home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chaos CD Blue
/
Chaos_CD_Blue__[1999].iso
/
ds
/
43
/
007_bsi_schrecken.html.orig
< prev
next >
Wrap
Text File
|
1999-04-05
|
25KB
|
670 lines
<h2>Aus Chalisti 15:</h2>
<h1>BSI: Doch ein Schrecken ?</h1>
Ein halbes Jahr existiert das neue Bundesamt für Sicherheit in der
Informationstechnik schon. Im Augenblick noch in 3 Häusern getrennt
untergebracht, wird das neue alte Bundesamt im August in sein Gebäude
in Bonn-Bad Godesberg, gegenüber dem Hotel Maritim, einziehen.
<p>
Interessant für uns sind aber weniger die neuen Gebäude, als eher
die Arbeit des Bundesamtes. Wie in der Chalisti 14 geschrieben, ist
das BSI mit seinem Arbeitsbereich für den CCC ein Augenmerk wert.
Die Frage, ob - und besonders wie - es seine Aufgaben wahrnimmt ist
nicht nur für uns, sondern für die Gesellschaft im allgemeinen von
besonderer Wichtigkeit. Wenigstens sollte es so sein, aber das Amt kann
im Stillen seinem Aufbau nachgehen und bekommt von vielen Seiten - auch
Journalisten - eine Schonfrist zugestanden. Wir halten im Hinblick auf
die zukünftige Entwicklung der Gesellschaft zur Informationsgesellschaft
die Arbeit des Bundesamtes für zu wichtig, um es jetzt einer zu langen
Schonung zu gewähren. 100 Tage sind lange vorbei, also machen wir uns
Gedanken über das BSI ...
<p>
Am Anfang sehen wir unsere Aufgabe darin weitere Informationen über das
BSI zu geben, so wie es uns bekannt und belegbar sind. Die wichtigsten
Informationen über eine zentrale staatliche Stelle sind Personen,
Struktur und Finanzen. Also beschäftigen wir uns erstmal mit diesen
Punkten. Dabei wollen wir versuchen besonders Zusammenhänge und
Hintergrundwissen zu vermitteln. Wir tragen dabei u.a. auch Material zusammen,
welches schon im Spiegel oder anderen Publikationen veröffentlicht wurde.
<p>
<h2>Struktur</h2>
<p>
An der Spitze des BSI steht als Präsident Dr. Otto Leiberich. Knapp
über 60 Jahre alt, 1946 Abitur, 1947 Mathematik an der Uni Köln
studiert, 1953 Promotion mit einem Thema aus der höheren Algebra, danach
wissenschaftliche Tätigkeit, dann Dienst in der Zentralstelle für
Chiffrierwesen (ZfCh) und dem späteren ZSI. Davon zwischen 1962 und
1974 Chefmathematiker und seit 1974 Leiter des ZSI und eben heute
Präsident des BSI.
Als Vizepräsident steht ihm Dr. Mertz beiseite.
<p>
Diesen beiden Personen sind die 6 Abteilungen des BSI unterstellt.
Desweiteren sind diese Abteilungen in mehrere Referate unterteilt. Wir stellen
sie hier dar, wie der Stand am 25. März 1991 war. Die Quelle sind die
Informationen über "Struktur, Ausstattung und Planungen des BSI vom
5.4.1991". Soweit wir hier feststellen konnten, hat sich weder an der
Struktur noch an den Personen wesentliches verändert. Insbesondere sind
die hier als N.N. angegebenen Posten bis heute noch nicht besetzt worden.
<p>
Abteilung I "Zentrale Aufgaben", Dr. Mertz, Durchwahl: -655
<p>
Referat I 1, RR Dickopf, -313
<p>
Grundsatz, Recht, Organisation, IT-Koordinierung,
Zentrale Dokumentation, Bibliothek,
Öffentlichkeitsarbeit
<p>
Referat I 2, RD'n Dr. Werthebach, 346599
<p>
Personal
<p>
Referat I 3, Wahrnehmung durch AL I
<p>
Haushalt, Beschaffung
<p>
Referat I 4, RR Samsel, -653
<p>
Innerer Dienst, Sicherheit
<p>
Abteilung II, "Wissenschaftliche Grundlagen und
Zertifizierung", N.N.
