[Kongress-Logo] Sichere Wege in der vernetzten Welt Stimmen vom 11. Dt. IT-Sicherheitskongress des BSI

Ordnungsmerkmale

erschienen in: <kes> 2009#3, Seite 33

Rubrik: 11. Deutscher IT-Sicherheitskongress

Schlagwort: Nachlese

Zusammenfassung: Vom 12.–14. Mai fand der diesjährige "BSI-Kongress" statt. Die fachliche Fülle der Veranstaltung beansprucht erneut weit über 500 Seiten im Tagungsband, eine Kurzform erscheint da kaum angemessen – unsere Nachlese beschränkt sich daher auf die strategischen Aussagen der Eröffnungsreden.

"Unsere moderne Gesellschaft ist von funktionierenden IT-Infrastrukturen abhängig. Deshalb haben wir diesen Kongress unter das Motto 'Sichere Wege in der vernetzten Welt' gestellt", erläuterte BSI-Präsident Dr. Udo Helmbrecht zur Eröffnung des 11. Deutschen IT-Sicherheitskongresses des BSI, der Mitte Mai in Bonn-Bad Godesberg stattfand: "Diese sicheren Wege sind für jeden wichtig, der IT nutzt – sei es für die Arbeit von Behörden, Verwaltungen und Regierungen, für die Wirtschaft oder für Privatanwender." Im Fokus des diesjährigen Kongresses standen unter anderem Themen wie der elektronische Reisepass, mobile Sicherheit und Cyber-Kriminalität.

[Foto: <kes>/luck]
Bundesinnenminister Dr. Wolfgang Schäuble: "Unsere Sicherheitsbehörden müssen die gleiche fachliche Kompetenz und die gleichen technischen Möglichkeiten haben wie die Angreifer."

"Mit der Sicherheit und Verfügbarkeit der Computernetze steht und fällt die Funktionsfähigkeit unserer global vernetzten Gesellschaft", betonte auch Bundesinnenminister Dr. Wolfgang Schäuble in seiner Eröffnungsrede. Als eine besondere Gefahr bezeichnete er die Botnetze: "Cyberkriminelle setzen infizierte Rechner als Tatwerkzeuge ein, versenden Spam-Mails, starten Internet-Angriffe, legen Webseiten lahm. Es gibt bereits einen blühenden Markt der Botnetz-Vermietung. Oft sitzen die Drahtzieher im Ausland, wo sie bislang kaum haftbar gemacht werden können. Deutschland liegt, bezogen auf die Anzahl der mit Bots infizierten Computer, im Ländervergleich auf Platz 3. Mehr infizierte Computer gibt es nur noch in China und den USA."

Zwar habe in vielen Unternehmen die IT-Sicherheit heute im Vergleich zu früher einen deutlich höheren Stellenwert – ein ausreichend hohes Maß an IT-Sicherheit lasse sich jedoch auf Dauer nur erreichen, wenn neben Staat und Unternehmen auch die privaten Nutzer ihre Verantwortung ernst nehmen. "Staatliche Maßnahmen zur IT-Sicherheit werden nur dort wirklich greifen, wo die Menschen bereit sind, Regeln und Grenzen zu akzeptieren", betonte Schäuble. Freiheit könne sich immer nur in einem definierten Ordnungsrahmen verwirklichen: "Im Straßenverkehr haben wir gelernt, gemeinsam die Verantwortung für die Sicherheit auf der Grundlage unserer Straßenverkehrsordnung zu tragen. Wie in unserer realen Welt müssen wir auch im virtuellen Raum die Rechte und Pflichten der Nutzer klar definieren und allen die Konsequenzen einer Nichtbeachtung deutlich machen."

Bei der Bekämpfung von Botnetzen könne man das Übel zwar nur durch mehr internationale Zusammenarbeit an der Wurzel packen – man dürfe sich bei erforderlichen Maßnahmen aber nicht vom Argument notwendiger Internationalität lähmen lassen: "Natürlich müssen wir die internationale Kooperation bei der Bekämpfung von Cyber-Kriminalität und der Abwehr von Cyber-Angriffen ausbauen. Aber wir sollten auch alles tun, was national möglich ist, um unsere Infrastrukturen zu schützen. Und dazu gehört mindestens, dass unsere Sicherheitsbehörden die gleiche fachliche Kompetenz und die gleichen technischen Möglichkeiten haben wie die Angreifer", so der Innenminister weiter. Zudem wäre es auch wünschenswert, wenn Internet-Service-Provider (ISPs) die Übernahme eines privaten PCs durch ein Botnetz erkennen könnten, um dem Betreiber bei der Bereinigung seines Systems zu helfen oder dieses notfalls vom Netz zu nehmen.

