home *** CD-ROM | disk | FTP | other *** search
/ Chaos CD Blue / Chaos_CD_Blue__[1999].iso / ds / 43 / 007_bsi_schrecken.html.orig < prev    next >
Text File  |  1999-04-05  |  25KB  |  670 lines

  1.  
  2. <h2>Aus Chalisti 15:</h2>
  3. <h1>BSI: Doch ein Schrecken ?</h1>
  4.  
  5. Ein halbes Jahr existiert das neue Bundesamt für Sicherheit in der
  6. Informationstechnik schon. Im Augenblick noch in 3 Häusern getrennt
  7. untergebracht, wird das neue alte Bundesamt im August in sein Gebäude 
  8. in Bonn-Bad Godesberg, gegenüber dem Hotel Maritim, einziehen.
  9. <p>
  10.  
  11. Interessant für uns sind aber weniger die neuen Gebäude, als eher
  12. die Arbeit des Bundesamtes. Wie in der Chalisti 14 geschrieben, ist
  13. das BSI mit seinem Arbeitsbereich für den CCC ein Augenmerk wert.
  14. Die Frage, ob - und besonders wie - es seine Aufgaben wahrnimmt ist
  15. nicht nur für uns, sondern für die Gesellschaft im allgemeinen von
  16. besonderer Wichtigkeit. Wenigstens sollte es so sein, aber das Amt kann
  17. im Stillen seinem Aufbau nachgehen und bekommt von vielen Seiten - auch
  18. Journalisten - eine Schonfrist zugestanden. Wir halten im Hinblick auf
  19. die zukünftige Entwicklung der Gesellschaft zur Informationsgesellschaft
  20. die Arbeit des Bundesamtes für zu wichtig, um es jetzt einer zu langen 
  21. Schonung zu gewähren. 100 Tage sind lange vorbei, also machen wir uns 
  22. Gedanken über das BSI ...
  23. <p>
  24.  
  25. Am Anfang sehen wir unsere Aufgabe darin weitere Informationen über das
  26. BSI zu geben, so wie es uns bekannt und belegbar sind. Die wichtigsten 
  27. Informationen über eine zentrale staatliche Stelle sind Personen, 
  28. Struktur und Finanzen. Also beschäftigen wir uns erstmal mit diesen 
  29. Punkten. Dabei wollen wir versuchen besonders Zusammenhänge und 
  30. Hintergrundwissen zu vermitteln. Wir tragen dabei u.a. auch Material zusammen, 
  31. welches schon im Spiegel oder anderen Publikationen veröffentlicht wurde.
  32. <p>
  33.  
  34. <h2>Struktur</h2>
  35. <p>
  36.  
  37. An der Spitze des BSI steht als Präsident Dr. Otto Leiberich. Knapp
  38. über 60 Jahre alt, 1946 Abitur, 1947 Mathematik an der Uni Köln
  39. studiert, 1953 Promotion mit einem Thema aus der höheren Algebra, danach
  40. wissenschaftliche Tätigkeit, dann Dienst in der Zentralstelle für
  41. Chiffrierwesen (ZfCh) und dem späteren ZSI. Davon zwischen 1962 und
  42. 1974 Chefmathematiker und seit 1974 Leiter des ZSI und eben heute 
  43. Präsident des BSI. 
  44. Als Vizepräsident steht ihm Dr. Mertz beiseite. 
  45. <p>
  46.  
  47. Diesen beiden Personen sind die 6 Abteilungen des BSI unterstellt.
  48. Desweiteren sind diese Abteilungen in mehrere Referate unterteilt. Wir stellen 
  49. sie hier dar, wie der Stand am 25. März 1991 war. Die Quelle sind die
  50. Informationen über "Struktur, Ausstattung und Planungen des BSI vom 
  51. 5.4.1991". Soweit wir hier feststellen konnten, hat sich weder an der
  52. Struktur noch an den Personen wesentliches verändert. Insbesondere sind 
  53. die hier als N.N. angegebenen Posten bis heute noch nicht besetzt worden.
  54. <p>
  55.  
  56. Abteilung I "Zentrale Aufgaben", Dr. Mertz, Durchwahl: -655
  57. <p>
  58.  
  59. Referat I 1, RR Dickopf, -313
  60. <p>
  61.  
  62. Grundsatz, Recht, Organisation, IT-Koordinierung, 
  63. Zentrale Dokumentation, Bibliothek, 
  64. Öffentlichkeitsarbeit
  65. <p>
  66.  
  67. Referat I 2, RD'n Dr. Werthebach, 346599
  68. <p>
  69.  
