BSI Jahresbericht 2004 - Bundesamt für Sicherheit in der ...
BSI Jahresbericht 2004 - Bundesamt für Sicherheit in der ...
BSI Jahresbericht 2004 - Bundesamt für Sicherheit in der ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Jahresbericht</strong> <strong>2004</strong><br />
<strong>Bundesamt</strong> <strong>für</strong> die <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> Informationstechnik<br />
www.bsi.bund.de
DAS BUNDESAMT FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK – <strong>BSI</strong><br />
Sichere Informationstechnik<br />
<strong>für</strong> unsere Gesellschaft<br />
Unser Leitbild<br />
<strong>2004</strong> wurde e<strong>in</strong> Leitbild <strong>für</strong> das <strong>BSI</strong> entwickelt. Alle Mitarbeiter<strong>in</strong>nen und Mitarbeiter des<br />
Amtes waren dazu aufgerufen, sich an <strong>der</strong> Gestaltung und Ausarbeitung des Leitbildes aktiv<br />
zu beteiligen. Durch das rege Engagement wurde e<strong>in</strong> Leitbild erstellt, <strong>in</strong> dem sich alle Beschäftigten<br />
des Amtes wie<strong>der</strong>f<strong>in</strong>den.<br />
Wer s<strong>in</strong>d wir?<br />
Das <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> Informationstechnik (<strong>BSI</strong>) ist <strong>der</strong> zentrale IT-<br />
<strong>Sicherheit</strong>sdienstleister des Bundes. Wir s<strong>in</strong>d <strong>für</strong> IT-<strong>Sicherheit</strong> <strong>in</strong> Deutschland verantwortlich.<br />
Grundlagen unserer Arbeit s<strong>in</strong>d Fachkompetenz und Neutralität.<br />
Was wollen wir erreichen?<br />
Unser Ziel ist <strong>der</strong> sichere E<strong>in</strong>satz von Informations- und Kommunikationstechnik <strong>in</strong> unserer<br />
Gesellschaft. Mit unserer Unterstützung soll IT-<strong>Sicherheit</strong> als wichtiges Thema<br />
wahrgenommen und eigenverantwortlich umgesetzt werden. Wir wollen bewirken,<br />
dass <strong>Sicherheit</strong>saspekte schon bei <strong>der</strong> Entwicklung von IT-Systemen und -Anwendungen<br />
berücksichtigt werden.<br />
Wer s<strong>in</strong>d unsere Kunden?<br />
Mit unserem Angebot wenden wir uns an die Nutzer und Hersteller von Informationstechnik.<br />
Das s<strong>in</strong>d heute <strong>in</strong> erster L<strong>in</strong>ie öffentliche Verwaltungen <strong>in</strong> Bund, Län<strong>der</strong>n<br />
und Kommunen, aber auch Unternehmen und Privatanwen<strong>der</strong>.<br />
Was s<strong>in</strong>d unsere Aufgaben?<br />
Wir setzen uns verantwortungsvoll mit allen Fragen <strong>der</strong> IT-<strong>Sicherheit</strong> ause<strong>in</strong>an<strong>der</strong>. Wir<br />
untersuchen und bewerten bestehende <strong>Sicherheit</strong>srisiken und schätzen vorausschauend<br />
die Auswirkungen neuer Entwicklungen ab. Auf Grundlage dieses Wissens bieten wir<br />
unseren Kunden Dienstleistungen <strong>in</strong> den vier Kernbereichen Information, Beratung,<br />
Entwicklung und Zertifizierung an.<br />
•Information: Wir <strong>in</strong>formieren zu allen wichtigen Themen <strong>der</strong> IT-<strong>Sicherheit</strong>.<br />
•Beratung: Wir beraten <strong>in</strong> Fragen <strong>der</strong> IT-<strong>Sicherheit</strong> und unterstützen sie bei <strong>der</strong> Umsetzung<br />
geeigneter Maßnahmen.<br />
•Entwicklung: Wir konzipieren und entwickeln IT-<strong>Sicherheit</strong>sanwendungen und<br />
-Produkte.<br />
•Zertifizierung: Wir prüfen, bewerten und zertifizieren IT-Systeme h<strong>in</strong>sichtlich ihrer<br />
<strong>Sicherheit</strong>seigenschaften. Die Zulassung von IT-Systemen <strong>für</strong> die Verarbeitung geheimer<br />
Informationen gehört ebenfalls zu unseren Aufgaben.
Wie arbeiten wir?<br />
Im Mite<strong>in</strong>an<strong>der</strong> von Spezialisten und Generalisten arbeiten wir teamorientiert und kollegial.<br />
Dabei s<strong>in</strong>d die fachlichen Zuständigkeiten transparent gestaltet. Wir leben e<strong>in</strong>en<br />
kooperativen Führungsstil, <strong>der</strong> durch Vertrauen und gegenseitigen Respekt getragen<br />
wird. Unsere Arbeit zeichnet sich durch Qualität, Unabhängigkeit und Dienstleistungsorientierung<br />
aus.<br />
Unsere Fachkompetenz entwickeln wir durch kont<strong>in</strong>uierliche Weiterbildung stetig fort.<br />
Mit Hilfe mo<strong>der</strong>ner Kommunikationstechniken tauschen wir das erworbene Wissen untere<strong>in</strong>an<strong>der</strong><br />
aus. Dadurch können wir schnell und zielgerichtet auf die ständig wachsenden<br />
Herausfor<strong>der</strong>ungen <strong>der</strong> IT-<strong>Sicherheit</strong> reagieren.<br />
Was liegt vor uns?<br />
Der Ausbau und die Sicherung des hohen Qualitätsstandards unserer Arbeit ist <strong>für</strong> uns<br />
e<strong>in</strong>e permanente Herausfor<strong>der</strong>ung. Durch den ständigen nationalen und <strong>in</strong>ternationalen<br />
Austausch greifen wir neue Entwicklungen umgehend auf und bauen die IT-<strong>Sicherheit</strong><br />
<strong>in</strong> Deutschland damit konsequent aus.<br />
Wir werden die Zusammenarbeit auf allen Ebenen weiter verbessern und unsere eigene<br />
Arbeit noch effizienter ausrichten. Wir wollen unsere Dienstleistungen <strong>in</strong> <strong>der</strong> Öffentlichkeit<br />
bekannter machen und unsere Kunden noch gezielter ansprechen.
Information<br />
Aufklärung und Sensibilisierung von Bürgern<br />
Zukunfts- und Trendanalysen<br />
Beratung und Unterstützung<br />
IT-Grundschutz, IT-<strong>Sicherheit</strong>sberatung <strong>für</strong> Behörden<br />
E-Government und Initiative BundOnl<strong>in</strong>e 2005<br />
Lauschabwehr und Abstrahlsicherheit, Penetrationstests<br />
Unterstützung <strong>der</strong> Datenschutzbeauftragten<br />
Unterstützung <strong>der</strong> Strafverfolgungsbehörden<br />
Risikountersuchung, Prüfung und Bewertung<br />
Schadprogramme, Internetsicherheitsanalysen<br />
IT-Plattformen, Kritische Infrastrukturen<br />
Biometrische Verfahren, Mobile Anwendungen<br />
Zertifizierung von IT-Produkten und -Systemen<br />
Zulassung von Produkten <strong>für</strong> den<br />
staatlichen Geheimschutz<br />
Entwicklung<br />
Evaluierung und Entwicklung von Kryptogeräten<br />
<strong>Sicherheit</strong>stools, Formale <strong>Sicherheit</strong>smodelle<br />
Betrieb<br />
CERT-Bund (Computer Emergency Response Team)<br />
Technische Koord<strong>in</strong>ation des IVBB<br />
(Informationsverbund Berl<strong>in</strong>-Bonn)<br />
Verwaltungs-PKI<br />
Schlüsselmittelherstellung <strong>für</strong> Kryptogeräte<br />
Gremien<br />
Mitarbeit <strong>in</strong> nationalen und <strong>in</strong>ternationalen Gremien<br />
und Standardisierungsorganen <strong>für</strong> Deutschland<br />
DIENSTLEISTUNGEN DES <strong>BSI</strong>
IT-<strong>Sicherheit</strong> – fester Bestand<br />
<strong>der</strong> Inneren <strong>Sicherheit</strong><br />
Liebe Leser<strong>in</strong>nen und Leser,<br />
VORWORT<br />
<strong>Sicherheit</strong> ist e<strong>in</strong> Garant <strong>für</strong> die gesellschaftliche und wirtschaftliche<br />
Entfaltung, <strong>für</strong> die persönliche Freiheit. Überall dort, wo Leib und Leben<br />
