Materialien zum BSI-Kongress 2007

Eröffnungsrede von Dr. Udo Helmbrecht, Präsident des Bundesamtes für Sicherheit in der Informationstechnik

IT-Sicherheit als Innovationsmotor begreifen

anlässlich des 10. Deutschen IT-Sicherheitskongresses des Bundesamtes für Sicherheit in der Informationstechnik (BSI) am 22. Mai 2007 in der Stadthalle Bonn-Bad Godesberg
(Es gilt das gesprochene Wort!)

Sehr geehrter Herr Minister Dr. Schäuble,
sehr geehrter Herr Bürgermeister Naaß,
meine sehr geehrten Damen und Herren,

ich heiße Sie herzlich willkommen zum 10. Deutschen IT-Sicherheitskongress des BSI. Seit der ersten Durchführung in 1991 hat sich dieser Kongress zu einer festen Größe der IT-Sicherheitsbranche Deutschlands entwickelt.

Besonders möchte ich Herrn Minister Dr. Schäuble begrüßen. Vor fast siebzehn Jahren im Dezember 1990 haben Sie als damaliger Bundesinnenminister das BSI-Errichtungsgesetz unterzeichnet, das die Grundlage für die Tätigkeit des Bundesamtes für Sicherheit in der Informationstechnik bildet. Seit dieser Zeit hat sich vieles in der Informations- und Kommunikationstechnik weiter entwickelt und unsere Gesellschaft verändert.

Ich möchte die Gelegenheit auch nutzen, um meine Vorgänger im Amt des BSI-Präsidenten Herrn Dr. Henze und Herrn Dr. Leiberich ganz herzlich zu begrüßen.

Sehr geehrte Damen und Herren,

das Bundesamt für Sicherheit in der Informationstechnik ist eine präventiv handelnde IT-Sicherheitsbehörde. Wir haben zum Ziel, dass alle gesellschaftlichen Gruppen ein möglichst hohes IT-Sicherheitsniveau erreichen und setzen uns – wie wir es in unserem Leitbild formuliert haben – für eine sichere Informationstechnik in unserer Gesellschaft ein. Wir übernehmen Verantwortung für die IT-Sicherheit in Verwaltung, Wirtschaft, Wissenschaft und gegenüber den Bürgern. Wir haben den Anspruch, die IT-Sicherheit für die gesamte Gesellschaft zu gestalten.

Die Politik nimmt die zunehmende Bedeutung der IT-Sicherheit für die innere und äußere Sicherheit wahr und handelt entsprechend. Der Nationale Plan zum Schutz der Informationsinfrastrukturen (NPSI) wurde im Sommer 2005 vom Bundeskabinett beschlossen und im November 2005 in der Koalitionsvereinbarung von CDU, CSU und SPD bestätigt. Dies schlägt sich in der Ausstattung des BSI nieder. Von 388 Mitarbeiterinnen und Mitarbeitern und einem Haushaltsvolumen von 36 Millionen Euro in 2003 ist das BSI auf heute 461 Mitarbeiterinnen und Mitarbeiter gewachsen und verfügt über einen Jahreshaushalt von 64 Millionen Euro. Mit den geplanten Einstellungen in diesem Jahr werden wir auf fast 500 Mitarbeiterinnen und Mitarbeiter wachsen.

Besondere Aufgaben des BSI bestehen in der Umsetzung des Nationalen Plans in der Bundesverwaltung und bei den kritischen Informationsinfrastrukturen (KRITIS) der Industrie. Im vergangenen Jahr haben wir erfolgreich die Sicherheitskonzeption der Antiterrordatei (ATD) umgesetzt. Weitere bedeutende Vorhaben des BSI sind der elektronische Reisepass (ePass), der elektronischen Personalausweis (ePA), der 2008 eingeführt werden soll, die Unterstützung der elektronischen Gesundheitskarte (eGK), die Verschlüsselungskomponente der zukünftigen Funkgeräte der Bundeswehr (Software Defined Radio, SDR) sowie der Digitalfunk für Behörden und Organisationen mit Sicherheitsaufgaben (BOS). Überall dort, wo es um IT-Sicherheit geht, ist das BSI etabliert. Im Rahmen der Hightech-Initiative der Bundesregierung betreiben wir IT-Sicherheitsforschung unter anderem in den Themenbereichen Biometrie, Trusted Computing und Internet-Frühwarnsystemen.