  70. Personal
  71. <p>
  72.  
  73. Referat I 3, Wahrnehmung durch AL I
  74. <p>
  75.  
  76. Haushalt, Beschaffung
  77. <p>
  78.  
  79. Referat I 4, RR Samsel, -653
  80. <p>
  81.  
  82. Innerer Dienst, Sicherheit
  83. <p>
  84.  
  85. Abteilung II, "Wissenschaftliche Grundlagen und 
  86. Zertifizierung", N.N.
  87. <p>
  88.  
  89. Zu dieser Abteilung gehört unter anderem auch die 
  90. Technologiefolgenabschätzung unter 
  91. IT-Sicherheitsaspekten, wobei diese im
  92. Augenblick eher
  93. von Abteilung zu Abteilung geschoben wird. Es fühlt sich de
  94. facto keiner
  95. zuständig. <i>Kollege kommt gleich..., der gast</i>
  96. Die Hoffnung auf eine eigene Abteilung dieses komplexen Themas
  97. und Forschunggebietes kann schon jetzt so gut wie aufgegeben werden.
  98. <p>
  99.  
  100. Geplante Unterteilung: 
  101. <p>
  102.  
  103. - Mathematische Grundlagen
  104. <p>
  105.  
  106. - Technische Grundlagen
  107. <p>
  108.  
  109. - Allgemeine Analyse des Gefährdungspotentials, Grundlage der
  110. Systemsicherheit und Evaluierung
  111. <p>
  112.  
  113. - Zertifizerung, Zulassung, Normung
  114. <p>
  115.  
  116. Abteilung III, "Mathematische Sicherheit", RD Hange, -660
  117. <p>
  118.  
  119. Dieser Abteilung obliegt im Rahmen des Par. 3, Abs. 1, Nr. 6 BSIG bei 
  120. Bedarf auch der Entzifferung von Straftätern entwickelter Verfahren zur 
  121. Verschlüsselung, z.B. aus der Rauschgiftszene. 
  122. <p>
  123.  
  124. Referat III 1, N.N.
  125. <p>
  126.  
  127. Entwicklung mathematischer Sicherungsverfahren
  128. <p>
  129.  
  130. Referat III 2, ORR Dr. Liebefrau, -658
  131. <p>
  132.  
  133. Evaluierung mathematischer Sicherungsverfahren
  134. <p>
  135.  
  136. Referat III 3, N.N. 
  137. <p>
  138.  
  139. Sicherheitsanalyse
  140. <p>
  141.  
  142. Referat III 4, RD Bahr, -659
  143. <p>
  144.  
  145. Software-Realisierung mathematischer 
  146. Sicherungsverfahren
  147. <p>
  148.  
  149. Abteilung IV, "Technische Sicherheit", VA Schwirkmann, -569
  150. <p>
  151.  
  152. Diese Abteilung begleitet die Entwicklung von neuen Produkten bezügl.
  153. Sicherheitserkenntnissen und verfügt über langjährige Erfahrungen
  154. mit den zuständigen Stellen in den USA und bei der NATO.
  155. <p>
  156.  
  157. Referat IV 1, BD Siedentop, -573
  158. <p>
  159.  
  160. Technische Realisierung mathematischer 
  161. Sicherungsverfahren
  162. <p>
  163.  
  164. Referat IV 2, BOD Dr. Hembach, -641
  165. <p>
  166.  
  167. Verschlüsselungssysteme
  168. <p>
  169.  
  170. Referat IV 3, BD Koos, -423
  171. <p>
  172.  
  173. Schlüsselmittel
  174. <p>
  175.  
  176. Referat IV 4, BD Dr. Dorst, -546
  177. <p>
  178.  
  179. Abstrahlsicherheit
  180. <p>
  181.  
  182. Referat IV 5, BOR Sanne, (02254) 38-(1) 276 (ehemals BSG/BMI)
  183. <p>
  184.  
  185. Lauschabwehr, Abstrahl- und Lauschabwehrprüfungen
  186. <p>
  187.  
  188. Referat IV 6, RD Schnelder, (0221) 7924205
  189. <p>
  190.  
  191. Materielle Sicherungstechnik
  192. <p>
  193.  
  194. Abteilung V, "Sicherheit in Rechnersystemen", LRD Everts, -232
  195. <p>
  196.  
  197. Aus dieser Abteilung kommen die bekannten IT-Sicherheitskriterien, sowie
  198. das gerade in Vorbereitung befindliche IT-Sicherheitshandbuch,
  199. welches
  200. im Herbst erscheinen soll. Der von Dr. Leiberich geäusserte Wunsch, 
  201. daß
  202. sich das BSI vordringlich mit Verschlüsselung und Lauschabwehr - gerade
  203. auch im Hinblick auf neue Gefahren von innen und außen - schlägt sich hier
  204. deutlich nieder. 