direkt <strong>in</strong> Gefahr s<strong>in</strong>d, wird uns dies unmittelbar bewusst. Je mehr sich e<strong>in</strong>e Gesellschaft<br />
aber entwickelt, desto weiter muss das klassische <strong>Sicherheit</strong>sverständnis erweitert übertragen<br />
werden.<br />
Um den erarbeiteten Wohlstand erhalten und ausbauen zu können, braucht<br />
e<strong>in</strong> mo<strong>der</strong>ner Wirtschaftsstandort gesicherte Infrastrukturen. Von beson<strong>der</strong>er Bedeutung<br />
s<strong>in</strong>d z.B. Energieversorgung, Verwaltung, F<strong>in</strong>anzen, Verkehr, Polizei und Rettungswesen.<br />
Sie müssen zuverlässig funktionieren und ständig verfügbar se<strong>in</strong>, wobei<br />
hier die Informations- und Kommunikationstechnik e<strong>in</strong>e Schlüsselrolle e<strong>in</strong>nimmt.<br />
Microcontroller f<strong>in</strong>den sich <strong>in</strong> PCs und Handys, sie ermöglichen die masch<strong>in</strong>elle Erkennung<br />
von Menschen an Grenzkontrollen, speichern Geld <strong>in</strong> Chipkarten o<strong>der</strong> steuern<br />
ganze Produktionsprozesse. Über die weltweite Vernetzung ist e<strong>in</strong> immer schnellerer<br />
Informationsaustausch selbst über mobile Geräte längst selbstverständlich geworden.<br />
IT-<strong>Sicherheit</strong> ist daher fester Bestandteil <strong>der</strong> Inneren <strong>Sicherheit</strong> Deutschlands.<br />
Wo die kritischen Punkte <strong>in</strong> <strong>der</strong> Informationstechnik liegen, untersucht das<br />
<strong>BSI</strong>: Dabei analysiert und bewertet das <strong>BSI</strong> IT-Systeme h<strong>in</strong>sichtlich ihrer <strong>Sicherheit</strong>seigenschaften<br />
und stellt Zertifikate nach <strong>in</strong>ternationalen Kriterien aus. Außerdem entwickelt<br />
das <strong>BSI</strong> eigene Schutzvorkehrungen. Durch die ausgewiesene Fachkompetenz<br />
haben die Aussagen des <strong>BSI</strong> zu aktuellen Fragestellungen <strong>der</strong> Informationsgesellschaft<br />
e<strong>in</strong> großes Gewicht.<br />
Berl<strong>in</strong>, im Juli 2005<br />
Otto Schily<br />
Bundesm<strong>in</strong>ister des Innern
E<strong>in</strong> mo<strong>der</strong>ner Wirtschaftsstandort<br />
braucht gesicherte Infrastrukturen<br />
Liebe Leser<strong>in</strong>nen und Leser,<br />
VORWORT<br />
die Schlagworte Viren, Würmer o<strong>der</strong> SPAM standen auch<br />
<strong>2004</strong> im Fokus <strong>der</strong> Öffentlichkeit. Dabei gerät schnell <strong>in</strong> Vergessenheit, wie weit das<br />
Spektrum <strong>der</strong> IT-<strong>Sicherheit</strong>sfragen reicht. Beispielsweise bei RFID-Chips, <strong>der</strong> Biometrie<br />
o<strong>der</strong> beim Betrug über Phish<strong>in</strong>g. IT-<strong>Sicherheit</strong> spielt überall dort e<strong>in</strong>e Rolle, wo IT e<strong>in</strong>gesetzt<br />
wird. Betroffen ist je<strong>der</strong>.<br />
Aus diesem Grund ist es wichtig, dass nicht nur wenige Spezialisten über dieses<br />
Thema aufgeklärt werden, son<strong>der</strong>n alle Bürger verantwortungsvoll mit <strong>der</strong> schnelllebigen,<br />
technischen Vielfalt umgehen können. Es drohen hohe Schäden durch Ausfall<br />
o<strong>der</strong> erfolgreiche Angriffe. Richtige Vorsorge setzt aber das entsprechende Wissen<br />
voraus. Risiken und Schutzmaßnahmen müssen daher so bekannt se<strong>in</strong> wie die Anschnallpflicht<br />
im Auto.<br />
Dazu s<strong>in</strong>d zuverlässige, aktuelle Informationen notwendig. Aufklärung und<br />
Sensibilisierung über IT-<strong>Sicherheit</strong> s<strong>in</strong>d Aufgaben des <strong>Bundesamt</strong>s <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong><br />
Informationstechnik (<strong>BSI</strong>). Es wendet sich mit se<strong>in</strong>en Produkten und Informationsangeboten<br />
sowohl an IT-Experten als auch an breite Bevölkerungskreise.<br />
Dabei ist die Bandbreite <strong>der</strong> aufkommenden IT-<strong>Sicherheit</strong>sfragen weit gespannt.<br />
Nicht nur technische Probleme s<strong>in</strong>d zu klären, son<strong>der</strong>n auch juristische, wirtschaftliche<br />
und gesellschaftliche Antworten zu f<strong>in</strong>den. Ausgangspunkt ist die verfügbare<br />
Technik: Sie gibt den Rahmen vor, <strong>in</strong> dem wir Potenziale erschließen können o<strong>der</strong><br />
Grenzen setzen müssen.<br />
Technische Fragen stehen <strong>für</strong> das <strong>BSI</strong> im Zentrum se<strong>in</strong>er Aktivitäten – national<br />
wie <strong>in</strong>ternational. Um hier erfolgreich zu agieren, braucht es langjährige Erfahrung<br />
und umfassendes Fachwissen. Nur so lassen sich Trends früh erkennen, Chancen<br />
und Risiken richtig bewerten und entsprechende IT-<strong>Sicherheit</strong>sstrategien durchsetzen.<br />
Im Rückblick reiht sich das Jahr <strong>2004</strong> mit se<strong>in</strong>en Erfolgen <strong>in</strong> die erfreuliche<br />
Historie des Amtes e<strong>in</strong>. Ohne die E<strong>in</strong>satzbereitschaft und das Expertenwissen <strong>der</strong> Mitarbeiter<strong>in</strong>nen<br />
und Mitarbeiter des <strong>BSI</strong> wäre das nicht zu leisten gewesen. Da<strong>für</strong> möchte<br />
ich ihnen me<strong>in</strong>en herzlichen Dank aussprechen.<br />
Bonn, im Juli 2005<br />
Dr. Udo Helmbrecht<br />
Präsident des <strong>Bundesamt</strong>es <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> Informationstechnik
ERFOLG DURCH VERTRAUEN<br />
SEIT DER GRÜNDUNG HAT SICH DAS BUNDESAMT FÜR<br />
SICHERHEIT IN DER INFORMATIONSTECHNIK EINE<br />
HERVORRAGENDE REPUTATION ERARBEITET. DAS HABEN<br />
IT-SICHERHEITSEXPERTEN IN UMFRAGEN EINDRUCKSVOLL<br />
BESTÄTIGT.<br />
1 Die Basis des Erfolgs:<br />
Vertrauen<br />
Die Informationstechnik ist allgegenwärtig. Es gibt heute fast ke<strong>in</strong>en Lebensbereich, <strong>der</strong> nicht<br />
von ihr durchdrungen wäre. Dabei führt diese Technik ihren Siegeszug häufig unbemerkt<br />
fort, etwa <strong>in</strong> Form von w<strong>in</strong>zigen Funketiketten, die an Joghurtbechern, Jacketts o<strong>der</strong> CDs angebracht<br />
werden, den RFID-Chips (Radio Frequency Identification Chips).<br />
Handys, PCs o<strong>der</strong> Chipkarten s<strong>in</strong>d kaum noch weg zu denken. Die mo<strong>der</strong>ne<br />
Fahrzeugtechnik kommt ohne Informationstechnik (IT) nicht aus. Effiziente Produktionsprozesse<br />
und Verwaltungsabläufe setzen e<strong>in</strong>e reibungslos funktionierende Informationstechnik<br />
voraus. Wirtschaftlicher Erfolg, <strong>in</strong>dividuelle Freiheit und Innere <strong>Sicherheit</strong><br />
s<strong>in</strong>d längst untrennbar mit e<strong>in</strong>er zuverlässigen IT verknüpft.<br />
IT-<strong>Sicherheit</strong> geht jeden an. Die Ansprüche an Vertraulichkeit, Verfügbarkeit<br />
und Integrität <strong>der</strong> IT-Anwendungen steigen mit ihrer Verbreitung unaufhörlich weiter.<br />
Ohne sichere Informationstechnik ist die Zukunft <strong>für</strong> e<strong>in</strong>en mo<strong>der</strong>nen Wirtschaftsstandort<br />
wie Deutschland undenkbar.