<p>
Zu dieser Abteilung gehört unter anderem auch die
Technologiefolgenabschätzung unter
IT-Sicherheitsaspekten, wobei diese im
Augenblick eher
von Abteilung zu Abteilung geschoben wird. Es fühlt sich de
facto keiner
zuständig. <i>Kollege kommt gleich..., der gast</i>
Die Hoffnung auf eine eigene Abteilung dieses komplexen Themas
und Forschunggebietes kann schon jetzt so gut wie aufgegeben werden.
<p>
Geplante Unterteilung:
<p>
- Mathematische Grundlagen
<p>
- Technische Grundlagen
<p>
- Allgemeine Analyse des Gefährdungspotentials, Grundlage der
Systemsicherheit und Evaluierung
<p>
- Zertifizerung, Zulassung, Normung
<p>
Abteilung III, "Mathematische Sicherheit", RD Hange, -660
<p>
Dieser Abteilung obliegt im Rahmen des Par. 3, Abs. 1, Nr. 6 BSIG bei
Bedarf auch der Entzifferung von Straftätern entwickelter Verfahren zur
Verschlüsselung, z.B. aus der Rauschgiftszene.
<p>
Referat III 1, N.N.
<p>
Entwicklung mathematischer Sicherungsverfahren
<p>
Referat III 2, ORR Dr. Liebefrau, -658
<p>
Evaluierung mathematischer Sicherungsverfahren
<p>
Referat III 3, N.N.
<p>
Sicherheitsanalyse
<p>
Referat III 4, RD Bahr, -659
<p>
Software-Realisierung mathematischer
Sicherungsverfahren
<p>
Abteilung IV, "Technische Sicherheit", VA Schwirkmann, -569
<p>
Diese Abteilung begleitet die Entwicklung von neuen Produkten bezügl.
Sicherheitserkenntnissen und verfügt über langjährige Erfahrungen
mit den zuständigen Stellen in den USA und bei der NATO.
<p>
Referat IV 1, BD Siedentop, -573
<p>
Technische Realisierung mathematischer
Sicherungsverfahren
<p>
Referat IV 2, BOD Dr. Hembach, -641
<p>
Verschlüsselungssysteme
<p>
Referat IV 3, BD Koos, -423
<p>
Schlüsselmittel
<p>
Referat IV 4, BD Dr. Dorst, -546
<p>
Abstrahlsicherheit
<p>
Referat IV 5, BOR Sanne, (02254) 38-(1) 276 (ehemals BSG/BMI)
<p>
Lauschabwehr, Abstrahl- und Lauschabwehrprüfungen
<p>
Referat IV 6, RD Schnelder, (0221) 7924205
<p>
Materielle Sicherungstechnik
<p>
Abteilung V, "Sicherheit in Rechnersystemen", LRD Everts, -232
<p>
Aus dieser Abteilung kommen die bekannten IT-Sicherheitskriterien, sowie
das gerade in Vorbereitung befindliche IT-Sicherheitshandbuch,
welches
im Herbst erscheinen soll. Der von Dr. Leiberich geäusserte Wunsch,
daß
sich das BSI vordringlich mit Verschlüsselung und Lauschabwehr - gerade
auch im Hinblick auf neue Gefahren von innen und außen - schlägt sich hier
deutlich nieder.
<p>
Referat V 1, ORR Felzmann, -234
<p>
Systembezogene Risikoanalyse
<p>
Referat V 2, ORR van Essen, -228
<p>
IT-Sicherheitstandards
<p>
Referat V 3, BD Dr. Kreutz, -229
<p>
Maßnahmen zur Systemsicherheit
<p>
Referat V 4, ORR Dr. Kersten, -237
<p>
Evaluierung von IT-Systemen/-Komponenten
<p>
Referat V 5, ORR Dr. Ganser,
<p>
Technik für Systemevaluierung und -entwicklung
<p>
Abteilung VI, "Beratung und Unterstützung", N.N.
<p>
Die Planstellen in dieser Abteilung können frühestens
1992 beantragt
werden. Allein die Beratungseinheit für den materiellen
Geheimschutz
existiert, weil diese vom Verfassungsschutz übernommen wurden.
<p>
Referat VI 1, N.N.
<p>
Grundsatz, Schulung, Informationsdienst
<p>
Referat VI 2, RD Meissner, (0221) 7922508
<p>
Beratungsdienst I
<p>
Referat VI 3, N.N.
<p>
Beratungsdienst II
<p>
Referat VI 4, N.N.