  205. <p>
  206.  
  207. Referat V 1, ORR Felzmann, -234
  208. <p>
  209.  
  210. Systembezogene Risikoanalyse
  211. <p>
  212.  
  213. Referat V 2, ORR van Essen, -228
  214. <p>
  215.  
  216. IT-Sicherheitstandards
  217. <p>
  218.  
  219. Referat V 3, BD Dr. Kreutz, -229
  220. <p>
  221.  
  222. Maßnahmen zur Systemsicherheit
  223. <p>
  224.  
  225. Referat V 4, ORR Dr. Kersten, -237
  226. <p>
  227.  
  228. Evaluierung von IT-Systemen/-Komponenten
  229. <p>
  230.  
  231. Referat V 5, ORR Dr. Ganser,  
  232. <p>
  233.  
  234. Technik für Systemevaluierung und -entwicklung
  235. <p>
  236.  
  237. Abteilung VI, "Beratung und Unterstützung", N.N.
  238. <p>
  239.  
  240. Die Planstellen in dieser Abteilung können frühestens
  241. 1992 beantragt
  242. werden. Allein die Beratungseinheit für den materiellen
  243. Geheimschutz 
  244. existiert, weil diese vom Verfassungsschutz übernommen wurden.
  245. <p>
  246.  
  247. Referat VI 1, N.N.
  248. <p>
  249.  
  250. Grundsatz, Schulung, Informationsdienst
  251. <p>
  252.  
  253. Referat VI 2, RD Meissner, (0221) 7922508
  254. <p>
  255.  
  256. Beratungsdienst I
  257. <p>
  258.  
  259. Referat VI 3, N.N.
  260. <p>
  261.  
  262. Beratungsdienst II
  263. <p>
  264.  
  265. Referat VI 4, N.N.
  266. <p>
  267.  
  268. Unterstützung der Polizeien,
  269. Strafverfolgungs- und 
  270. Verfassungsschutzbehörden,
  271. Auswertung der 
  272. Sicherheitserkenntnisse. 
  273. <p>
  274.  
  275.  
  276. <h2>Personal</h2>
  277. <p>
  278.  
  279. Für das Jahr 1991 verfügt das BSI über 278 Planstellen/Stellen. Davon
  280. wurden
  281. 153 vom BND, 41 von BfV und 24 vom BGS übernommen, sowie 60 neu geschaffen.
  282. In den nächsten Jahren soll für 1992 50, für 1993 10 und für 1994 15 
  283. weitere Planstellen/Stellen geschaffen werden. Innerhalb der Abteilungen
  284. besteht folgenes Verhältnis der Planstellen/Stellen: 
  285. <p>
  286.  
  287. \settabs\+ABTEILUNGXSSSAX&X123X\cr
  288. \+Abteilung I&61\cr
  289. \+Abteilung II&18\cr
  290. \+Abteilung III&18\cr
  291. \+Abteilung IV&119\cr
  292. \+Abteilung V&40\cr
  293. \+Abteilung VI&18\cr
  294. <p>
  295.  
  296. Zum Teil wird das Personal übergangsweise in seinen ursprünglichen 
  297. Dienststellen beim BfV und beim BGS unterkommen.
  298. Den Stellenwert der einzelnen Abteilungen kann jeder Anhand der 
  299. Personalzahlen und im Verhältnis zu den Aufgaben gemäss BSIG
  300. (siehe Chalisti 14)
  301. selbst ablesen. Aber auch die Finanzen können über das BSI eine Menge 
  302. aussagen. Besonders zu kritisieren ist der Punkt "Beratung". Die Abteilung
  303. IV 
  304. wird nur langsam erweitert und erreicht als einzige Abteilung ihre Ausbaustufe 
  305. erst 1994. 
  306. <p>
  307.  
  308.  
  309. <h2>Finanzen</h2>
  310. <p>
  311.  