Für IT-<strong>Sicherheit</strong> zu sorgen ist anspruchsvoll. In Deutschland nimmt diese<br />
Aufgabe das <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> Informationstechnik (<strong>BSI</strong>) wahr. Für dieses<br />
Ziel hat das <strong>BSI</strong> nicht nur das enorme Entwicklungstempo zu meistern, son<strong>der</strong>n muss<br />
sich auch <strong>in</strong> die ungeheure Komplexität <strong>der</strong> E<strong>in</strong>zelthemen e<strong>in</strong>arbeiten. Nur so kann<br />
das <strong>Bundesamt</strong> die Innovationen, die sich <strong>in</strong> rascher Folge verbreiten, richtig e<strong>in</strong>schätzen<br />
und ihre sicherheitsrelevanten Eigenschaften bewerten.<br />
Kompetentes Handeln im hochtechnisierten Umfeld setzt erstklassiges Expertenwissen<br />
voraus. Sorgfältige Facharbeit ist Ausgangspunkt und Kern aller Aktivitäten<br />
des <strong>BSI</strong>. So werden Grundlagen erarbeitet, die <strong>für</strong> Produktentwicklung und Beratung<br />
unerlässlich s<strong>in</strong>d. Neben den re<strong>in</strong> technischen Fragestellungen müssen aber auch wirtschaftliche,<br />
gesellschaftliche und rechtliche H<strong>in</strong>tergründe e<strong>in</strong>bezogen werden, wenn<br />
das <strong>BSI</strong> dem Bedarf se<strong>in</strong>er Kunden gerecht werden will.<br />
Die stetig wachsende Bedeutung des <strong>BSI</strong> spiegelt sich auch <strong>in</strong> den Haushaltszahlen.<br />
Der Etat weist <strong>2004</strong> e<strong>in</strong>en Zuwachs von elf Prozent auf.<br />
Im höheren und gehobenen<br />
Dienst liegt das<br />
Durchschnittsalter <strong>der</strong><br />
Mitarbeiter<strong>in</strong>nen und<br />
Mitarbeiter bei 44,3<br />
beziehungsweise. bei 42,1<br />
Jahren. Von den 407<br />
Mitarbeiter<strong>in</strong>nen und<br />
Mitarbeitern des <strong>BSI</strong> s<strong>in</strong>d die<br />
meisten Naturwissenschaftler,<br />
zum Beispiel Elektro- o<strong>der</strong><br />
Nachrichtentechniker.
So vielfältig die Faktoren im IT-<strong>Sicherheit</strong>sbereich<br />
s<strong>in</strong>d, so komplex ist das Aufgabenspektrum des <strong>BSI</strong>:<br />
Prüfung und Bewertung <strong>der</strong> <strong>Sicherheit</strong> von IT-Systemen<br />
Evaluierung und Zertifizierung nach <strong>in</strong>ternationalen Kriterien macht die <strong>Sicherheit</strong>seigenschaften<br />
von Produkten transparent. Dies ist <strong>für</strong> ihre Konkurrenzfähigkeit im hart<br />
umkämpften Markt e<strong>in</strong> bedeuten<strong>der</strong> Mehrwert, <strong>für</strong> ihre Zulassung <strong>in</strong> <strong>Sicherheit</strong>sbereichen<br />
von Staat und Industrie ist es schlicht Voraussetzung.<br />
Entwicklung von IT-Schutzvorkehrungen<br />
Das <strong>BSI</strong> entwickelt und vertreibt – teilweise <strong>in</strong> enger Kooperation mit Partnern aus <strong>der</strong><br />
Industrie – <strong>Sicherheit</strong>ssysteme, angefangen von Produkten <strong>für</strong> den Umgang mit klassifizierten<br />
Informationen bis h<strong>in</strong> zu Tools <strong>für</strong> die Umsetzung des IT-Grundschutzes.<br />
Beratung von Herstellern, Vertreibern und Anwen<strong>der</strong>n von<br />
IT-Systemen<br />
Aufklärung und Beratung stehen <strong>für</strong> IT-Verantwortliche <strong>in</strong> Behörden und Unternehmen,<br />
<strong>für</strong> private Anwen<strong>der</strong> sowie <strong>für</strong> Hersteller von IT-Produkten zur Verfügung. Mit<br />
diesem breiten Spektrum wird sichergestellt, dass alle Beteiligten von Anfang an IT-<br />
<strong>Sicherheit</strong>saspekte bei Entwicklung, E<strong>in</strong>kauf und E<strong>in</strong>satz <strong>der</strong> Systeme beachten können.<br />
Mitarbeit <strong>in</strong> <strong>in</strong>ternationalen Gremien<br />
Das <strong>BSI</strong> vertritt und unterstützt durch se<strong>in</strong>e Arbeit <strong>in</strong> <strong>in</strong>ternationalen Gremien, zum<br />
Beispiel <strong>der</strong> Nato und <strong>der</strong> EU, die Interessen Deutschlands im H<strong>in</strong>blick auf IT-<strong>Sicherheit</strong>saspekte.<br />
Dadurch sollen Fehlentwicklungen verh<strong>in</strong><strong>der</strong>t, <strong>der</strong> Informationsaustausch<br />
geför<strong>der</strong>t und <strong>in</strong>ternationale Kontakte gepflegt werden.<br />
Marktbeobachtung und Trendforschung<br />
Die frühzeitige und möglichst präzise Erfassung von aktuellen und sich abzeichnenden<br />
Entwicklungen erlaubt rechtzeitiges, umsichtiges und bedarfsgerechtes Handeln. Aus<br />
diesem Grund beschäftigt sich das <strong>BSI</strong> <strong>in</strong> Arbeitsgruppen und Projekten mit allen wichtigen<br />
Themen mit Bezug auf IT-<strong>Sicherheit</strong>. Die laufende Marktbeobachtung spielt hier<br />
e<strong>in</strong>e wichtige Rolle: Die Angebote des <strong>BSI</strong> müssen kundengerecht und aktuell se<strong>in</strong>, um<br />
erfolgreich IT-<strong>Sicherheit</strong> zu för<strong>der</strong>n.
Unterstützung von Strafverfolgungsbehörden und<br />
Geheimschutzberatung<br />
Als IT-<strong>Sicherheit</strong>sbehörde unterstützt das <strong>BSI</strong> die Strafverfolgungsbehörden<br />
bei ihren Ermittlungen und bietet Geheimschutzberatung <strong>für</strong> Behörden sowie <strong>für</strong> e<strong>in</strong>zelne<br />
Kunden aus <strong>der</strong> Industrie. Lauschabwehr- und Abstrahlprüfungen s<strong>in</strong>d weitere<br />
Aufgaben des Amtes.<br />
Dr. Udo Helmbrecht, Präsident des<br />
<strong>Bundesamt</strong>es <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong><br />
Informationstechnik (<strong>BSI</strong>), bei se<strong>in</strong>er<br />
Abschlussrede auf dem ICCC/ISSE-Kongress<br />
vom 28. bis 30. September <strong>2004</strong> <strong>in</strong> Berl<strong>in</strong>.<br />
Girls’ Day im <strong>BSI</strong>: Dr. Hans-Josef Ganser zeigt am<br />
Innenleben e<strong>in</strong>es Computers <strong>in</strong>teressierten jungen<br />
Frauen, wie e<strong>in</strong>e Festplatte Informationen<br />
speichert und sicher verarbeitet.<br />
Investitionen <strong>in</strong> die Köpfe: Mit<br />
19 Millionen Euro lagen die<br />
Ausgaben <strong>für</strong> Entwicklungen<br />
und externe Studien bei 38<br />
Prozent des Gesamtetats.
Auf 407 stieg die Zahl <strong>der</strong> Mitarbeiter im <strong>BSI</strong> im Jahre <strong>2004</strong>. Sie haben größtenteils<br />
e<strong>in</strong> abgeschlossenes Hoch- beziehungsweise Fachhochschulstudium <strong>der</strong> Ingenieurwissenschaften,<br />
Mathematik, Informatik sowie Physik. Team- und Projektarbeit werden<br />
beson<strong>der</strong>s geför<strong>der</strong>t.<br />
Das <strong>BSI</strong> ist <strong>in</strong> erster L<strong>in</strong>ie <strong>der</strong> IT-<strong>Sicherheit</strong>sdienstleister des Bundes. Als<br />
Behörde aus dem Geschäftsbereich des Bundesm<strong>in</strong>isteriums des Innern (BMI) bietet es<br />
Bundes-, aber auch Landes- und Kommunalbehörden umfangreichen Service an. Zu<br />
den Zielgruppen des <strong>BSI</strong> gehören aber auch Organisationen aus dem Privatbereich.<br />
Gerade kle<strong>in</strong>e und mittelgroße Unternehmen können von Produkten, die auf ihre Bedürfnisse<br />
zugeschnitten s<strong>in</strong>d, profitieren. Denn hier ist <strong>der</strong> Nachholbedarf an <strong>in</strong>formationstechnischer<br />
Risikovorsorge beson<strong>der</strong>s groß. Wirtschaftliche Aspekte <strong>der</strong> IT-<strong>Sicherheit</strong><br />
spielen dabei e<strong>in</strong>e beson<strong>der</strong>s große Rolle. Nur wer die Anfor<strong>der</strong>ungen <strong>der</strong> Kunden<br />
versteht, kann bedarfsgerecht anbieten und wirkungsvolle Strategien zur Steigerung<br />
<strong>der</strong> IT-<strong>Sicherheit</strong> entwickeln. Für das <strong>BSI</strong> ist es daher wichtig, die Rahmenbed<strong>in</strong>gungen<br />
<strong>in</strong> den e<strong>in</strong>zelnen Marktsegmenten genau zu verstehen und kommende Trends frühzeitig<br />
zu erkennen.<br />
Im Jahre <strong>2004</strong> hat das <strong>BSI</strong> e<strong>in</strong> neues strategisches Gesamtkonzept verabschiedet,<br />
um <strong>für</strong> die Herausfor<strong>der</strong>ungen <strong>der</strong> Zukunft gerüstet zu se<strong>in</strong>. Es verb<strong>in</strong>det die<br />
Vision <strong>der</strong> kommenden IT-Entwicklung mit dem Selbstverständnis des <strong>BSI</strong> und se<strong>in</strong>en<br />
Kernaufgaben. Mo<strong>der</strong>ne Controll<strong>in</strong>gwerkzeuge wie die <strong>2004</strong> e<strong>in</strong>geführte Balanced<br />
Scorecard unterstützen neben <strong>der</strong> hergebrachten Kosten- und Leistungsrechnung die<br />
Steuerung.<br />
Die wichtigste Neuerung ist die Verlagerung des Schwerpunkts von e<strong>in</strong>er<br />
primär <strong>in</strong>putbezogenen zu e<strong>in</strong>er output- beziehungsweise ergebnisorientierten Führung<br />
des Amtes. Dadurch rücken die Bedürfnisse <strong>der</strong> Kunden <strong>in</strong> den Mittelpunkt. Die<br />
neu e<strong>in</strong>gerichteten Key-Account Manager haben dabei e<strong>in</strong>e wichtige Funktion: Sie s<strong>in</strong>d<br />
das zentrale B<strong>in</strong>deglied zwischen dem <strong>BSI</strong> und den jeweiligen Ansprechpartnern und<br />
erfassen E<strong>in</strong>flussfaktoren aus Markt, Technik und operativer Arbeit. Wünsche, Anregungen<br />
o<strong>der</strong> Kritik <strong>der</strong> Kunden können sie schnell berücksichtigen und umgehend<br />
reagieren. Der ständige Kontakt ermöglicht die passgenaue Auswahl und Weiterentwicklung<br />
von Projekten, Produkten und Grundlagenforschungen.