<p>
Unterstützung der Polizeien,
Strafverfolgungs- und
Verfassungsschutzbehörden,
Auswertung der
Sicherheitserkenntnisse.
<p>
<h2>Personal</h2>
<p>
Für das Jahr 1991 verfügt das BSI über 278 Planstellen/Stellen. Davon
wurden
153 vom BND, 41 von BfV und 24 vom BGS übernommen, sowie 60 neu geschaffen.
In den nächsten Jahren soll für 1992 50, für 1993 10 und für 1994 15
weitere Planstellen/Stellen geschaffen werden. Innerhalb der Abteilungen
besteht folgenes Verhältnis der Planstellen/Stellen:
<p>
\settabs\+ABTEILUNGXSSSAX&X123X\cr
\+Abteilung I&61\cr
\+Abteilung II&18\cr
\+Abteilung III&18\cr
\+Abteilung IV&119\cr
\+Abteilung V&40\cr
\+Abteilung VI&18\cr
<p>
Zum Teil wird das Personal übergangsweise in seinen ursprünglichen
Dienststellen beim BfV und beim BGS unterkommen.
Den Stellenwert der einzelnen Abteilungen kann jeder Anhand der
Personalzahlen und im Verhältnis zu den Aufgaben gemäss BSIG
(siehe Chalisti 14)
selbst ablesen. Aber auch die Finanzen können über das BSI eine Menge
aussagen. Besonders zu kritisieren ist der Punkt "Beratung". Die Abteilung
IV
wird nur langsam erweitert und erreicht als einzige Abteilung ihre Ausbaustufe
erst 1994.
<p>
<h2>Finanzen</h2>
<p>
Dem BSI stehen im Haushaltsjahr 57,1 Millionen DM zur Verfügung. Davon
22,6 Millionen DM fuer Forschung. In diesen 22,6 Millionen sind insgesamt
15 Millionen für die ehemalige BND-Unterabteilung ZSI "Chiffrierverfahren
und Meßverfahren fuer kompromittierende Abtrahlung" vorgesehen. Dazu hat
der Bundesrechnungshof am 10.4.1991 für die Sitzung des Innenausschuss des
Bundestages am 17.4. festgestellt: "Das BSI hat keine Forschungsarbeiten
durchzuführen. Diese ursprünglich im BSI-Errichtungsgesetz aufgenommene
Aufgabe wurde bei den Ressortberatungen ausdrücklich gestrichen, um eine
praxisbezogene Arbeitsweise des Bundesamtes sicherzustellen.". Es werden
also Gelder nicht gesetzgemäß eingesetzt. Laut Auskunft eines Mitarbeiters
des BSI soll aber der Bundesrechnungshof (BRH) dies inzwischen teilweise
zurückgenommen haben. Allerdings konnten wir in keiner unserer Unterlagen
- bis hin zum Antrag auf eine entsprechende Gesetzesänderung, die diese
Haushaltsmittel betreffen - für diese Aussage einen Beleg finden.
<p>
Aber nicht nur die Tatsache ist interessant. Auch für was dieses Geld
im Bereich der Forschung ausgegeben wird. Schon bestehende Verträge über
Entwicklungen beim BSI regen zum Denken an:
<p>
- Entwicklung eines hochintegrierten
Kryptomoduls für den
universellen Einsatz in IT-Sicherheitsprodukten: 1.000.000 DM
<p>
- Entwicklung eines Schlüsselgerätes für packetvermittelte
Netze (Datex-P). Dieses Gerät kann auch für Verbindungen zwischen Rechnern
verwendet werden, die über das Breitband-ISDN verbunden sind: 500.000 DM
<p>
(Anm. der Redaktion: <i>Challisti</i>
Die Verschlüsselung von DatexP und ISDN Inhaltsdaten
(vermutlich auf der Ebene des HDLC) ist eine Maßnahme, die besonders für
Militärs und Behörden interessant ist. Wirtschaft und noch mehr die
Gesellschaft müßen genauso an dem Schutz der Verkehrsdaten (Wer mit wem
wann was) interessiert sein. Entsprechende Mechanismen existieren in
der Theorie, wie z.B. an der Uni Karlsruhe bei Dr. A. Pfitzmann, aber
diesbezügl. ist beim BSI nix zu sehen. Der Staat schützt sich,
vergißt aber die Bürger zu schützen. Dies ist auch ein kleiner Punkt,
der aufzeigt WO das BSI SChwerpunkte setzt.)