  312. Dem BSI stehen im Haushaltsjahr 57,1 Millionen DM zur Verfügung. Davon
  313. 22,6 Millionen DM fuer Forschung. In diesen 22,6 Millionen sind insgesamt
  314. 15 Millionen für die ehemalige BND-Unterabteilung ZSI "Chiffrierverfahren
  315. und Meßverfahren fuer kompromittierende Abtrahlung" vorgesehen. Dazu hat
  316. der Bundesrechnungshof am 10.4.1991 für die Sitzung des Innenausschuss des
  317. Bundestages am 17.4. festgestellt: "Das BSI hat keine Forschungsarbeiten
  318. durchzuführen. Diese ursprünglich im BSI-Errichtungsgesetz aufgenommene
  319. Aufgabe wurde bei den Ressortberatungen ausdrücklich gestrichen, um eine
  320. praxisbezogene Arbeitsweise des Bundesamtes sicherzustellen.". Es werden
  321. also Gelder nicht gesetzgemäß eingesetzt. Laut Auskunft eines Mitarbeiters
  322. des BSI soll aber der Bundesrechnungshof (BRH) dies inzwischen teilweise
  323. zurückgenommen haben. Allerdings konnten wir in keiner unserer Unterlagen
  324. - bis hin zum Antrag auf eine entsprechende Gesetzesänderung, die diese
  325. Haushaltsmittel betreffen - für diese Aussage einen Beleg finden. 
  326. <p>
  327.  
  328. Aber nicht nur die Tatsache ist interessant. Auch für was dieses Geld
  329. im Bereich der Forschung ausgegeben wird. Schon bestehende Verträge über 
  330. Entwicklungen beim BSI regen zum Denken an:
  331. <p>
  332.  
  333. - Entwicklung eines hochintegrierten
  334. Kryptomoduls für den
  335. universellen Einsatz in IT-Sicherheitsprodukten: 1.000.000 DM
  336. <p>
  337.  
  338. - Entwicklung eines Schlüsselgerätes für packetvermittelte
  339. Netze (Datex-P). Dieses Gerät kann auch für Verbindungen zwischen Rechnern
  340. verwendet werden, die über das Breitband-ISDN verbunden sind: 500.000 DM 
  341. <p>
  342.  
  343. (Anm. der Redaktion: <i>Challisti</i>
  344. Die Verschlüsselung von DatexP und ISDN Inhaltsdaten
  345. (vermutlich auf der Ebene des HDLC) ist eine Maßnahme, die besonders für
  346. Militärs und Behörden interessant ist. Wirtschaft und noch mehr die
  347. Gesellschaft müßen genauso an dem Schutz der Verkehrsdaten (Wer mit wem
  348. wann was) interessiert sein. Entsprechende Mechanismen existieren in 
  349. der Theorie, wie z.B. an der Uni Karlsruhe bei Dr. A. Pfitzmann, aber 
  350. diesbezügl. ist beim BSI nix zu sehen. Der Staat schützt sich, 
  351. vergißt aber die Bürger zu schützen. Dies ist auch ein kleiner Punkt,
  352. der aufzeigt WO das BSI SChwerpunkte setzt.)
  353. <p>
  354.  
  355. - Entwicklung von Kleinschlüsselgeräten für den
  356. Polizeibereich, um diese weitgehend abhörsicher zu machen: 500.000 DM
  357. <p>
  358.  
  359. - Entwicklung von hochintegrierten Kryptochips,
  360. die bei vielen Anwendungen in der IT verwendet werden: 1.600.000 DM
  361. <p>
  362.  
  363. - Entwicklungen auf dem Gebiet der Abstrahlmeßtechnik und Lauschabwehr (z.B.
  364.   Entwicklung eines speziellen Meßempfängers und einen 
  365.   Röntgenmeßplatzes): 1.668.000 DM
  366. <p>
  367.  
  368. Diese sind exemplarisch für Gegenstände im Haushaltsplan die auf Grund
  369. ihrer Techniken zentral fuer Geheimdienste oder das Militär interessant sind. 
  370. Dem gegenüber stehen aber auch Mittel für Aufgaben, die eher für die
  371. Wirtschaft und Gesellschaft wichtig sein könnten:
  372. <p>
  373.  
  374. - Erprobungsmuster Schlüsselmittelverteilung (KDC):
  375. 5.000.000 DM
  376. <p>
  377.  
  378.   (Anm. der Redaktion: Dies könnte für Verfahren der elektronischen
  379.    Unterschrift wie z.B. TeleTrust bei der GMD interessant sein)
  380. <p>
  381.  
  382. - Erstellung des IT-Sicherheitshandbuches: 40.000 DM
  383.   (Anm. der Redaktion: Soll im Herbst erscheinen und enthällt z.B. auch
  384.    zwei Kapitel über Risikoabschätzung und Technologiefolgenabschätzung).
  385. <p>
  386.  
  387. - Entwicklung von asymetrischen Verfahren für die Verschlüsselung von
  388.   Authentisierungs- und Signatureverfahren (elektronische Unterschrift).
  389.   (Anm. der Redaktion: Asymetrische Verfahren sind Public Key Kryptoverfahren,
  390.    wie z.B. RSA (dazu siehe Chalisti 6)). 