Ob sich nun die Arbeit des Amtes an e<strong>in</strong>zelne Behörden und Unternehmen<br />
richtet o<strong>der</strong> an die breite Bevölkerung adressiert ist: E<strong>in</strong> kritischer Aspekt ist häufig<br />
das nicht ausreichend vorhandene Risikobewusstse<strong>in</strong>. IT-Gefahren und die richtige Vorsorge<br />
müssten jedem Nutzer bekannt se<strong>in</strong>. Und das heißt jedem Anwen<strong>der</strong>, nicht nur<br />
den IT-Experten. Erstes Ziel muss es se<strong>in</strong>, direkte Schäden durch Schutzmaßnahmen<br />
und umsichtiges Verhalten zu verh<strong>in</strong><strong>der</strong>n. Zweitens geht es aber auch darum, das Vertrauen<br />
<strong>in</strong> die Informationstechnik <strong>in</strong>sgesamt zu stärken. Nur so lassen sich ihre Potenziale<br />
wirklich ausschöpfen.<br />
Das <strong>BSI</strong> kann beide Ziele nur dann erreichen, wenn auch Vertrauen <strong>in</strong> das<br />
<strong>Bundesamt</strong> selbst vorhanden ist. Alle Aktivitäten, Produkte und Informationen, die vom<br />
<strong>BSI</strong> ausgehen, müssen deswegen höchsten Ansprüchen gerecht werden. Sonst bleiben<br />
Empfehlungen wirkungslos, Maßnahmen werden nicht um- und Produkte nicht e<strong>in</strong>gesetzt.<br />
Die wichtigste Basis <strong>für</strong> den Erfolg ist geschaffen: Dem <strong>BSI</strong> wird großes Vertrauen<br />
entgegengebracht. Seit se<strong>in</strong>er Gründung 1991 hat es sich e<strong>in</strong>e hervorragende<br />
Reputation erarbeitet. Die im Auftrag des <strong>BSI</strong> von TNS-Emnid durchgeführte Erhebung<br />
unter 500 IT-<strong>Sicherheit</strong>sexperten bestätigt dies <strong>für</strong> <strong>2004</strong> e<strong>in</strong>drucksvoll: Danach halten<br />
93 Prozent <strong>der</strong> Befragten das <strong>BSI</strong> <strong>für</strong> kompetent, 91 Prozent <strong>für</strong> neutral und 95 Prozent<br />
<strong>für</strong> glaubwürdig. Diese Spitzenwerte s<strong>in</strong>d e<strong>in</strong>e klare Bestätigung <strong>für</strong> die geleistete Arbeit.<br />
Allerd<strong>in</strong>gs gibt es noch viel zu tun. Insgesamt zeigt sich bei <strong>der</strong> IT-<strong>Sicherheit</strong>slage<br />
e<strong>in</strong> besorgniserregen<strong>der</strong> Trend. E<strong>in</strong>e IT-<strong>Sicherheit</strong>sstudie, die <strong>in</strong> Zusammenarbeit mit<br />
<strong>der</strong> Zeitschrift , dem <strong>BSI</strong> und Microsoft durchgeführt wurde, kam zu dem Ergebnis,<br />
dass <strong>der</strong> Stellenwert <strong>der</strong> IT-<strong>Sicherheit</strong> im Top-Management zwar gewachsen ist,<br />
aber die Verantwortlichen klagen zunehmend über mangelnde Gel<strong>der</strong>. 40 Prozent haben<br />
nicht e<strong>in</strong>mal e<strong>in</strong>e schriftlich fixierte IT-<strong>Sicherheit</strong>sstrategie, nur 58 Prozent verfügen<br />
über e<strong>in</strong>en zentralen IT-<strong>Sicherheit</strong>sbeauftragten.<br />
Virenscanner und Firewalls als technische Schutzmaßnahmen werden auch<br />
zukünftig e<strong>in</strong>e wachsende Rolle spielen. Technische Mängel verursachten bei Software<br />
(43 Prozent) und Hardware (38 Prozent) im vergangenen Jahr wie<strong>der</strong>um häufiger<br />
Schäden als unbeabsichtigte Bee<strong>in</strong>trächtigungen durch Externe (15 Prozent) o<strong>der</strong> gezielte<br />
Angriffe (neun Prozent).<br />
<strong>Sicherheit</strong>skonzepte werden laut <strong>der</strong> Studie nur lückenhaft umgesetzt. Die<br />
Gefährdungslage bei Notebooks, PDAs, Heim- und Telearbeitsplätzen sowie WLAN ist<br />
besorgniserregend. Fast die Hälfte <strong>der</strong> Befragten halten auf diesem Gebiet die <strong>Sicherheit</strong><br />
<strong>für</strong> „gerade noch ausreichend“ o<strong>der</strong> sogar „nicht ausreichend“. Auch hier können<br />
technische E<strong>in</strong>zelmaßnahmen nicht e<strong>in</strong> systematisches <strong>Sicherheit</strong>skonzept ersetzen, das<br />
bei Adm<strong>in</strong>istrationsrechten beg<strong>in</strong>nt und bei Zutrittskontrollen endet. Das <strong>BSI</strong> bietet<br />
hierzu mit dem IT-Grundschutzhandbuch das passende Angebot. Es wird erfreulicherweise<br />
bereits von 45 Prozent <strong>der</strong> Befragten genutzt. Weitere 31 Prozent planen den<br />
E<strong>in</strong>satz des Handbuchs.
Auch an<strong>der</strong>e Zahlen sprechen <strong>für</strong> den Erfolg <strong>der</strong> <strong>BSI</strong>-Produkte: Bei <strong>der</strong> Zertifizierung<br />
von Produkten nach den <strong>in</strong>ternationalen Common Criteria hat das <strong>BSI</strong> große<br />
Erfolge zu verzeichnen. Kont<strong>in</strong>uierlich steigt die Zahl <strong>der</strong> vom <strong>BSI</strong> jährlich erteilten<br />
Zertifikate, auf 38 alle<strong>in</strong>e <strong>in</strong> <strong>2004</strong>. Zu den namhaften Kunden gehören mittlerweile<br />
Weltunternehmen wie IBM Corporation, Siemens AG, Renesas Technology Corporation,<br />
Philips Semiconductors GmbH, SuSE L<strong>in</strong>ux AG, Inf<strong>in</strong>eon Technologies AG, Giesecke &<br />
Devrient GmbH, Red Hat Inc., SAP AG, Microsoft Corporation, T-Systems. Erstmals konnte<br />
das <strong>BSI</strong> auch <strong>für</strong> Deutschland die Internationale Common Criteria Conference (ICCC)<br />
<strong>in</strong> Berl<strong>in</strong> als Gastgeber ausrichten. Nicht zuletzt deshalb kann das <strong>BSI</strong> auf e<strong>in</strong> sehr erfolgreiches<br />
Jahr zurückblicken.<br />
Das <strong>BSI</strong> bildet junge Leute <strong>in</strong> den<br />
Berufen „IT-Systemelektroniker/<strong>in</strong>“ und<br />
„Verwaltungsfachangestellte/r“ aus.<br />
Diese sechs Auszubildenden s<strong>in</strong>d<br />
seit September <strong>2004</strong> neu an Bord.<br />
Themen zur IT-<strong>Sicherheit</strong> standen im Mittelpunkt e<strong>in</strong>er repräsentativen Umfrage von<br />
TNS-Emnid unter 500 IT-Experten. Unter an<strong>der</strong>em ergab die Umfrage: Der Bekanntheitsgrad<br />
des <strong>BSI</strong> ist hoch, die meisten Befragten s<strong>in</strong>d mit se<strong>in</strong>en Leistungen zufrieden.<br />
Bei <strong>der</strong> IT-<strong>Sicherheit</strong> herrschen jedoch Mängel: Je<strong>der</strong> fünfte deutsche IT-Experte hält<br />
die eigene Organisation und sogar 89 Prozent <strong>der</strong> Befragten die Wirtschaft <strong>in</strong> Deutschland<br />
durch unzureichende IT-<strong>Sicherheit</strong> <strong>für</strong> gefährdet.