<p>
- Entwicklung von Kleinschlüsselgeräten für den
Polizeibereich, um diese weitgehend abhörsicher zu machen: 500.000 DM
<p>
- Entwicklung von hochintegrierten Kryptochips,
die bei vielen Anwendungen in der IT verwendet werden: 1.600.000 DM
<p>
- Entwicklungen auf dem Gebiet der Abstrahlmeßtechnik und Lauschabwehr (z.B.
Entwicklung eines speziellen Meßempfängers und einen
Röntgenmeßplatzes): 1.668.000 DM
<p>
Diese sind exemplarisch für Gegenstände im Haushaltsplan die auf Grund
ihrer Techniken zentral fuer Geheimdienste oder das Militär interessant sind.
Dem gegenüber stehen aber auch Mittel für Aufgaben, die eher für die
Wirtschaft und Gesellschaft wichtig sein könnten:
<p>
- Erprobungsmuster Schlüsselmittelverteilung (KDC):
5.000.000 DM
<p>
(Anm. der Redaktion: Dies könnte für Verfahren der elektronischen
Unterschrift wie z.B. TeleTrust bei der GMD interessant sein)
<p>
- Erstellung des IT-Sicherheitshandbuches: 40.000 DM
(Anm. der Redaktion: Soll im Herbst erscheinen und enthällt z.B. auch
zwei Kapitel über Risikoabschätzung und Technologiefolgenabschätzung).
<p>
- Entwicklung von asymetrischen Verfahren für die Verschlüsselung von
Authentisierungs- und Signatureverfahren (elektronische Unterschrift).
(Anm. der Redaktion: Asymetrische Verfahren sind Public Key Kryptoverfahren,
wie z.B. RSA (dazu siehe Chalisti 6)).
<p>
Bedenklich sind dann aber schon wieder angegebene Sachmittel für die
Evaluierung des Betriebssysteme von Siemens BS 2000 (450.000 DM) und
Sinix (40.000). Hier ist klar die Frage zu stellen, warum die
Betriebssysteme von Siemens auf Kosten des Steuerzahlers evaluiert werden.
Bei einer Einstufung des Systemes in die IT-Sicherheitskriterien entstehen
der Firma klare Wettbewerbsvorteile gegenüber anderen Mitbewerbern und
ein solcher Eingriff in den Markt ist sicher nicht zulässig. Natürlich
könnte angeführt werden, daß diese Betriebssysteme in der öffentlichen
Verwaltung eingesetzt werden und daher die Einstufung für den Bund
interessant ist. Für den Fall ist natürlich zu fragen, ob die entstehenden
Kosten der Evaluation bei Entscheidungen über neue Anschaffungen
berücksichtigt werden und ob solche Firmen wie Siemens die Ergebnisse der
Evaluation erfahren und damit dann auch wieder Werbung machen könnten.
Dabei existiert klar die Aussage aus dem BSI, daß die Zertifizierung vom
Antragssteller zu bezahlen ist und dafür gibt es auch einen entsprechende
Gebührentabelle. Auf Anfrage wurde uns mitgeteilt, daß die im
Haushaltsplan keine Evaluationskosten, sondern Forschungsmittel darstellen.
Warum
steht da aber explizit "Evaluation des Betriebssystemes BS2000" ???
Eine andere Auskunft lautete, daß diese Evaluationen noch aus der Zeit
des ZSI seien. Auf der einen Seite meint das BSI, daß es nicht fair wäre
immer an ihre Vergangenheit zu erinnen, da sie ja etwas neues seien. Auf
der anderen Seite werden größere Summen für Aufgaben aus dieser
Vergangenheit bereitgestellt. Schizophren ?
<p>
Auf jeden Fall ist im Vergleich zu der Gesamtaufwendung, ist der Bereich
der potentiell wirklich beitragen könnte bestimmte Risiken für die
Gesellschaft zu vermindern recht lächerlich und wohl eher mit anderer
Intention in den Plan genommen worden. Dabei ist dies auch eine Aufgabe
des BSI.