  391. <p>
  392.  
  393. Bedenklich sind dann aber schon wieder angegebene Sachmittel für die
  394. Evaluierung des Betriebssysteme von Siemens BS 2000 (450.000 DM) und 
  395. Sinix (40.000). Hier ist klar die Frage zu stellen, warum die 
  396. Betriebssysteme von Siemens auf Kosten des Steuerzahlers evaluiert werden.
  397. Bei einer Einstufung des Systemes in die IT-Sicherheitskriterien entstehen
  398. der Firma klare Wettbewerbsvorteile gegenüber anderen Mitbewerbern und
  399. ein solcher Eingriff in den Markt ist sicher nicht zulässig. Natürlich
  400. könnte angeführt werden, daß diese Betriebssysteme in der öffentlichen
  401. Verwaltung eingesetzt werden und daher die Einstufung für den Bund 
  402. interessant ist. Für den Fall ist natürlich zu fragen, ob die entstehenden
  403. Kosten der Evaluation bei Entscheidungen über neue Anschaffungen
  404. berücksichtigt werden und ob solche Firmen wie Siemens die Ergebnisse der
  405. Evaluation erfahren und damit dann auch wieder Werbung machen könnten. 
  406. Dabei existiert klar die Aussage aus dem BSI, daß die Zertifizierung vom 
  407. Antragssteller zu bezahlen ist und dafür gibt es auch einen entsprechende
  408. Gebührentabelle. Auf Anfrage wurde uns mitgeteilt, daß die im
  409. Haushaltsplan keine Evaluationskosten, sondern Forschungsmittel darstellen. 
  410. Warum
  411. steht da aber explizit "Evaluation des Betriebssystemes BS2000" ???
  412. Eine andere Auskunft lautete, daß diese Evaluationen noch aus der Zeit
  413. des ZSI seien. Auf der einen Seite meint das BSI, daß es nicht fair wäre
  414. immer an ihre Vergangenheit zu erinnen, da sie ja etwas neues seien. Auf
  415. der anderen Seite werden größere Summen für Aufgaben aus dieser 
  416. Vergangenheit bereitgestellt. Schizophren ?
  417. <p>
  418.  
  419. Auf jeden Fall ist im Vergleich zu der Gesamtaufwendung, ist der Bereich 
  420. der potentiell wirklich beitragen könnte bestimmte Risiken für die 
  421. Gesellschaft zu vermindern recht lächerlich und wohl eher mit anderer 
  422. Intention in den Plan genommen worden. Dabei ist dies auch eine Aufgabe
  423. des BSI. 
  424. <p>
  425.  
  426. Natürlich sind nicht nur die laufenden Verträge - die zum Teil noch aus
  427. ZSI-Zeiten sind - interessant, weil sie wenig über die aktuelle Arbeit. 
  428. des BSI aussagen. Daher sind die demnächst vorgesehenen Vergaben noch weit 
  429. aus interessanter. Geplant sind:
  430. <p>
  431.  
  432. - Sicherheitsuntersuchung des Secury Communication Processor SCOMP
  433. der Firma Honeywell; Einsatz geplant bei NATO-Agenturen: 750.000 DM
  434. <p>
  435.  
  436. - Untersuchung des Betriebssystemes OS/2 mit
  437. Zusatzkomponenten 
  438. (Voruntersuchungen schon 1990 durchgeführt): 650.000 DM. 
  439. <p>
  440.  
  441. - Entwicklung eines Prototyps für die Datensicherung in
  442. lokalen Netzwerken (geplant für AA): 900.000 DM
  443. <p>
  444.  
  445. - Weiterentwicklung (Anm. der Redaktion: !!!) von 
  446. Protokollierungsverfahren zur Erfassung 
  447. sicherheitsrelevanter Ereignisse
  448. (Datenveränderung,
  449. Manipulation, u.a.): 150.000 DM
  450. <p>
  451.  
  452. - Nutzung von Entwicklungen der künstlichen Intelligenz zur
  453. Sicherheitsüberwachung von Anwenderhandlungen in 
  454. IT-Systemen
  455. <p>
  456.  
  457. (Anm. der
  458. Redaktion: Oder anders gesagt: Little Brother is watching you, on your
  459. system): 150.000 DM
  460. <p>
  461.  
  462. - Entwicklung und Weiterführung von "Anti-Viren"-Programmen
  463. und -Aktionen, 
  464. besonders für den Bereich der Bundes- und Länderbehörden:
  465. 70.000 DM
  466. <p>
  467.  