Bedeutung <strong>der</strong> verschiedenen Gefahrenbereiche<br />
Gefahrenbereich Rang Prognose: Risiko …<br />
Irrtum und Nachlässigkeit<br />
eigener Mitarbeiter<br />
Malware (Viren, Würmer,<br />
Trojanische Pferde, u.ä.)<br />
Unbefugte Kenntnisnahme,<br />
Informationsdiebstahl<br />
1 … nimmt zu.<br />
2 … nimmt stark zu.<br />
3 … nimmt ger<strong>in</strong>g zu.<br />
Software-Mängel/-Defekte 4 … bleibt gleich.<br />
Hack<strong>in</strong>g (Vandalismus, Prob<strong>in</strong>g,<br />
Missbrauch, u.ä.)<br />
5 … nimmt ger<strong>in</strong>g zu.<br />
Hardware-Mängel/-Defekte 6 … bleibt gleich.<br />
Unbeabsichtigte Fehler<br />
von Externen<br />
7 … bleibt gleich.<br />
Höhere Gewalt 8 … bleibt gleich.<br />
Manipulation zum Zweck <strong>der</strong><br />
Bereicherung<br />
9 … bleibt gleich.<br />
Mängel <strong>der</strong> Dokumentation 10 … bleibt gleich.<br />
Sabotage (<strong>in</strong>kl. DoS) 11 … bleibt gleich.<br />
Sonstiges 12 … bleibt gleich.<br />
Quelle: -<strong>Sicherheit</strong>sstudie <strong>2004</strong>, <strong>in</strong> Zusammenarbeit mit <strong>BSI</strong> und Microsoft<br />
Nach wie vor schätzen die befragten Manager die eigenen Mitarbeiter als den größten<br />
Risikofaktor e<strong>in</strong>, dicht gefolgt von Schadprogrammen. Von ihnen – so ihre Prognose<br />
– werden <strong>in</strong> den nächsten Jahren die größten Risiken ausgehen. Bereits jetzt war<br />
„Malware“ <strong>für</strong> e<strong>in</strong>e mittlere Ausfallzeit von über 54 Stunden und durchschnittliche<br />
Kosten von 25.954 Euro pro Jahr verantwortlich.<br />
Die <strong>2004</strong> neu herausgegebene Mitarbeiterzeitschrift<br />
„@<strong>BSI</strong>“ ist e<strong>in</strong> Medium von und <strong>für</strong> Mitarbeiter<strong>in</strong>nen und<br />
Mitarbeiter des Amtes. „@<strong>BSI</strong>“ för<strong>der</strong>t den Erfahrungsaustausch<br />
und die <strong>in</strong>terne Kommunikation durch die Diskussion<br />
aktueller <strong>BSI</strong>-Themen, Vorstellung von Mitarbeitern, Projekten<br />
o<strong>der</strong> auch Beiträgen abseits des Dienstgeschäfts. Die<br />
Hauszeitung ersche<strong>in</strong>t viermal im Jahr und wird durch e<strong>in</strong><br />
Redaktionsteam erstellt, das quer durch die Hierarchie- und<br />
Organisationse<strong>in</strong>heiten aufgebaut ist. Die <strong>in</strong>terne Kommunikation<br />
wird neben „@<strong>BSI</strong>“ vor allem durch das Intranet<br />
und die <strong>in</strong>terne Veranstaltungsreihe „<strong>BSI</strong>-Forum“ getragen.
Zielgruppengenaue Angebote<br />
– IT-<strong>Sicherheit</strong> geht alle an<br />
ZIELGRUPPEN<br />
Informationstechnik nutzt nahezu je<strong>der</strong> <strong>in</strong> Deutschland. Alle profitieren von den enormen<br />
Möglichkeiten, die uns das Informationszeitalter bietet. Tagtäglich greifen wir zum Handy,<br />
surfen im Internet, zücken Geld- o<strong>der</strong> Kreditkarten.<br />
Doch über die Gefahren, die dabei lauern, machen sich viele erst Gedanken, wenn es zu spät<br />
und <strong>der</strong> Schaden bereits e<strong>in</strong>getreten ist. Und das ist lei<strong>der</strong> nicht nur bei privaten Anwen<strong>der</strong>n<br />
zu beobachten, son<strong>der</strong>n auch <strong>in</strong> großen Unternehmen. Deshalb klärt das <strong>BSI</strong> über Risiken<br />
und Schutzmaßnahmen <strong>in</strong> <strong>der</strong> IT umfassend bei allen Zielgruppen auf: Verwaltung, Wirtschaft<br />
und Bürger.<br />
Jede Zielgruppe hat ihre eigenen Risiken, <strong>der</strong> Stand des Fachwissens ist sehr heterogen und<br />
die spezifischen Bedrohungen werden völlig unterschiedlich wahrgenommen. Deswegen setzt<br />
das <strong>BSI</strong> auf bedarfsspezifisch zugeschnittene Informationsangebote.<br />
• Für das Management <strong>in</strong> Unternehmen und Behörden müssen die Angebote schnell<br />
erfassbar, verlässlich und auf das Wesentliche konzentriert se<strong>in</strong>. So unterstützt zum<br />
Beispiel <strong>der</strong> „Leitfaden IT-<strong>Sicherheit</strong>“, bereits <strong>in</strong> zweiter Auflage erschienen, Entschei<strong>der</strong><br />
dabei, sich zügig e<strong>in</strong>en fundierten Überblick zum Thema IT-<strong>Sicherheit</strong> zu verschaffen.<br />
Daran anknüpfende Produkte zum Beispiel zum IT-Grundschutz stellen die notwendigen<br />
Werkzeuge bereit, um das passende IT-<strong>Sicherheit</strong>skonzept zu realisieren.<br />
• IT-Experten, Wissenschaftler und das versierte Fachpublikum f<strong>in</strong>den beim <strong>BSI</strong> umfassende<br />
und unabhängige Informationen. Zahlreiche Publikationen zu Themen wie<br />
drahtlose Kommunikation, Biometrie, Zertifizierung, Schadprogramme, Chipkartentechnik,<br />
E-Government und vieles mehr stehen auf <strong>der</strong> Webseite www.bsi.bund.de o<strong>der</strong><br />
<strong>in</strong> gedruckten Publikationen zur Verfügung. Alle Veröffentlichungen bef<strong>in</strong>den sich<br />
auch auf e<strong>in</strong>er CD, die gegen e<strong>in</strong>en frankierten Rückumschlag kostenlos beim <strong>BSI</strong> erhältlich<br />
ist. Zum Onl<strong>in</strong>e-Service gehören regelmäßige Newsletter, die auf Wunsch <strong>für</strong><br />
jeden zu beziehen s<strong>in</strong>d.
„Argus“ heißt die offizielle <strong>Sicherheit</strong>sspürnase<br />
auf <strong>der</strong> <strong>BSI</strong>-Seite <strong>für</strong> Bürger (l<strong>in</strong>ks). Die<br />
Startseite (rechts) www.bsi.bund.de öffnet<br />
den Weg zu vielen aktuellen Informationen,<br />
von A wie Ausschreibungen bis V wie Virenwarnung.<br />
• Seitdem das Internet immer stärker <strong>in</strong> den eigenen vier Wänden E<strong>in</strong>zug gehalten<br />
hat, stehen die privaten Anwen<strong>der</strong> von Informationstechnik zunehmend im Mittelpunkt<br />
des <strong>BSI</strong>, wenn es um IT-<strong>Sicherheit</strong> geht. Denn je<strong>der</strong> verantwortet im Kle<strong>in</strong>en den<br />
Schutz des Internets im Ganzen. <strong>Sicherheit</strong>slücken lassen sich von Angreifern um so<br />
wirkungsvoller ausnutzen, je häufiger sie vorkommen. Speziell an die privaten IT-Nutzer<br />
gerichtet ist deshalb das Internetangebot www.bsi-fuer-buerger.de. Dort f<strong>in</strong>den sich<br />
seit Anfang 2003 leicht verständliche Informationen rund um das Thema IT-<strong>Sicherheit</strong>.<br />
Das Angebot umfasst zudem die Möglichkeit, e<strong>in</strong>en 14tägig ersche<strong>in</strong>enden Newsletter<br />
mit den wichtigsten <strong>Sicherheit</strong>snachrichten zu beziehen und verschiedene <strong>Sicherheit</strong>sprogramme<br />
kostenlos herunterzuladen.<br />
• Über Partnerschaften mit Wirtschaft, Verwaltung, Medien und Wissenschaft spricht<br />
das <strong>BSI</strong> unterschiedliche Personenkreise an. Fachlich begleitet das <strong>Bundesamt</strong> seit <strong>2004</strong><br />
die Kampagne „Mittelstand-sicher-im-Internet“, die vom Bundesm<strong>in</strong>isterium <strong>für</strong> Wirtschaft<br />
und Arbeit (BMWA) sowie dem Bundesm<strong>in</strong>isterium des Innern (BMI) <strong>in</strong>itiiert<br />
wurde.<br />
Die erfolgreiche Zusammenarbeit mit Fujitsu Siemens Computers (auf den Scaleo-Rechnern<br />
s<strong>in</strong>d die Informationen des Bürgerportals vor<strong>in</strong>stalliert) und mit dem Heise Verlag<br />
(www.heisec.de) setzt sich bereits im zweiten Jahr fort. <strong>2004</strong> neu h<strong>in</strong>zugekommen<br />
ist die Kooperation mit Freenet (www.freenet.de), auf <strong>der</strong>en Portalseite unter „Viren<br />
und <strong>Sicherheit</strong>“ aktuelle Informationen des <strong>BSI</strong> bereitgestellt werden. Ebenfalls <strong>2004</strong><br />
gestartet ist die <strong>Sicherheit</strong>skooperation mit <strong>der</strong> Bull GmbH, die ihrer Serverfamilie jetzt<br />
standardmäßig e<strong>in</strong> <strong>BSI</strong>-<strong>Sicherheit</strong>spaket beilegt.<br />
Die Liste <strong>der</strong> Kooperationspartner des <strong>BSI</strong> hat sich <strong>2004</strong> stetig<br />
erweitert. Bei www.freenet.de ist das <strong>BSI</strong> <strong>in</strong> <strong>der</strong> Rubrik „Viren<br />
und <strong>Sicherheit</strong>“ vertreten.