<p>
Natürlich sind nicht nur die laufenden Verträge - die zum Teil noch aus
ZSI-Zeiten sind - interessant, weil sie wenig über die aktuelle Arbeit.
des BSI aussagen. Daher sind die demnächst vorgesehenen Vergaben noch weit
aus interessanter. Geplant sind:
<p>
- Sicherheitsuntersuchung des Secury Communication Processor SCOMP
der Firma Honeywell; Einsatz geplant bei NATO-Agenturen: 750.000 DM
<p>
- Untersuchung des Betriebssystemes OS/2 mit
Zusatzkomponenten
(Voruntersuchungen schon 1990 durchgeführt): 650.000 DM.
<p>
- Entwicklung eines Prototyps für die Datensicherung in
lokalen Netzwerken (geplant für AA): 900.000 DM
<p>
- Weiterentwicklung (Anm. der Redaktion: !!!) von
Protokollierungsverfahren zur Erfassung
sicherheitsrelevanter Ereignisse
(Datenveränderung,
Manipulation, u.a.): 150.000 DM
<p>
- Nutzung von Entwicklungen der künstlichen Intelligenz zur
Sicherheitsüberwachung von Anwenderhandlungen in
IT-Systemen
<p>
(Anm. der
Redaktion: Oder anders gesagt: Little Brother is watching you, on your
system): 150.000 DM
<p>
- Entwicklung und Weiterführung von "Anti-Viren"-Programmen
und -Aktionen,
besonders für den Bereich der Bundes- und Länderbehörden:
70.000 DM
<p>
- Studie über eine Informationsbank zur Beratung über den
Einsatz von
IT-Sicherheitsprodukten: 178.000 DM
<p>
- Marktstudie über PC's und Netzwerke als Grundlage für
Beratung und Entwicklung: 69.000 DM
<p>
- Entwicklung eines Werkzeuges zur Spezifikation und
Verifikation von IT-sicherheitsrelevanter Software
<p>
- Studie über die Sicherheit eines
Bürokommunikationssystems im
Bundeskanzleramt: 100.000 DM
<p>
- Entwicklung eines Überwachungszusatzes für
Abstrahluntersuchungen an IT-Sicherheitsprodukten:
200.000 DM
<p>
- Entwicklung von Prototypen des Schlüsselgerätes
ELCORVOX 1-5: 800.000 DM
<p>
Bei diesen Zahlen verwundert das Resümee des BRH nicht: "Wir haben den
Eindruck, daß die neuen, durch das BSI-Gesetz festgelegten Aufgaben, die
letztlich die Ursache für die Errichtung des BSI waren, über die
Wahrnehmung der alten, noch aus dem BND-Bereich stammenden Aufgaben nicht
ihrer
Bedeutung entsprechend berücksichtigt werden. [...] Erkenntnisse aus
unseren Prüfungen auf dem Gebiet der Sicherheit der Informationstechnik
zeigen, daß die festgestellten, schwerwiegenden Mängel nicht aus fehlenden
Chiffrierverfahren und -geräten resultieren, sondern wesentlich im
fehlerhaften Einsatz und der mangelnden Kontrolle der IT begründet sind.
U.E. sollte die Errichtung des BSI nicht als Fortführung der Arbeiten
der ehemaligen BND-Unterabteilung ZSI mit zusätzlichen Aufgaben in einem
anderen Geschäftsbereich verstanden werden; die Aufgabenschwerpunkte
sollten sich vielmehr im gesetzlich festgelegten Rahmen am vordringlichen
Bedarf der gesamten Bundesverwaltung orientieren."
<p>
<h2>Ein Schnitt für das BSI ?</h2>
<p>
Als CCC'ler bin ich zusätzlich der Meinung, daß genau diese Fortführung
der ZSI im BSI vielfach befürchtet wurde, und nun anscheinend auch
eintreten. Die Warnungen an Öffentlichkeit und Politik sind Jahre alt und
wurden kaum gehört. Egal ob diese von bekannten Professoren oder
verschiedenen gesellschaftlichen Gruppen vorgebracht wurden. Es ist
erfreulich, daß der Bundesrechnungshof von selbst die Erkenntnis gewonnen
hat, daß diese Befürchtungen evntl. doch der Wahrheit entsprechen
könnten
und von seiner Seite her auch Taten folgen läßt. So hat der BRH
im Änderungsantrag vom 21.5.1991 dem Bundestag vorgeschlagen, die Titel
die sich auf "Kosten für Forschungs- und Entwicklungsvorhaben" beziehen
sowie den damit in Zusammenhang stehenden Erwerb von Geräten, etc zu
sperren. Dabei handelt es sich ingesamt um eine Summe von 12,45 Millionen DM.