  468. - Studie über eine Informationsbank zur Beratung über den
  469. Einsatz von
  470. IT-Sicherheitsprodukten: 178.000 DM
  471. <p>
  472.  
  473. - Marktstudie über PC's und Netzwerke als Grundlage für
  474. Beratung und Entwicklung: 69.000 DM
  475. <p>
  476.  
  477. - Entwicklung eines Werkzeuges zur Spezifikation und
  478. Verifikation von IT-sicherheitsrelevanter Software
  479. <p>
  480.  
  481. - Studie über die Sicherheit eines 
  482. Bürokommunikationssystems im
  483. Bundeskanzleramt: 100.000 DM
  484. <p>
  485.  
  486. - Entwicklung eines Überwachungszusatzes für
  487. Abstrahluntersuchungen an IT-Sicherheitsprodukten:
  488. 200.000 DM
  489. <p>
  490.  
  491. - Entwicklung von Prototypen des Schlüsselgerätes
  492. ELCORVOX 1-5: 800.000 DM
  493. <p>
  494.  
  495.  
  496. Bei diesen Zahlen verwundert das Resümee des BRH nicht: "Wir haben den
  497. Eindruck, daß die neuen, durch das BSI-Gesetz festgelegten Aufgaben, die
  498. letztlich die Ursache für die Errichtung des BSI waren, über die
  499. Wahrnehmung der alten, noch aus dem BND-Bereich stammenden Aufgaben nicht 
  500. ihrer 
  501. Bedeutung entsprechend berücksichtigt werden. [...] Erkenntnisse aus
  502. unseren Prüfungen auf dem Gebiet der Sicherheit der Informationstechnik
  503. zeigen, daß die festgestellten, schwerwiegenden Mängel nicht aus fehlenden
  504. Chiffrierverfahren und -geräten resultieren, sondern wesentlich im 
  505. fehlerhaften Einsatz und der mangelnden Kontrolle der IT begründet sind. 
  506. U.E. sollte die Errichtung des BSI nicht als Fortführung der Arbeiten 
  507. der ehemaligen BND-Unterabteilung ZSI mit zusätzlichen Aufgaben in einem
  508. anderen Geschäftsbereich verstanden werden; die Aufgabenschwerpunkte 
  509. sollten sich vielmehr im gesetzlich festgelegten Rahmen am vordringlichen
  510. Bedarf der gesamten Bundesverwaltung orientieren."
  511. <p>
  512.  
  513. <h2>Ein Schnitt für das BSI ?</h2>
  514. <p>
  515.  
  516. Als CCC'ler bin ich zusätzlich der Meinung, daß genau diese Fortführung
  517. der ZSI im BSI vielfach befürchtet wurde, und nun anscheinend auch
  518. eintreten. Die Warnungen an Öffentlichkeit und Politik sind Jahre alt und
  519. wurden kaum gehört. Egal ob diese von bekannten Professoren oder 
  520. verschiedenen gesellschaftlichen Gruppen vorgebracht wurden. Es ist 
  521. erfreulich, daß der Bundesrechnungshof von selbst die Erkenntnis gewonnen
  522. hat, daß diese Befürchtungen evntl. doch der Wahrheit entsprechen 
  523. könnten
  524. und von seiner Seite her auch Taten folgen läßt. So hat der BRH
  525. im Änderungsantrag vom 21.5.1991 dem Bundestag vorgeschlagen, die Titel
  526. die sich auf "Kosten für Forschungs- und Entwicklungsvorhaben" beziehen
  527. sowie den damit in Zusammenhang stehenden Erwerb von Geräten, etc zu
  528. sperren. Dabei handelt es sich ingesamt um eine Summe von 12,45 Millionen DM. 
  529. <p>
  530.  
  531. Wie der BRH bin ich auch der Meinung, daß die Beratung gerade des normalen
  532. Betroffenen garnicht und die Beratung der Wirtschaft kaum berücksichtigt  
  533. wurde. Leider hat das BRH sich garnicht zum Bereich der Forschung im Bereich
  534. der Technologiefolgenabschätzung geäußert. Hierfür scheint es keinen
  535. einzigen Pfennig zu geben. Dabei sollte (und laut BSIG ist es das auch) 
  536. gerade dies eine Aufgabe des BSI sein. Es soll bei Gesetzen beratend tätig 
  537. werden und muß auf die möglichen Risiken des Einsatzes der IT aufmerksam 
  538. machen. Dieser erst nachträglich aufgenommene Punkt im Artikel 2, Abs. 7
  539. BSIG sollte weit aus mehr in Personal und finanziellen Mitteln 
  540. berücksichtigt werden. 
