[Aufmachergrafik: heller, corporate design]
Stimmen vom 10. BSI-Kongress

Ordnungsmerkmale

erschienen in: <kes> 2007#3, Seite 30

Rubrik: BSI-Kongress 2007

Schlagwort: Nachlese

Zusammenfassung: Vom 22.–24. Mai 2007 fand in Bonn – Bad Godesberg der 10. Deutsche IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik (BSI) statt. Das diesjährige Motto lautete "Innovationsmotor IT-Sicherheit".

Mit Bundesinnenminister Dr. Wolfgang Schäuble war zur Eröffnung des Jubiläumskongresses just derjenige Politiker zugegen, der Ende 1990 für die damalige Regierung das BSI-Errichtungsgesetz unterzeichnet hatte. So gab es gleich mehrere Gründe, warum die Eröffnungsreden auch einen Rückblick auf die Geschichte des Amts enthielten (vgl. [externer Link] www.bsi.bund.de/bsi/historie.htm). BSI-Präsident Dr. Udo Helmbrecht dankte in diesem Zusammenhang für die politische Anerkennung und Unterstützung des Bundesamts für Sicherheit in der Informationstechnik. Die heutige Stärke von 461 Mitarbeitern und ein Budget von 64 Mio. € ermöglichten dem BSI eine breit angelegte Arbeit als zentraler IT-Sicherheitsdienstleister des Bundes sowie auch Informations- und Ansprechpartner von Unternehmen und Bürgern. Helmbrecht betonte die aktive Beteiligung des BSI bei der Sicherung sensitiver Daten in der Anti-Terror-Datei, den anstehenden Großprojekten zu elektronischem Personalausweis und Gesundheitskarte sowie den IT-Projekten der Bundeswehr und der Einführung des BOS-Digitalfunks.

[Foto: <kes>/Luckhardt]
Bundesinnenminister Dr. Wolfgang Schäuble nannte Online-Durchsuchungen anlässlich der Eröffnung des BSI-Kongresses einen "zwingend notwendigen staatlichen Zugriff".

In Anlehnung an die Ziele des Nationalen Plans zum Schutz der Informationsinfrastrukturen in Deutschland (NPSI) resümierte Helmbrecht anschließend die Aktivitäten und Herausforderungen des BSI: In Sachen Prävention stehe heute die Verfügbarkeit und Sicherheit der Daten-Netze im Vordergrund. Cybercrime sei dabei eine akute Bedrohung: "Die Welt wird nicht besser und die Kriminalität geht dahin, wo das Geld ist", kommentierte der BSI-Präsident; auch der internationale Terrorismus stelle eine Herausforderung dar. Als reaktive Maßnahme nannte er vor allem das rund um die Uhr besetzte Lagezentrum im BSI. Und ein wichtiges Ziel zur Nachhaltigkeit sei unter anderem die Förderung der hiesigen IT-Sicherheitsindustrie: Deutsche Ingenieursqualität und auch hierzulande vollzogene Sicherheitsprüfungen seien weltweit anerkannt. In einem Land ohne Bodenschätze könne Informationstechnologie ein wichtiges Exportgut werden.

Die vielleicht größte Herausforderung sei hingegen angesichts der Szenarien des "Mitmach-Internets" unter dem Schlagwort Web 2.0 eine erfolgreiche und verantwortungsvolle Sozialisation im Netz: "Heute fehlt das noch", bedauerte Helmbrecht. Seine Haustüre abzuschließen und auf private Sachen aufzupassen sei im "richtigen Leben" eine Selbstverständlichkeit. Im Internet begegne man jedoch weithin naivem Verhalten. Hierbei forderte Helmbrecht auch eine zügige Selbstregulierung durch die Wirtschaft ein: Man könne sich in der schnelllebigen IT nicht wie im Straßenverkehr 30 Jahre Zeit lassen, um Scheibenbremsen, Sicherheitsgurte und Airbags als Sicherheitsstandard zu etablieren.

Auch der Bundesinnenminister betonte die Wichtigkeit, das Vertrauen der Nutzer in die IT zu erhalten und zu stärken, um das Potenzial der neuen Medien und Verfahren voll nutzbar zu machen. Hierzu, so Schäuble, sei eine Informations-Sicherheits-Kultur notwendig, in der alle Beteiligten verantwortlich handeln. Dabei helfe nicht zuletzt auch der BSI-Kongress als Plattform für Diskussion und Austausch.