Dabei verfolgen wir eine Strategie der Prävention, Reaktion und Nachhaltigkeit, die ich Ihnen im Folgenden erläutern möchte:

Prävention

Präventives Handeln bedeutet, Informationen angemessen zu schützen. Früher schützten wir wichtige schriftliche Dokumente indem wir sie an einem Ort aufbewahrten, zu dem nicht jeder Zugang hatte, oder indem wir sie in einen Tresor legten. Zur Übertragung der Dokumente wurden diese gegen unberechtigten Zugriff verschlüsselt.

Heute verschicken wir E-Mails und angehängte Dokumente über das Internet. Auf Unternehmensanwendungen wird über das Internet zugegriffen, Internetportale enthalten vertrauliche Nutzerdaten. Die Informationen in den Anwendungen sind das schützenswerte Gut. Daraus folgt, dass das Medium Netz bei der IT-Sicherheit eine besondere Rolle einnimmt. Es geht um die Sicherheit in Netzen und die Sicherheit der Anwendungen, insbesondere im so genannten Web 2.0. Wir erleben heute neue Bedrohungen. Organisierte Internationale Kriminalität nutzt das Internet mit neuen Angriffsformen. Was früher der Postkutschenüberfall war, sind heute Angriffe auf die Computer – zum Beispiel mittels Phishing. Neue Technologien wie die Internettelefonie (Voice over IP, VoIP) setzen sich zunehmend durch. Derzeit ist noch nicht absehbar, welche Angriffsszenarien daraus erwachsen. Terroristische Strukturen nutzen das Netz für die Kommunikation und Agitation. Es ist nur noch ein kleiner Schritt zum Cyber War.

Die aktuelle Bedrohungssituation haben wir im Bericht "Die Lage der IT-Sicherheit in Deutschland 2007" beschrieben, den wir anlässlich des IT-Sicherheitskongresses heute veröffentlichen werden. Daraus wird deutlich: Die Kriminalität geht da hin, wo das Geld zu verdienen ist – ins Internet.

Das BSI stellt ein umfangreiches Angebot von Produkten und Dienstleistungen zur Verfügung, damit die Verbraucher, die kleinen und mittleren Unternehmen und die Verwaltungen ein angemessenes Sicherheitsniveau in der IT und im Internet erreichen können. Diese Angebote reichen von Studien, aktuellen Tipps und Handlungsempfehlungen, die wir auf unseren Internetseiten [externer Link] www.bsi.bund.de, [externer Link] www.bsi-fuer-buerger.de und [externer Link] www.buerger-cert.de veröffentlichen, über Veranstaltungen und Messebeteiligungen bis zur operativen Unterstützung der Bundesverwaltung.

Reaktion

Mit dem Lagezentrum im BSI, dem CERT-Bund, beobachten und überwachen wir die Gefahrenlage im Internet rund um die Uhr. Damit sind wir in der Lage, schnell auf Bedrohungen durch angreifende Schadprogramme wie Trojanische Pferde oder ferngesteuerte Bot-Netze zu reagieren. Das Lagezentrum konnte seine Leistungsfähigkeit während der Fußball-WM unter Beweis stellen. Um der neuen Qualität der Bedrohungen zu begegnen, etablieren wir derzeit schlagkräftige Internet-Frühwarnsysteme und bauen die bestehende Zusammenarbeit der CERTs auf internationaler Ebene aus. Es ist unser Ziel, Bedrohungen schneller erkennen zu können, um unsere Infrastukturen und Partner in der Gesellschaft besser warnen und schützen zu können.

Nachhaltigkeit

Der IT-Sicherheitsmarkt wächst überproportional im Markt für Informations- und Kommunikationstechnik (IKT). Der Branchenverband BITKOM schätzt das Wachstum des gesamten IT-Marktes in Deutschland für 2007 auf 2,5 Prozent. Doch immer noch ist Deutschland ein Importland für IT-Produkte. Um mittelfristig die internationale Wettbewerbsfähigkeit der IT- und IT-Sicherheitsindustrie zu sichern, ist die Förderung des Standorts Deutschland und der deutschen IT-Sicherheitsindustrie, die überwiegend mittelständisch geprägt ist, erforderlich.