Als Handlungsschwerpunkte der Bundesregierung in Sachen IT-Sicherheit nannte Schäuble einerseits eine verstärkte Eigensicherung der Bundes-IT sowohl durch erhöhte Sicherheitsausgaben (vgl. <kes> 2009#2, S. 37) als auch durch die geplante Neuaufstellung des BSI. Deutschland brauche als exportabhängiger Hochtechnologiestaat "perspektivisch eine Stärkung unserer Cyber-Abwehrfähigkeit – dafür werden wir das BSI als Nukleus unserer IT-Sicherheitskompetenz weiter ausbauen müssen." Für die nächste Legislaturperiode zeichne sich zudem schon jetzt Handlungsdruck zur Abwehr von Wirtschaftsspionage durch ausländische Nachrichtendienste ab.

Kritische Infrastruktur: Internet

Dr. Rudolf Strohmeier, Kabinettschef der EU-Kommissarin für Informationsgesellschaft und Medien, stellte in einem weiteren Eröffnungsbeitrag fest: "Auch das Internet selbst gehört zur kritischen (Informations-)Infrastruktur!" Eine Störung von Verfügbarkeit oder Stabilität des Internets beträfe nahezu alle Bereiche der Informations- und Kommunikationstechnologie (IKT) und könnte erhebliche Auswirkungen auf weitere kritische Infrastrukturen haben – etwa in der Gesundheitsversorgung, dem Finanz- oder Transportwesen.

[Foto: <kes>/luck]
Dr. Rudolf Strohmeier, Kabinettschef der EU-Kommissarin für Informationsgesellschaft und Medien: "Auch das Internet selbst gehört zur kritischen Informations-Infrastruktur!"

Doch die IKT hat sich nicht nur zum Rückgrat unserer heutigen Informationsgesellschaft entwickelt, sie ermöglicht auch "neue aktive Formen der Teilhabe an der Gesellschaft und am demokratischen Prozess", erhöhte Kosten-Effizienz in der öffentlichen Verwaltung und ist zudem ein essenzieller Baustein für das Wirtschaftswachstum, betonte Strohmeier: Denn für 40 % der Produktivitätssteigerung der Wirtschaft sei die IKT verantwortlich.

Mit dieser enormen Bedeutung geht auch ein enormes Risiko einher: Strohmeier verwies hierzu auf Schätzungen des Weltwirtschaftsforums, nach denen eine 10–20 %-ige Wahrscheinlichkeit besteht, dass es in den kommenden 10 Jahren zu einem größeren Ausfall der krititischen Informations-Infrastruktur kommen wird – verbunden mit Kosten für die Weltwirtschaft von circa 250 Milliarden US-Dollar.

Angesichts der Risiko- und Bedrohungslage ergeben sich zahlreiche Herausforderungen, die weder die Europäische Kommission noch die Mitgliedsstaaten oder die Privatwirtschaft im Alleingang lösen können. In diesem Zusammenhang beklagte Strohmeier mangelnde Zusammenarbeit und zu wenig Kommunikation: "Zum heutigen Zeitpunkt ist die Koordination zwischen dem privaten und dem öffentlichen Sektor unzureichend. Auch der Informationsaustausch zwischen Betreibern von kritischer Informations-Infrastruktur und Anbietern von Diensten und Produkten, von denen die Verfügbarkeit und Stabilität dieser Infrastruktur abhängen, lässt sehr zu wünschen übrig."

Ein wichtiger Schritt sei, dass in Zukunft Verletzungen der Vertraulichkeit von Daten den zuständigen nationalen Behörden und den Betroffenen mitgeteilt werden müssen, wenn Gefahr für deren Privatheit besteht. Doch generell setze die EU-Kommission vorrangig auf Kooperation statt auf Regulierung – im April sei daher ein Aktionsplan mit zahlreichen Vorhaben veröffentlicht worden. Ein Handlungsschwerpunkt ist "Prävention und Abwehrbereitschaft" – hierzu soll auf Basis bestehender nationaler Initiativen und der operativen Tätigkeit der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) bis Mitte 2010 eine "Europäische öffentlich-private Partnerschaft für Robustheit" (EÖPPR) entstehen.