Als wichtige Maßnahmen nannte Schäuble unter anderem die Steigerung des Sicherheits-Bewusstseins. Überdies sei ein erweiterter Einsatz vertrauenswürdiger, möglichst zertifizierter IT-Produkte wünschenswert: "Dazu müssen wir prüfen, mit welchen gesetzgeberischen Anreizen der Einsatz zertifizierter Produkte erhöht werden kann." Auch die Kompetenz und Vertrauenswürdigkeit externer Dienstleister sollten verstärkt einer Begutachtung und Akkreditierung unterzogen werden. Explizit sprach Schäuble in diesem Zusammenhang das IT-Grundschutzzertifikat und "die national wie international hoch anerkannte Zertifizierung nach Common Criteria" an.

Erwartungsgemäß kamen auch die Themen Terrorabwehr und Strafverfolgung zur Sprache: Die IT mache die Spaltung der Welt und das damit verbundene Bedrohungspotenzial unmittelbar erlebbar – auch Straftäter nutzen die neue Technik. Die klassische Trennung von innerer und äußerer Sicherheit sei in einem solchen Umfeld nicht mehr aufrechtzuerhalten. Schäuble sieht zudem für die Sicherheitsbehörden immer weniger Ermittlungsmöglichkeiten in der realen Welt: "Deshalb setze ich mich für die Einführung von Online-Durchsuchungen ein. Ich bin der festen Überzeugung, dass die Sicherheitsbehörden die Möglichkeit haben müssen, auch zukünftig ihren Aufgaben schnell und sachgerecht nachzugehen. Das bedeutet, dass die Sicherheitsbehörden dort ermitteln können müssen, wo relevante Informationen liegen und ausgetauscht werden. Denn wir müssen Kriminellen auf Augenhöhe begegnen, um Gefahren von unserem Gemeinwesen in unser aller Interesse so gut wie möglich abzuwenden", so der Bundesinnenminister.

Allerdings sei beim "zwingend notwendigen staatlichen Zugriff auf IT-Systeme" größte Sorgfalt beispielsweise darauf zu verwenden, dass die für Online-Durchsuchungen einzusetzende Software keine Sicherheitslücken produziert oder durch Dritte missbraucht werden kann: "Diese und weitere Sicherheitsfragen gilt es mit den Bedürfnissen der Sicherheitsbehörden in Einklang zu bringen." Bei der gesetzlichen Umsetzung wolle Schäuble auf diesen Ausgleich achten. Die Strafverfolgung sowie der Schutz von Kommunikation und IT-Systemen der Wirtschaft und der Bürger seien beides staatliche Aufgaben, die – getrennt voneinander – zu fördern sind. So hatte der Bundesinnenminister auch eingangs plädiert: "Bürgerinnen und Bürger ebenso wie Unternehmen oder die öffentliche Verwaltung müssen sicher kommunizieren können."

Motor oder Bremse?

Moderiert vom Wissenschaftsjournalisten Ranga Yogeshwar debattierten in der Podiumsdiskussion des Kongresses Prof. Walter Kriha (Stuttgarter Hochschule der Medien), Dr. Said Zahedani (Microsoft), Patrick Boos (eBay), Dr. Udo Helmbrecht (BSI), Heinz Paul Bonn (BITKOM) und Jürgen Schmidt (heise Security) unter der Überschrift "IT-Sicherheit: Motor oder Bremse für die Wirtschaft". Die Diskussion behandelte allerdings vor allem Ursachenforschung und Konzepte zur Verbesserung der momentanen "Pannenstatistik".

[Foto: <kes>/Luckhardt]
Prof. Walter Kriha bemängelte in der Podiumsdiskussion eine unbefriedigende Sicherheits-Grundausstattung von IT-Systemen und forderte, die Software-Industrie stärker in die Haftung zu nehmen (re. im Bild: Dr. Said Zahedani, Microsoft).

So bemängelte Kriha eingangs eine unbefriedigende Grundausstattung in Sachen IT-Sicherheit. Zahedani konterte, die aktuelle "Mehrparteien-Auslieferung" von IT-Systemen sei notwendig, um Spezialisten einzubinden – Updates und Security-Patches eine zwangsläufige Folge der vorliegenden Komplexität. Letztlich sei Sicherheit ein Reifeprozess in einer noch vergleichsweise jungen Industrie. Die vernetzte Welt erfordere verteilte Verantwortung.

