, Anwendungen und Sicherheit, die im Trendforum des Kongresses präsentiert wurde. Hauptinformationsquelle der Technologievorausschau ist neben einer umfangreichen Literaturrecherche eine intensive Umfrage unter 220 ausgewählten Experten verschiedener Fachrichtungen, die mehr als 18 000 Einzelantworten umfasst. Das 362-seitige Werk im A4-Format gliedert sich in die Bereiche Rechnertechnik, Rechnernetze und -kommunikation, Softwaretechnik, Datenbanken und Wissensmanagement, Anwendung sowie Sicherheitstechnologien.

Auch die Beiträge beider Foren stehen über das <kes>-Archiv zum BSI-Kongress 2003 zum Download bereit. Die neue Trendstudie ist bei SecuMedia erschienen und für 78 € über den Buchhandel (ISBN 3-922746-48-9) oder online von [externer Link] http://buchshop.secumedia.de zu beziehen. Über dieselben Kanäle ist auch der Tagungsband zum BSI-Kongress erhältlich (532 Seiten, 49,10 €, ISBN 3-922746-49-7).

Best Papers Awards

In diesem Jahr wurde neben der Prämierung der drei besten Vorträge mit Best Papers Awards erstmals auch der Best Student Award vergeben. Die <kes> druckt die ausgezeichneten Beiträge im BSI Forum vollständig ab; die beiden Erstplatzierten finden Sie bereits in dieser Ausgabe ab Seite 42.

[Foto: Preisträger der Best Papers Awards]
Die Preisträger der Best Papers Awards (v. l. n. r.): Oliver Stecklina (Best Student Award, BTU Cottbus, s. S. 49), Dr. Andreas Westfeld (TU Dresden, gemeinsame Arbeit mit Dr. Michael Sobirey, secunet, s. S. 42), Erik Neumann (media transfer, zu IPSec-Multicast) und Martin Schmucker (Fraunhofer IGD, zu Benchmarks digitaler Wasserzeichen).