Bewährt: Schirmherrschaften des <strong>BSI</strong><br />
Beson<strong>der</strong>e Bedeutung hat die Zusammenarbeit mit <strong>der</strong> SecuMedia Verlags-<br />
GmbH. Im <strong>BSI</strong>-Forum <strong>der</strong> Fachzeitschrift „ – Die Zeitschrift <strong>für</strong> Informations-<br />
<strong>Sicherheit</strong>“ <strong>in</strong>formiert das <strong>BSI</strong> regelmäßig über aktuelle Themen <strong>der</strong> IT-<strong>Sicherheit</strong>. Auch<br />
bei Messen kooperiert das <strong>BSI</strong> eng mit dem SecuMedia-Verlag. Die IT-Security Area auf<br />
<strong>der</strong> Münchner „Systems“ wird von SecuMedia organisiert und steht unter <strong>der</strong> Schirmherrschaft<br />
des <strong>Bundesamt</strong>es. Das <strong>BSI</strong> ist aber nicht nur Aussteller, son<strong>der</strong>n wirkt durch<br />
zahlreiche Vorträge <strong>in</strong> technischen und managementorientierten Foren mit.<br />
Neben <strong>der</strong> „Systems“ ist das <strong>BSI</strong> auf allen wichtigen Messen mit Bezug zu IT-<br />
<strong>Sicherheit</strong>sthemen vertreten, sei es auf <strong>der</strong> CeBIT <strong>in</strong> Hannover o<strong>der</strong> bei <strong>der</strong> „Security“<br />
<strong>in</strong> Essen. Bei <strong>der</strong> Fachmesse „Mo<strong>der</strong>ner Staat“ <strong>in</strong> Berl<strong>in</strong> ist das <strong>BSI</strong> Partner <strong>für</strong> den Bereich<br />
<strong>der</strong> IT-<strong>Sicherheit</strong>. Neben persönlichen Gesprächen steht bei diesen Treffen die<br />
Präsentation wichtiger IT-<strong>Sicherheit</strong>sthemen und aktueller Arbeitsschwerpunkte im<br />
Vor<strong>der</strong>grund.<br />
Neue Reihe: Das <strong>BSI</strong> im Gespräch<br />
E<strong>in</strong>e neue Veranstaltungsreihe „Das <strong>BSI</strong> im Gespräch“ hatte mit <strong>der</strong> Vorstellung<br />
<strong>der</strong> RFID-Studie „Risiken und Chancen des E<strong>in</strong>satzes von RFID-Systemen (RIKCHA)“<br />
im Berl<strong>in</strong>er Museum <strong>für</strong> Kommunikation ihre gelungene Premiere. Zahlreiche Gäste,<br />
darunter Leiter aus Behörden und Unternehmen, <strong>in</strong>formierten sich hier und diskutierten<br />
mit den Experten des <strong>BSI</strong>. Daneben organisierte das <strong>BSI</strong> <strong>2004</strong> e<strong>in</strong>e Reihe von weiteren<br />
Veranstaltungen, wie etwa <strong>in</strong> Boppard am Rhe<strong>in</strong> den 11. Diskurs zum Thema „Das<br />
Urheberrecht von Morgen – ist e<strong>in</strong>e sichere DRM-freie Medienzukunft möglich?“<br />
Die Aktivitäten im Bereich Open Source Software, wie zum Beispiel den Behördendesktop<br />
„ERPOSS“, stellte das <strong>BSI</strong> auf dem L<strong>in</strong>ux-Tag <strong>in</strong> Karlsruhe vor. Die SAFE-<br />
COMP <strong>2004</strong> <strong>in</strong> Potsdam hat das <strong>BSI</strong> <strong>in</strong> Zusammenarbeit mit <strong>der</strong> Universität Münster<br />
und dem Potsdamer Hasso-Plattner-Institut <strong>für</strong> Softwaresystemtechnik ausgerichtet.<br />
Alle zwei Jahre veranstaltet das <strong>BSI</strong> zudem den Deutschen IT-<strong>Sicherheit</strong>skongress.<br />
Er hat sich <strong>in</strong> den vergangenen Jahren zu dem zentralen Treffen <strong>der</strong> IT-Experten<br />
entwickelt. Unter dem Motto „IT-<strong>Sicherheit</strong> geht alle an!“ f<strong>in</strong>det <strong>der</strong> 9. Deutsche IT-<br />
<strong>Sicherheit</strong>skongress vom 10. bis 12. Mai 2005 <strong>in</strong> <strong>der</strong> Stadthalle Bonn-Bad Godesberg<br />
statt.
2 Kontrolle ist besser –<br />
Basis <strong>für</strong> IT-<strong>Sicherheit</strong><br />
IT-SICHERHEIT<br />
Das Internet bietet fantastische Kommunikationsmöglichkeiten: E-Mails, Fotos, Videos schießen<br />
<strong>in</strong> Sekundenschnelle um den ganzen Erdball. Die Freiheiten, welche die mo<strong>der</strong>ne Kommunikationstechnik<br />
bietet, haben allerd<strong>in</strong>gs ihren Preis: Sie können missbraucht werden.<br />
Viren, trojanische Pferde, verseuchte Programme s<strong>in</strong>d <strong>in</strong> <strong>der</strong> Lage, <strong>in</strong> Sekundenbruchteilen<br />
riesige Schäden zu verursachen. Private Anwen<strong>der</strong> s<strong>in</strong>d dabei genauso<br />
betroffen wie Wirtschaftsunternehmen und Behörden. Der Unterschied besteht allerd<strong>in</strong>gs<br />
dar<strong>in</strong>, dass von e<strong>in</strong>em Virus <strong>in</strong> e<strong>in</strong>em Privathaushalt vielleicht nur e<strong>in</strong> PC betroffen<br />
ist. In e<strong>in</strong>er Behörde o<strong>der</strong> <strong>in</strong> e<strong>in</strong>er Firma aber kann e<strong>in</strong> ganzes Kommunikationsnetz<br />
mit möglicherweise Hun<strong>der</strong>ten o<strong>der</strong> Tausenden von Nutzern ausfallen.<br />
Wer sich schützen will, muss sicher se<strong>in</strong> können, dass die verwendeten IT-<br />
Produkte auf Herz und Nieren geprüft s<strong>in</strong>d, und hat immer wie<strong>der</strong> neu da<strong>für</strong> zu sorgen,<br />
dass se<strong>in</strong> gesamtes System sicher angelegt ist. IT-Grundschutz und Zertifizierungen<br />
durch das <strong>BSI</strong> s<strong>in</strong>d da<strong>für</strong> e<strong>in</strong>e gute Basis. Beispielsweise zeigen Zertifikate, welches<br />
<strong>Sicherheit</strong>sniveau nationale und <strong>in</strong>ternationale Produkte erreicht haben.<br />
Das IT-Grundschutzhandbuch hat sich mit se<strong>in</strong>en verschiedenen Ergänzungslieferungen<br />
<strong>in</strong> den Händen von IT-Verantwortlichen mittlerweile als Klassiker erwiesen.<br />
Heute bietet das <strong>BSI</strong> <strong>für</strong> unterschiedliche Organisationen zugeschnittene Grundschutzprofile<br />
an. Vom <strong>BSI</strong> geprüfte <strong>Sicherheit</strong>sexperten, die Auditoren, unterstützen Anwen<strong>der</strong><br />
bei <strong>der</strong> Umsetzung.