<p>
Wie der BRH bin ich auch der Meinung, daß die Beratung gerade des normalen
Betroffenen garnicht und die Beratung der Wirtschaft kaum berücksichtigt
wurde. Leider hat das BRH sich garnicht zum Bereich der Forschung im Bereich
der Technologiefolgenabschätzung geäußert. Hierfür scheint es keinen
einzigen Pfennig zu geben. Dabei sollte (und laut BSIG ist es das auch)
gerade dies eine Aufgabe des BSI sein. Es soll bei Gesetzen beratend tätig
werden und muß auf die möglichen Risiken des Einsatzes der IT aufmerksam
machen. Dieser erst nachträglich aufgenommene Punkt im Artikel 2, Abs. 7
BSIG sollte weit aus mehr in Personal und finanziellen Mitteln
berücksichtigt werden.
<p>
Nun folgen noch einige Randbemerkungen über das BSI, die doch den
ersten Eindruck weiter verstärken.
<p>
<h2>Was ist mit den 40 Ex-DDRlern ?</h2>
<p>
Schon in der Chalisti 14 erwähnten wir einen anderen Punkt im Bezug auf
das BSI. Nämlich die Ausweisung von 40 Mitarbeitern des ehemaligen
zentralen Chiffrierorgan (ZCO) der DDR. Diese wurden - anders als viele
andere aus dem ehemaligen Ministerum des Innern der DDR - nicht zum 31.12.1990
gekündigt, sondern wurden erstmal übernommen und dem BSI zugeteilt. Ihr
Arbeitsverhältnis sollte auf Grund einer Kabinettsentscheidung, daß keine
MdI-Mitarbeiter in Bundesbehörden übernommen werden sollen, am 31.3.1991
erlöschen. Auf Anfrage der Bundestagsabgeordneten Frau Ingrid Köppe
von B90/Grüne aus Sachsen-Anhalt nach Verbleib dieser 30 Mitarbeiter wurde
ihr mitgeteilt, daß im BSI nie Mitarbeiter des ZCO beschäftigt wurden und
werden. Die damals ausgewiesenen Mitarbeiter hatte die Aufgabe des ZCO
aufzulösen. Warum nun allerdings gerade SekretärInnen und Kryptgraphen
(die stellen die Mehrheit dieser 40 Leute) besonders geeignet sind das
ZCO aufzulösen ist ebenfalls unklar. Was aus diesen Mitarbeitern geworden
ist, wird nicht deutlich.
<p>
<h2>Big BSI ist watching you ?</h2>
<p>
Das BSI nimmt natürlich auch an Forschungs- und privaten Netzen teil.
Dabei wird es von den wenigstens wahrgenommen, dabei werden im BSI
explizit auch die Newsgruppen (Bretter) gelesen. Dabei werden
betreffende Beiträge auch genommen, gedruckt und an die betreffenden
Stellen In-House verteilt. Dabei ist unklar, in wie weit Beiträge
rausgefischt werden, die das BSI direkt oder nur in seiner Arbeit betreffen.
Ebenfalls unklar ist, wie diese Beiträge erfaßt und archiviert werden,
und vielleicht eines Tages dem Autor zum Nachteil gereichen. Dabei ist
besonders zu bedenken, daß Schreiber von Beiträgen in den Netzen nicht
durch das Presserecht geschützt werden. Ob hier einfach Gedankenlosigkeit
oder nur die Nutzung und Freundlichkeit Einzeler gegenüber Mitarbeiter
im BSI herauskristalisiert, kann nicht gesagt werden.
Um aber das richtige Verhältnis dazustellen sollte deutlich folgenes gesagt
werden: Es sieht nicht danach aus, als würden Nachrichten systematisch und
regelmässig gelesen und weiterverteilt oder gar weiterverarbeitet. Es
sprechen fehlendes Personal beim BSI sowie Äusserungen einzelner BSI'ler
dagegen. Aber das Gefühl, daß ein Bundesamt wie das BSI mitliesst, wird
sicher bei einzelnen dazu führen, daß sie ihr Netzgeflogenheiten ändern.
Ein Bundesamt mit einem gewissen
Prozentsatz von ehemaligen Mitarbeitern von BKA, BND, BfV und BGS ist, sollte
sich nicht im geheimen, sondern öffentlich im Netz darstellen. Wie in
der BSI-Dokumentation geschrieben, ist das BSI auf Vertrauen angewisen.