  541. <p>
  542.  
  543. Nun folgen noch einige Randbemerkungen über das BSI, die doch den
  544. ersten Eindruck weiter verstärken.
  545. <p>
  546.  
  547. <h2>Was ist mit den 40 Ex-DDRlern ?</h2>
  548. <p>
  549.  
  550. Schon in der Chalisti 14 erwähnten wir einen anderen Punkt im Bezug auf
  551. das BSI. Nämlich die Ausweisung von 40 Mitarbeitern des ehemaligen 
  552. zentralen Chiffrierorgan (ZCO) der DDR. Diese wurden - anders als viele 
  553. andere aus dem ehemaligen Ministerum des Innern der DDR - nicht zum 31.12.1990
  554. gekündigt, sondern wurden erstmal übernommen und dem BSI zugeteilt. Ihr
  555. Arbeitsverhältnis sollte auf Grund einer Kabinettsentscheidung, daß keine
  556. MdI-Mitarbeiter in Bundesbehörden übernommen werden sollen, am 31.3.1991
  557. erlöschen. Auf Anfrage der Bundestagsabgeordneten Frau Ingrid Köppe
  558. von B90/Grüne aus Sachsen-Anhalt nach Verbleib dieser 30 Mitarbeiter wurde
  559. ihr mitgeteilt, daß im BSI nie Mitarbeiter des ZCO beschäftigt wurden und
  560. werden. Die damals ausgewiesenen Mitarbeiter hatte die Aufgabe des ZCO 
  561. aufzulösen. Warum nun allerdings gerade SekretärInnen und Kryptgraphen
  562. (die stellen die Mehrheit dieser 40 Leute) besonders geeignet sind das
  563. ZCO aufzulösen ist ebenfalls unklar. Was aus diesen Mitarbeitern geworden 
  564. ist, wird nicht deutlich. 
  565. <p>
  566.  
  567. <h2>Big BSI ist watching you ?</h2>
  568. <p>
  569.  
  570. Das BSI nimmt natürlich auch an Forschungs- und privaten Netzen teil. 
  571. Dabei wird es von den wenigstens wahrgenommen, dabei werden im BSI 
  572. explizit auch die Newsgruppen (Bretter) gelesen. Dabei werden
  573. betreffende Beiträge auch genommen, gedruckt und an die betreffenden
  574. Stellen In-House verteilt. Dabei ist unklar, in wie weit Beiträge
  575. rausgefischt werden, die das BSI direkt oder nur in seiner Arbeit betreffen. 
  576. Ebenfalls unklar ist, wie diese Beiträge erfaßt und archiviert werden,
  577. und vielleicht eines Tages dem Autor zum Nachteil gereichen. Dabei ist
  578. besonders zu bedenken, daß Schreiber von Beiträgen in den Netzen nicht
  579. durch das Presserecht geschützt werden. Ob hier einfach Gedankenlosigkeit
  580. oder nur die Nutzung und Freundlichkeit Einzeler gegenüber Mitarbeiter
  581. im BSI herauskristalisiert, kann nicht gesagt werden.
  582. Um aber das richtige Verhältnis dazustellen sollte deutlich folgenes gesagt 
  583. werden: Es sieht nicht danach aus, als würden Nachrichten systematisch und 
  584. regelmässig gelesen und weiterverteilt oder gar weiterverarbeitet. Es 
  585. sprechen fehlendes Personal beim BSI sowie Äusserungen einzelner BSI'ler 
  586. dagegen.  Aber das Gefühl, daß ein Bundesamt wie das BSI mitliesst, wird 
  587. sicher bei einzelnen dazu führen, daß sie ihr Netzgeflogenheiten ändern.
  588. Ein Bundesamt mit einem gewissen 
  589. Prozentsatz von ehemaligen Mitarbeitern von BKA, BND, BfV und BGS ist, sollte 
  590. sich nicht im geheimen, sondern öffentlich im Netz darstellen. Wie in
  591. der BSI-Dokumentation geschrieben, ist das BSI auf Vertrauen angewisen. 
  592. Dieses muss geschaffen werden. 
  593. Leugnen der Vergangenheit gilt da recht wenig ...
  594. <p>
  595.  
  596. <h2>Das BSI rät</h2>
  597. <p>
  598.  