2.1 Tägliche Herausfor<strong>der</strong>ung:<br />
Viren, Schadprogramme, Dialer<br />
IT-SICHERHEIT VIREN UND DIALER<br />
Nicht nur Industrie und Behörden verlassen sich zunehmend auf IT-Systeme, auch aus<br />
Privathaushalten s<strong>in</strong>d sie nicht mehr wegzudenken.<br />
Immer mehr Dienste, <strong>für</strong> die e<strong>in</strong>e Vielzahl von unterschiedlichen IT-Systemen<br />
e<strong>in</strong>gesetzt werden, sollen künftig automatisiert werden. E<strong>in</strong>e große Zahl von E-Commerce-<br />
und E-Government-Anwendungen laufen nur über Rechner: E<strong>in</strong>ige Städte haben<br />
zum Beispiel Onl<strong>in</strong>e-Tickets <strong>für</strong> den öffentlichen Nahverkehr e<strong>in</strong>geführt, die während<br />
<strong>der</strong> Fahrt per Handy bestellt und bezahlt werden können.<br />
Das <strong>BSI</strong> gibt auf se<strong>in</strong>en Internetseiten<br />
www.bsi-fuer-buerger.de H<strong>in</strong>weise, wie man<br />
sich vor Viren, Dialern und Schadprogrammen<br />
schützen kann. Aber wenn <strong>der</strong> Totenkopf auf<br />
dem Bildschirm ersche<strong>in</strong>t, ist es meistens<br />
schon zu spät: Der Virus ist im System.<br />
TCG – Sichere Kommunikationsplattformen<br />
Mit <strong>der</strong> Verbreitung von IT-Systemen vervielfältigen<br />
sich <strong>der</strong>en <strong>Sicherheit</strong>sprobleme. Viren und an<strong>der</strong>e<br />
Schadprogramme pflanzen sich über das Internet<br />
weltweit und rasend schnell fort. Spionageprogramme<br />
gelangen an sensible Daten auch von Privatleuten.<br />
Dem Informationsangebot von Firmen werden<br />
über DoS-Angriffe hohe Schäden zugefügt. Statt die<br />
Kommunikation zu erleichtern, wird das E-Mail-Netz mit <strong>der</strong> immensen Zunahme <strong>der</strong><br />
Spam-Mails zu e<strong>in</strong>er Belastung. Kurz gesagt: Das Vertrauen <strong>in</strong> die IT-Plattformen ist<br />
nicht beson<strong>der</strong>s hoch, während gleichzeitig viele Dienste nur noch über diese Kommunikationsmöglichkeit<br />
zu erreichen s<strong>in</strong>d. Aus diesem Grund haben sich Ende 1999<br />
mehrere IT-Firmen zu e<strong>in</strong>er Allianz zusammengeschlossen, um geme<strong>in</strong>sam Spezifikationen<br />
<strong>für</strong> sichere Plattformen zu entwickeln. Die heute unter dem Namen Trusted<br />
Comput<strong>in</strong>g Group (TCG) bekannte Vere<strong>in</strong>igung zählt <strong>in</strong>zwischen <strong>in</strong>sgesamt 86 Mitglie<strong>der</strong><br />
(Stand 3. November <strong>2004</strong>), wobei e<strong>in</strong>ige <strong>der</strong> bedeutendsten Firmen <strong>der</strong> Branche<br />
(AMD, HP, IBM, Intel, Microsoft, Sony und Sun) maßgeblich die Entwicklungen steuern.
Mit den Mitteln e<strong>in</strong>es „Kammerjägers“ ist<br />
den schädlichen Computerviren nicht<br />
beizukommen. Nur regelmäßig<br />
aktualisierte Antiviren-Programme<br />
garantieren <strong>Sicherheit</strong>.<br />
Die TCG beabsichtigt, bestehende IT-Systeme (Computer, Handys, PDAs) durch e<strong>in</strong>e<br />
Hardware-Erweiterung so weit vertrauenswürdig zu machen, dass <strong>in</strong> Zukunft die<br />
<strong>Sicherheit</strong> <strong>der</strong> eigenen Daten sowie <strong>der</strong> sichere Austausch von Daten mit unbekannten<br />
IT-Systemen besser als heute gewährleistet werden kann. Kritiker beanstanden allerd<strong>in</strong>gs<br />
das Missbrauchspotenzial, welches die Technologie birgt. So wird zwar die<br />
Hardware spezifiziert, die <strong>Sicherheit</strong> <strong>der</strong> Plattform bleibt jedoch davon abhängig, ob<br />
die Software die Hardware im gedachten S<strong>in</strong>n nutzt, und die notwendige neue Infrastruktur<br />
vertrauenswürdig ist. Die bislang im Markt e<strong>in</strong>geführten Produkte be<strong>in</strong>halten<br />
nur kle<strong>in</strong>ere Software-Anwendungen. Es hat sich auch noch ke<strong>in</strong>e neue Infrastruktur<br />
herausgeformt.<br />
Das <strong>BSI</strong> hat zu diesem Thema e<strong>in</strong>e Arbeitsgruppe gebildet, welche sich nicht nur mit<br />
den Aktivitäten <strong>der</strong> TCG beschäftigt, son<strong>der</strong>n auch an<strong>der</strong>e Entwicklungen zur Erstellung<br />
sicherer Plattformen untersucht.<br />
Die Trusted Comput<strong>in</strong>g Group (TCG) hat<br />
ihren Hauptsitz <strong>in</strong> Portland/Oregon (USA)<br />
und wird von e<strong>in</strong>em Komitee aus gewählten<br />
Vertretern <strong>der</strong> beteiligten Firmen geleitet. Da<br />
die Bandbreite <strong>der</strong> Unternehmen sehr weit<br />
reicht, kann die TCG geeignete Produkte <strong>für</strong><br />
ganz unterschiedliche IT-Systeme entwickeln<br />
lassen.
Aktivitäten des <strong>BSI</strong> zur Trusted Comput<strong>in</strong>g Group (TCG)<br />
Erstens<br />
Mitarbeiter aus den unterschiedlichen Arbeitsgebieten des <strong>BSI</strong> haben bis Ende 2003 die<br />
Aktivitäten <strong>der</strong> TCG, <strong>der</strong> Vorgängerorganisation TCPA sowie <strong>der</strong> e<strong>in</strong>zelnen Firmen, die<br />
auf dem Gebiet tätig s<strong>in</strong>d, beobachtet. Ziel war es, Know-how bezüglich <strong>der</strong> neuen<br />
Technologie aufzubauen, um <strong>für</strong> Entschei<strong>der</strong> Transparenz zu schaffen und als zentraler<br />
Dienstleister <strong>für</strong> IT-<strong>Sicherheit</strong> Än<strong>der</strong>ungs- und Nachbesserungsbedarf gegenüber beteiligten<br />
Organisationen und Firmen äußern zu können.<br />
Zweitens<br />
Im Jahr <strong>2004</strong> wurden diese Beobachtungen <strong>in</strong>tensiviert und <strong>Sicherheit</strong>sanalysen <strong>der</strong><br />
neuen Technologie aufgenommen. Dazu haben <strong>BSI</strong>-Mitarbeiter die Spezifikationen<br />
durchgearbeitet und zahlreiche Gespräche mit Vertretern <strong>der</strong> TCG geführt, bei denen<br />
die e<strong>in</strong>zelnen Firmen ihre Entwicklungen erläutert haben und offene Fragen diskutiert<br />
wurden.<br />
Drittens<br />
Mit diesem Wissen wurde vom <strong>BSI</strong> e<strong>in</strong> Übersichtsreport erstellt, <strong>der</strong> das Trusted Platform<br />
Module (TPM) erläutert. Dieses Modul bildet die Grundlage <strong>der</strong> sicheren Plattform.<br />
Informationen hierzu wurden Ende des Jahres auf den Webseiten des <strong>BSI</strong> <strong>für</strong> E<strong>in</strong>steiger<br />
und Entschei<strong>der</strong> veröffentlicht. Anhand dieser Beschreibung sollen Interessierte<br />
aufgeklärt und es <strong>für</strong> IT-Verantwortliche e<strong>in</strong>facher gemacht werden, die komplexe<br />
Thematik zu erfassen und notwendige Schlüsse zu ziehen.<br />
Von vier Prozent im Januar<br />
auf 18 Prozent im Mai stieg<br />
<strong>der</strong> Anteil <strong>der</strong> <strong>in</strong>fizierten<br />
E-Mails an allen Mails, die an<br />
Bundesbehörden g<strong>in</strong>gen.