Widerspruch kam unter anderem vom BSI-Präsidenten: Hier mache es sich die Industrie zu einfach! Anwender müssten heute zusammenbasteln, was sie brauchen – doch der Kunde wolle einen Ansprechpartner, so Helmbrecht. Man müsse daher letztlich zu einem All-in-one-Modell kommen. In der Tat müsse die Industrie sichere Systeme zur Verfügung stellen, stimmte Boos zu. Allerdings müssten diese vom Anwender auch sicher genutzt werden, was heute nur selten geschehe – insofern wäre eben doch eine beiderseitige Verantwortung einzufordern.

Helmbrecht bejahte, dass – um erneut das Auto-Beispiel zu bemühen – selbst schuld an einem Unfall sei, wer mit 180 in die Kurve fährt. Wenn die Ursache hierfür jedoch defekte oder untaugliche Bremsen sind, trifft die Schuld den Hersteller. Ein anderes Bild nutzte Bonn, der allerdings zunächst – "Asche auf unser Haupt" – auch Fehler bei den Anbietern zugestand. Trotz guter Qualität unserer Lebensmittel achte aber dennoch jedermann beim Einkauf auf das Haltbarkeitsdatum – Produktsicherheit sei insofern auch ein gesellschaftlicher Prozess, der bereits in der Schule mit der Vermittlung eines elementaren IT-Sicherheitsbewusstseins beginnen müsse.

Gelegentliche völlig falsche Signale von Anbietern konstatierte Schmidt: So seien auch eigentlich sichere Seiten ein schlechtes Beispiel, wenn sie angesichts abgelaufener oder nicht-prüfbarer selbst erstellter Webserver-Zertifikate eine "Anleitung zum Wegklicken" beziehungsweise zum Missachten von Warnhinweisen geben. Zudem plädierte der Journalist für eine verschärfte Haftbarkeit von Anbietern: "Viele technische Maßnahmen, die sich im Moment nicht rechnen, ließen sich damit motivieren."

Auch Kriha forderte, die Software-Industrie stärker in die Pflicht zu nehmen. Eine gesetzlich verankerte Verantwortung oder Haftung würde zudem den Nutzen eines unabhängigen Prüfinstituts für beide Seiten unterstreichen.

Best Student Award

Im Anschluss an die Podiumsdiskussion erhielt Dominik Birk vom Horst Görtz Institut der Ruhr-Universität Bochum die Auszeichnung für den besten auf einer studentischen Arbeit basierenden Kongressbeitrag verliehen. Thema des prämierten Beitrags war ein "Framework zur Identifikation von Identitätsbetrügern, Geldwäschern und Phishing-Simulanten" (s. a. S. 41). Als Preis spendete die INI-GraphicsNet Stiftung in Zusammenarbeit mit dem Fraunhofer-Institut für Graphische Datenverarbeitung IGD ein sechsmonatiges Stipendium an einer internationalen Forschungseinrichtung.

[Foto: <kes>/Luckhardt]
Der Best Student Award ging dieses Jahr an Dominik Birk vom Horst Görtz Institut der Ruhr-Universität Bochum (Mitte, im Bild links Dr. Udo Helmbrecht, BSI, rechts Alexander Nouak, Fraunhofer IGD, das zusammen mit der INI-GraphicsNet Stiftung den Preis sponserte).

Materialien

Der Versuch, die vielfältigen und tiefschürfenden Vorträge des BSI-Kongresses hier kurz zusammenzufassen, wäre zwangsläufig zum Scheitern verurteilt, weswegen an dieser Stelle der schon traditionelle Verweis auf den Tagungsband gestattet sein möge (erschienen im SecuMedia-Verlag, 526 Seiten, 49,10 €, ISBN 978-3-922746-98-0, erhältlich im Buchhandel oder via [externer Link] http://buchshop.secumedia.de). Abstracts der Beiträge, verfügbare Redemanuskripte der Eröffnungsvorträge sowie der Redaktion vorliegende Paper/Handouts zu den Poster-Sessions finden Sie in unserer Materialsammlung auf www.kes.info/archiv/material/bsikongress2007.