Ebenfalls gemeinsam mit der ENISA sollen außerdem Mindestkapazitäten für nationale Computer-Security-Incident-Response-Teams (CSIRT) festgelegt werden. Zudem unterstütze die Kommission Entwicklung und Einführung des Europäischen Informations- und Warnsystems (EISAS), das sich speziell an Bürger und KMU wende, und habe die Mitgliedsstaaten dazu aufgefordert, nationale Notfallpläne aufzustellen und regelmäßige Übungen durchzuführen.

Erst Nutzen, dann Sicherheit?

Prof. Dr. Guenter Dueck, Chief Technologist bei IBM, ging unterhaltsam und provokant mit der IKT ins Gericht: "Sicherheit ist wichtig, aber eigentlich haben wir ganz andere Probleme – die heutige Infrastruktur ist lausig, kompliziert und fragmentiert." Dueck plädierte, nicht alle IT-Probleme einfach hinzunehmen, aber auch nicht halbherzig nur akute Schwierigkeiten zu bekämpfen: "Wer Infrastrukturen erst baut, dann überlastet und dann noch einen Sicherheitsapparat obendraufpfropft, der sollte vielleicht noch einmal neu planen." Dazu bedürfe es aber auch einer klaren Vorstellung, was wir erreichen wollen – letztlich verbunden mit der Frage, wie wir künftig leben möchten. "Das geht aus Sicherheitsgründen nicht" sei dann keine gute Antwort: "Sicherheit sollte so sein, dass es einen nicht zu sehr ärgert – Vorschriften, die nicht gemocht werden, werden nämlich nicht beachtet."

----------Anfang Textkasten----------

Tagungsband zum 11. Deutschen IT-Sicherheitskongress

[Coverscan Tagungsband] Der [externer Link] Tagungsband zur Veranstaltung ist im SecuMedia Verlag erschienen: Bundesamt für Sicherheit in der Informationstechnik (Hrsg.), Sichere Wege in der vernetzten Welt, 11. Dt. IT-Sicherheitskongress des BSI 2009, 544 Seiten, Hardcover, 58 €, ISBN 978-3-922746-97-3