Die deutsche Ingenieursqualität wird auch in der IT weltweit geschätzt. Dies erkennen wir an der stark wachsenden Zahl der IT-Sicherheitszertifikate, die das BSI für Produkte an in- und ausländische Hersteller ausstellt, und dem zunehmenden internationalen Interesse einer Produktzertifizierung nach dem Common Criteria-Standard durch das BSI. Bereits heute genießt die Marke "IT-Security approved in Germany" durch unsere anerkannten Prüfstellen international ein hohes Ansehen.

Mit ihrer Hightech-Initiative stellt die Bundesregierung Mittel für Forschungs- und Innovationsvorhaben bereit. Im Rahmen dieser Initiative erhält das BSI bis 2009 für seine IT-Sicherheitsforschung fast 40 Millionen Euro, die wir in Projekte einbringen, die wir zusammen mit wissenschaftlichen Einrichtungen und der Industrie durchführen.

Dabei beschreiten wir den Weg der Kofinanzierung. Das heißt, unsere Projektpartner leisten ebenfalls ihren finanziellen Beitrag bei den Forschungsvorhaben. Mit den Projekten unserer IT-Sicherheitsforschung wollen wir einen Beitrag dazu leisten, um den IT-Standort Deutschland am Anfang der Wertschöpfungskette zu stärken.

Meine sehr geehrten Damen und Herren,
was bringt uns die Zukunft?

Blicken wir dazu kurz zurück: Mit seinem Film "Welt am Draht" entwickelte im Jahr 1973 der deutsche Regisseur Rainer Werner Fassbinder die Utopie einer Gesellschaft, die einen Computer baut, der eine ganze Gesellschaft simulieren kann. Tausende von Computermenschen bevölkern dort einen virtuellen Raum.

Heute, in 2007, ist diese Utopie im Internet Realität und heißt beispielsweise "Second Life". In dieser Parallelwelt agieren Avatare. Und wie im richtigen Leben existiert dort auch Kriminalität. Aktuelle Medienberichte über Kinderpornographie in dieser Internetplattform belegen dies.

Die virtuelle Welt wird Realität. Wir müssen uns die Frage stellen, ob wir ausreichend darauf vorbereitet sind. Die Herausforderung heute und in der Zukunft besteht in der Sozialisation im Netz. Mit anderen Worten: Welche Verhaltensregeln muss ich im Internet einhalten?

Zu oft surfen wir naiv im Internet umher, besuchen Webseiten, die nicht vertrauenswürdig sind und hinterlassen digitale Spuren. Sicherheitsvorkehrungen, die wir in der realen Welt ganz selbstverständlich vornehmen, lassen wir im Virtuellen außer acht. Im Internet sind der Einsatz eines aktuellen PC-Virenschutzes, der Firewall und die Software-Updates nichts anderes als das Abschließen der Wohnungs- bzw. Haustür oder die Überwachungskamera des alltäglichen Lebens.

Um die Chancen des Internets zu nutzen benötigen wir vertrauenswürdige Plattformen. Die Authentizität muss gewährleistet werden, um Vertrauen in und damit Akzeptanz von eBusiness- und eGovernment-Anwendungen zu schaffen.

Daher ist der elektronische Personalausweis (ePA), der ab 2008 eingeführt werden soll, so konzipiert, dass er auch im Internet genutzt werden kann. Er enthält eine elektronische Ausweisfunktion mit PIN und eine optionale qualifizierte Signatur. Die technischen Konzepte des BSI gewährleisten beim neuen Personalausweis – wie auch beim ePass – Datenschutz und -sicherheit auf Spitzenniveau.

Mit dem ePersonalausweis stellt der Staat ein künftig ein Ausweisdokument zur Verfügung, das eBusiness sicherer macht. Doch reicht dies aus? Was muss der Staat aus seiner Verantwortung zum Schutz des Bürgers in der virtuellen Welt noch tun? Auf welchen Gebieten ist Verbraucherschutz im Internet erforderlich? Wo ist die Selbstregulierung der Wirtschaft zur Schaffung von Sicherheit durch Wettbewerb ausreichend? Wo muss der Staat eingreifen?

Der 10. Deutsche IT-Sicherheitskongress versteht sich auch als eine Plattform, um diese Fragen zu diskutieren.

Damit wünsche ich allen Teilnehmerinnen und Teilnehmern des Kongresses einen interessanten Veranstaltungsverlauf, viele informative Gespräche – auch mit den Ausstellern, denen ich an dieser Stelle ganz herzlich für die Unterstützung des Kongresses danke – und viele neue Impulse aus den Vorträgen.