  599. Nach Vorbild der amerikanischen Computer Emergency Response Teams, sollen
  600. in Deutschland und Europa Anlaufstellen für Sicherheitsprobleme eingerichtet
  601. werden. Ein Ziel solcher Anlaufstellen in den USA ist es, daß eventuelle
  602. Angriffe und Sicherheitslöcher schnell an die betroffenen und verantwortlichen
  603. Stellen weitergeleitet werden können. In den USA wird das CERT von einer
  604. Gruppe Leute betrieben, die mit möglichst wenig Formalien auskommen, 
  605. allerdings ein Zugriffsverfahren unterhalten, welches regelt wer welche
  606. Informationen bekommen kann. Das BSI ist natürlich auch in den 
  607. Verteilern 
  608. der amerikanischen CERT's und zwar mit der höchsten Priorität. 
  609. <p>
  610.  
  611. In Deutschland ist noch unklar, welche rechtliche Grundlagen und welche
  612. Struktur das CERT in Deutschland schlußendlich besitzen soll. Diese Fragen
  613. werden im BSI gerade angegangen und sollen bis Ende des Jahres geklärt sein.
  614. Gewünscht wird, daß dezentral Ansprechpartner als CERT vorhanden sind und
  615. dort in den verschiedenen Problembereichen helfen können. Allerdings gibt 
  616. es für die spezielle Problematik  "Viren" schon zwei Anlaufstellen: Das 
  617. Viren-Text Center in Hamburg von Prof. Brunnstein und das Mikrobitcenter 
  618. der Uni Karlsruhe. Auf weitere muß wohl noch gewartet werden. 
  619. <p>
  620.  
  621. Im Augenblick existiert aber schon KITS. Dies steht für
  622. Kommunikationsplan IT-Sicherheit und soll auf Behördenebene die
  623. zügige
  624. Verteilung von
  625. Information bezügl. Angriffe und Sicherheitsproblemen
  626. gewährleisten. 
  627. Falls ein solcher Fall eintritt, dann gehen die Informationen an eine Stelle
  628. im Bundeskriminalamtes. Das BKA informiert dann das Bundesinnen-, das
  629. Bundesverteidigungs- und das Bundeswirtschaftsministerium,
  630. die obersten 
  631. Bundesbehörden, denn Bundestag, den Bundesrat, die Bundesbank, das Bumdesamt
  632. für Verfassungsschutz, den Bundesbeauftragten für den Datenschutz, das
  633. Bundesverfassungsgericht, den Bundesrechnungshof, natürlich das BSI, 
  634. das Bundesverwaltungsamt, sowie die Landeskriminalämter. Bei Bedarf
  635. werden auch die Landesämter für den Verfassungsschutz sowie die
  636. IT-Hersteller benachrichtigt. Letzteres geschieht über ausgewählte
  637. Verbände, die entsprechend angeschrieben werden.
  638. <p>
  639.  
  640. <h2>Quo vadis BSI ?</h2>
  641. <p>
  642.  
  643. In und um das BSI geht es weiter neblig zu. Die Befürchtung, daß das
  644. BSI zu einem deutschen NIST bzw. NCSA oder gar NSA werden könnte, sind 
  645. auch auf Grund des heutigen Kenntnisstandes nicht auszuschließen. 
  646. Natürlich sind auch optimistische Töne aus dem BSI zu vernehmen. So
  647. ist geplant, daß über Mailarchive, und Textserver wichtige
  648. Informationen
  649. verfügbar gemacht werden soll. Außerdem wird das BSI,
  650. sobald seine
  651. Verbindungen ins EUnet stabil funktionieren, auch
  652. entsprechende Informationen
  653. über diesen Weg verbreiten. Im Augenblick hält mensch sich damit noch
  654. bedeckt. Verwirrende Postings mit dem Absender zsi.uucp, verlorengegangene
  655. Mails an diese Adresse, nicht beantwortete Mails an bsi.de hängen alle
  656. damit zusammen, daß die Netzwerkverbindungen beim BSI erst sicher gestaltet
  657. werden sollen. Wie sagte jemand noch aus dem BSI ? "Was könnte sich ein 
  658. Hacker schöneres vorstellen, als ins BSI reinzukommen". Auf jeden Fall
  659. denkt das BSI wohl an mehr Transparenz als im Augenblick realisiert scheint.
  660. <p>
  661.  
  662. Autor: terra
  663. <i>Dieser Artikel ist zwar etwas älter, zeigt aber die Probleme 
  664. auf, die nicht nur wir mit dem BSI haben, insofern wünschen wir dem 
  665. neuen Leiter Dr. Henze viel Glück, und hoffen, daß er auch 
  666. einige Semester Philosophie studiert hat. Denkt auch an eure Kinder, 
  667. die Kinder</i>
  668. <p>
  669.  
  670.