Dieses muss geschaffen werden.
Leugnen der Vergangenheit gilt da recht wenig ...
<p>
<h2>Das BSI rät</h2>
<p>
Nach Vorbild der amerikanischen Computer Emergency Response Teams, sollen
in Deutschland und Europa Anlaufstellen für Sicherheitsprobleme eingerichtet
werden. Ein Ziel solcher Anlaufstellen in den USA ist es, daß eventuelle
Angriffe und Sicherheitslöcher schnell an die betroffenen und verantwortlichen
Stellen weitergeleitet werden können. In den USA wird das CERT von einer
Gruppe Leute betrieben, die mit möglichst wenig Formalien auskommen,
allerdings ein Zugriffsverfahren unterhalten, welches regelt wer welche
Informationen bekommen kann. Das BSI ist natürlich auch in den
Verteilern
der amerikanischen CERT's und zwar mit der höchsten Priorität.
<p>
In Deutschland ist noch unklar, welche rechtliche Grundlagen und welche
Struktur das CERT in Deutschland schlußendlich besitzen soll. Diese Fragen
werden im BSI gerade angegangen und sollen bis Ende des Jahres geklärt sein.
Gewünscht wird, daß dezentral Ansprechpartner als CERT vorhanden sind und
dort in den verschiedenen Problembereichen helfen können. Allerdings gibt
es für die spezielle Problematik "Viren" schon zwei Anlaufstellen: Das
Viren-Text Center in Hamburg von Prof. Brunnstein und das Mikrobitcenter
der Uni Karlsruhe. Auf weitere muß wohl noch gewartet werden.
<p>
Im Augenblick existiert aber schon KITS. Dies steht für
Kommunikationsplan IT-Sicherheit und soll auf Behördenebene die
zügige
Verteilung von
Information bezügl. Angriffe und Sicherheitsproblemen
gewährleisten.
Falls ein solcher Fall eintritt, dann gehen die Informationen an eine Stelle
im Bundeskriminalamtes. Das BKA informiert dann das Bundesinnen-, das
Bundesverteidigungs- und das Bundeswirtschaftsministerium,
die obersten
Bundesbehörden, denn Bundestag, den Bundesrat, die Bundesbank, das Bumdesamt
für Verfassungsschutz, den Bundesbeauftragten für den Datenschutz, das
Bundesverfassungsgericht, den Bundesrechnungshof, natürlich das BSI,
das Bundesverwaltungsamt, sowie die Landeskriminalämter. Bei Bedarf
werden auch die Landesämter für den Verfassungsschutz sowie die
IT-Hersteller benachrichtigt. Letzteres geschieht über ausgewählte
Verbände, die entsprechend angeschrieben werden.
<p>
<h2>Quo vadis BSI ?</h2>
<p>
In und um das BSI geht es weiter neblig zu. Die Befürchtung, daß das
BSI zu einem deutschen NIST bzw. NCSA oder gar NSA werden könnte, sind
auch auf Grund des heutigen Kenntnisstandes nicht auszuschließen.
Natürlich sind auch optimistische Töne aus dem BSI zu vernehmen. So
ist geplant, daß über Mailarchive, und Textserver wichtige
Informationen
verfügbar gemacht werden soll. Außerdem wird das BSI,
sobald seine
Verbindungen ins EUnet stabil funktionieren, auch
entsprechende Informationen
über diesen Weg verbreiten. Im Augenblick hält mensch sich damit noch
bedeckt. Verwirrende Postings mit dem Absender zsi.uucp, verlorengegangene
Mails an diese Adresse, nicht beantwortete Mails an bsi.de hängen alle
damit zusammen, daß die Netzwerkverbindungen beim BSI erst sicher gestaltet
werden sollen. Wie sagte jemand noch aus dem BSI ? "Was könnte sich ein
Hacker schöneres vorstellen, als ins BSI reinzukommen". Auf jeden Fall
denkt das BSI wohl an mehr Transparenz als im Augenblick realisiert scheint.
<p>
Autor: terra
<i>Dieser Artikel ist zwar etwas älter, zeigt aber die Probleme
auf, die nicht nur wir mit dem BSI haben, insofern wünschen wir dem
neuen Leiter Dr. Henze viel Glück, und hoffen, daß er auch
einige Semester Philosophie studiert hat. Denkt auch an eure Kinder,
die Kinder</i>
<p>