Inhaltsverzeichnis

Andreas Reisen, Bundesministerium des Innern
Die Architektur des elektronischen Personalausweises
Dr. Sibylle Hick, secunet Security Networks AG
Der elektronische Personalausweis – Nutzung einer modernen Infrastrukturkomponente
Carsten Schwarz, Bundesdruckerei GmbH
Der ID-Provider als Mittler zwischen Bürgern und Dienstanbietern
Karl-Heinz Dahle, BSI
Herausforderung Software Defined Radio - Nachweis der Vertrauenswürdigkeit
Stephan Eichler, Rohde & Schwarz SIT GmbH & Co KG, Stefan Röhrich, Bernd Zweigle, Rohde & Schwarz SIT
Herausforderung Software Defined Radio – Sicherheitsarchitektur und mobile Ad-hoc-Kommunikation
Dr. Simon Hoff, Beratung und Planung GmbH, Norbert Landeck, BSI
Anwendung der Technischen Leitlinie Sichere TK-Anlagen
Dr. Heike Stach, Bundesministerium des Innern
Bürgerportale – Konzeption und Einsatzmöglichkeiten
Dr. Georg Wambach, T-Systems, Florian Müller, BSI
Pilotierung von eID-Funktionen in Portalen
Dr. Christoph Wegener, Horst Görtz Institut für IT-Sicherheit
Bürgerportale – eine kritische Betrachtung von De-Mail und Co
Benedikt Heinz, TU München
SIM Application Toolkit basierter Angriff auf mobile Endgeräte durch Hardwaremanipulation an der SIM-Karte
André Groll, Christoph Ruland, Universität Siegen
Gefahren der In-Fahrzeug-Kommunikation moderner Automobile
Marco Breitenstein, secunet Security Networks AG, Marcus Nuppeney, BSI
Biometrie auf mobilen Plattformen
Dr. Dirk Henrici, Timo Fleuren, Paul Müller, TU Kaiserslautern
Sicherheit und Privatsphäre in RFID-Systemen: Ein Blick hinter die Kulissen
Harald Kelter, Rainer Oberweis, Martina Rohde, BSI
Die Technische Richtlinie für den sicheren RFID-Einsatz
Joachim Ayasse, Dr. Christian Ehrhardt, GeNUA mbH
Anoubis – ein integriertes Sicherheitssystem für den Arbeitsplatz
Oliver Zendel, BSI
SEG – Secure Exchange Gateway Schutz von digitalen Informationen bei der Realisierung sicherer Netzübergänge
Jörg Apitzsch, bremen online services GmbH & Co KG
Modernisierung des E-Government Standards OSCI im Kontext EU-weiter Ansätze und internationaler Standards
Cornelia Schildt, BSI
Sicher im Internet – Konzeption, Maßnahmen und Best Practise für Anbieter und Nutzer
Adrian Lambeck, Technische Universität Hamburg-Harburg
Virtualisierung komplexer Netzwerke in Praxis, Forschung und Lehre
Roman Flinthammer, Rohde & Schwarz SIT GmbH
Netzübergreifende Ende-zu-Ende Sprachverschlüsselung mit SCIP
Frank Waibel, BSI
Das Internet-Analyse-System (IAS) als Komponente einer IT-Sicherheitsarchitektur
Michael Roßberg, Wolfgang Steudel, Günter Schäfer, Technische Universität Ilmenau, Kai Martius, secunet Security Networks AG
Eine Software-Architektur zur Konstruktion flexibler IPsec-Infrastrukturen.
Dr. Helge Kreutzmann, BSI
ReCoBS: Sicheres und bequemes Surfen – vom Konzept zum zertifizierten Produkt
Dr. Amon Ott, Holger Maczkowsky, Roman Maczkowsky, m-privacy GmbH
Sichere und Datenschutz konforme Internetnutzung mit einem ReCoB-System
Michael Biermann, Tobias Hoppe, Jana Dittmann, Sandro Schulze, Gunter Saake, Universität Magdeburg, Institut für Technische und Betriebliche Informationssysteme (ITI)
Adaption des Szenarios einer WiFi-Wurm-Epidemie auf den Automotive-Bereich zur Sensibilisierung und Aufklärung
Thorsten Holz, Markus Engelberth, Felix Freiling, Jan Göbel, Christian Gorecki, Philipp Trinius, Carsten Willems, Universität Mannheim
Frühe Warnung durch Beobachten und Verfolgen von bösartiger Software im Deutschen Internet: Das Internet-Malware-Analyse System (InMAS)
Prof. Dr. Ulrich Greveler, FH Münster, Christian Puls, Advanced Nuclear Fuels GmbH
Über den Aufwand, Malware auf einem privaten PC zu installieren – Wie einfach lassen sich Virenscanner und Personal Firewalls umgehen?
Reiner Kraft, Fraunhofer SIT
Informationssicherheit im produzierenden Gewerbe: Was leistet IT-Grundschutz
Dr. Werner Degenhardt, Ludwig-Maximilians-Universität München
Internet Risk Behavior Index
Joachim Pöttinger, FH Oberösterreich, Campus Hagenberg
Selbsthilfe für IT-Risikomanagement – Ein Benchmarking-Ansatz
Henk Birkholz, Jonas Heer, Carsten Bormann Universität Bremen TZI
IMPART: Ein Werkzeug zum frühzeitigen und nachhaltigen Einbeziehen der Benutzer in Informationssicherheitsmanagement-Prozesse
Christian Krätzer, Jana Fruth, Jana Dittmann, Universität Magdeburg
Konzept für sichere Datenhaltung und Datenkommunikation verteilter personenbezogener Daten(sätze) in sozialen Institutionen
Jan Graffenberger, Star Finanz GmbH, Tom Lysemose Hansen, Promon AS
Integrated Spyware Protection through Internal Program Monitoring as shown in Online Banking / Spyware-Schutz durch integrierte und programminterne Überwachung am Beispiel Online-Banking
Armin Büscher, Michael Meier, Technische Universität Dortmund, Ralf Benzmüller, G DATA Software AG
MonkeyWrench – Bösartige Webseiten in die Zange genommen
Stefan Kiltz, Jana Dittmann, Claus Vielhauer, Mario Hildebrandt, Robert Altschaffel, Universität Magdeburg, Carsten Schulz, BSI
Sicherstellung von gelöschtem Schadcode anhand von RAM-Analysen und Filecarving mit Hilfe eines forensischen Datenmodells
Dr. Max Gebhardt Dr. Georg Illies, Prof. Dr. Werner Schindler BSI
Auf dem Weg zum SHA-3 – Die Ausschreibung eines neuen Hashfunktionenstandards durch NIST und ihre Hintergründe
Dr. Christian Rechberger, IAIK, TU Graz
Wie lange halten die SHA-2 Hashfunktionen kryptanalytischen Angriffen noch stand?
Dr. Ernst Piller, Marcus Nutzinger, Fachhochschule St. Pölten
Neue Protokolle der Steganografie
Dr. Manfred Lochter, BSI, Johannes Merkle, Secunet Security Networks AG
Ein neuer Standard für Elliptische Kurven

----------Ende Textkasten----------