Angriffe über Dialer<br />
Bis von e<strong>in</strong>er sicheren Plattform ausgegangen werden kann, müssen die Gefahren<br />
an<strong>der</strong>weitig bekämpft werden. Damit <strong>Sicherheit</strong>sprobleme erkannt und entsprechende<br />
Schutzmaßnahmen entwickelt werden können, bedarf es e<strong>in</strong>er Analyse <strong>der</strong><br />
Angriffsszenarien. E<strong>in</strong>es davon ist <strong>der</strong> Angriff über sogenannte Dialer.<br />
Die Abrechnung von m<strong>in</strong>imalen Beträgen (sog. Micro-Payment) über die Telefonrechnung<br />
<strong>in</strong> Form von Dialern ist an und <strong>für</strong> sich e<strong>in</strong>e recht gute und e<strong>in</strong>fache Sache.<br />
Der Anbieter muss nicht aufwendig e<strong>in</strong>e Rechnung stellen, den Zahlungse<strong>in</strong>gang<br />
überprüfen und ggf. e<strong>in</strong>e Mahnung schreiben. Alles wird über die Telefongebühren<br />
abgerechnet. Lei<strong>der</strong> s<strong>in</strong>d Dialer <strong>in</strong> Verruf geraten, weil Firmen versucht haben, ahnungslose<br />
Bürger zu prellen, <strong>in</strong>sbeson<strong>der</strong>e mit den 0190-Dialern. Seit dem 14. Dezember<br />
2003 gilt: Kostenpflichtige Dialer dürfen nur noch über die Rufnummerngasse<br />
0900-9- betrieben werden. Und sie müssen bei <strong>der</strong> Regulierungsbehörde <strong>für</strong> Telekommunikation<br />
und Post (Reg TP) registriert se<strong>in</strong>. Telekommunikationsunternehmen bieten<br />
seitdem an, kostenlos teure Vorwahlen zu sperren. Damit ist es Dialern nicht mehr<br />
möglich, sich unbemerkt auf den Rechnern von ahnungslosen Kunden e<strong>in</strong>zunisten und<br />
teure Verb<strong>in</strong>dungen aufzubauen.<br />
Unseriöse Anbieter versuchten zeitweise, über Auslands-Rufnummern bei Telefonkunden<br />
auf unlautere Art Gebühren zu kassieren. Viele Kunden haben <strong>2004</strong> zu<br />
ihrer Überraschung auf ihrer Monatsabrechnung e<strong>in</strong>en o<strong>der</strong> mehrere Posten gefunden,<br />
bei denen Verb<strong>in</strong>dungen zu Rufnummern <strong>in</strong>s Ausland o<strong>der</strong> zu Satelliten aufgeführt<br />
s<strong>in</strong>d. Durch schnelles E<strong>in</strong>greifen <strong>der</strong> Netzbetreiber aufgrund <strong>der</strong> Warnungen des <strong>BSI</strong><br />
konnten weitere Schäden vermieden werden.<br />
Das <strong>BSI</strong> sammelt Informationen zu diesen neuen Methoden. Angaben über<br />
die gewählten Nummern, Dauer <strong>der</strong> Verb<strong>in</strong>dungen, <strong>in</strong> Rechnung gestellte Kosten, Informationen<br />
über möglicherweise verdächtige Internet-Seiten (URL) sowie e<strong>in</strong> eventuell<br />
aufgefundenes Dialer-Programm, die dem <strong>BSI</strong> zugehen, werden nach Prüfung des<br />
Sachverhalts zur Sperrung an die zuständigen Netzbetreiber weitergeleitet. Bis Ende<br />
September <strong>2004</strong> wurden rund 3500 solcher Auslandsrufnummern als dialer-verdächtig<br />
gesperrt. Viele Bürger mussten nach ihren berechtigten E<strong>in</strong>wänden solche Posten nicht<br />
bezahlen beziehungsweise bekamen bereits abgebuchte Beträge gutgeschrieben.
Sober, Sasser, Mydoom<br />
Das <strong>Bundesamt</strong> erläutert auf speziellen<br />
Internetseiten www.bsi-fuer-buerger.de,<br />
was Bürger<strong>in</strong>nen und Bürger über<br />
Würmer, Trojanische Pferde und Viren<br />
wissen sollten.<br />
Für Schlagzeilen und große Schäden sorgen neben Dialern vor allem Computerviren,<br />
Würmer und Trojanische Pferde. Auch im Jahr <strong>2004</strong> blieben die Computernutzer<br />
davon nicht verschont. Bemerkenswert ist: Es gab noch nie so viele gefährliche<br />
und stark verbreitete Viren wie im ersten Halbjahr <strong>2004</strong>, und da beson<strong>der</strong>s im Monat<br />
März.<br />
Durchschnittlich waren monatlich rund sieben Prozent <strong>der</strong> von den zentralen<br />
E-Mail-Gateways <strong>der</strong> Bundesbehörden empfangenen E-Mails <strong>in</strong>fiziert. Im Mai wurde e<strong>in</strong>e<br />
Spitze mit über 18 Prozent erreicht. Das lag an dem Sober.G-Wurm. Wegen des<br />
deutschen Textes <strong>in</strong> <strong>der</strong> E-Mail verführte er gerade <strong>in</strong> Deutschland sehr viele Nutzer,<br />
die Datei-Anlage anzuklicken und damit den Wurm zu aktivieren.<br />
Nur wenig Verän<strong>der</strong>ungen gab es bei <strong>der</strong> Verteilung <strong>der</strong> e<strong>in</strong>zelnen Virenarten.<br />
Nach wie vor müssen die meisten Programme mit Schadfunktionen als Würmer<br />
(über 60 Prozent) klassifiziert werden, gefolgt von Trojanischen Pferden (über 30 Prozent).<br />
Boot-Viren s<strong>in</strong>d mittlerweile nahezu ausgestorben, was ursächlich mit dem Verschw<strong>in</strong>den<br />
<strong>der</strong> Diskette als Datenträger zusammenhängt. Die Viren und Würmer mit<br />
<strong>der</strong> größten Verbreitung im Jahre <strong>2004</strong> waren Sasser, Sober, Mydoom, Netsky und<br />
Bagle (beziehungsweise Beagle) mit ihren Varianten.<br />
Es gelang, den Autor des Sasser-Wurms zu ermitteln. Er entpuppte sich<br />
außerdem als Urheber des Netsky-Wurms. Anklage ist erhoben, Prozessbeg<strong>in</strong>n war<br />
im Frühjahr 2005.
2.2 Beglaubigte IT-<strong>Sicherheit</strong>:<br />
Zertifizierung<br />
IT-SICHERHEIT ZERTIFIZIERUNG<br />
Die Zertifizierung von IT-Produkten auf Basis von <strong>in</strong>ternational anerkannten IT-<strong>Sicherheit</strong>skriterien<br />
ist e<strong>in</strong>e zentrale Aufgabe des <strong>BSI</strong>.<br />
In mehreren Staaten ist <strong>der</strong> E<strong>in</strong>satz zertifizierter Produkte, <strong>in</strong>sbeson<strong>der</strong>e <strong>in</strong><br />
<strong>der</strong> öffentlichen Verwaltung, vorgeschrieben. Auch IT-Verantwortliche for<strong>der</strong>n zunehmend<br />
den E<strong>in</strong>satz dieser Produkte, da es <strong>für</strong> den Anwen<strong>der</strong> <strong>in</strong> <strong>der</strong> Regel schwierig ist,<br />
selbst <strong>Sicherheit</strong>seigenschaften zu bewerten. E<strong>in</strong>e neutrale unabhängige Prüfung – bestätigt<br />
durch das <strong>in</strong>ternational anerkannte <strong>BSI</strong>-Zertifikat – gibt dem Anwen<strong>der</strong> die Gewähr,<br />
dass das IT-Produkt die angegebenen <strong>Sicherheit</strong>sleistungen tatsächlich erbr<strong>in</strong>gt.<br />
Die Evaluierung wird im Rahmen des Zertifizierungsschemas des <strong>BSI</strong> von akkreditierten<br />
und lizenzierten Prüfstellen auf Basis <strong>der</strong> Common Criteria (CC, ISO/IEC 15408)<br />
durchgeführt. Beantragen können die Zertifizierung e<strong>in</strong> Hersteller, e<strong>in</strong> Vertreiber o<strong>der</strong><br />
e<strong>in</strong>e Bundesbehörde als Anwen<strong>der</strong>.<br />
In den Common Criteria s<strong>in</strong>d Anfor<strong>der</strong>ungen an die Vertrauenswürdigkeit <strong>in</strong><br />
sieben hierarchisch angelegten Stufen (Evaluation Assurance Level – EAL) zusammengefasst,<br />
von ger<strong>in</strong>gen Anfor<strong>der</strong>ungen (EAL1) bis h<strong>in</strong> zu den Anfor<strong>der</strong>ungen <strong>für</strong> den<br />
E<strong>in</strong>satz im Bereich hochsensibler Daten (EAL7).<br />
Die Common Criteria bieten Anwen<strong>der</strong>gruppen und Herstellern die Möglichkeit,<br />
die jeweiligen Anfor<strong>der</strong>ungen <strong>für</strong> Produkt- und Systemklassen, wie Firewalls,<br />
Geldkarten o<strong>der</strong> Betriebssysteme, <strong>in</strong> Schutzprofilen (Protection Profiles) festzulegen.<br />
Diese Schutzprofile können Anfor<strong>der</strong>ungen an die IT-<strong>Sicherheit</strong> e<strong>in</strong>er ganzen Kategorie<br />
von Produkten o<strong>der</strong> Systemen def<strong>in</strong>ieren, ohne dabei auf e<strong>in</strong> konkretes IT-Produkt o<strong>der</strong><br />
-System Bezug zu nehmen. Mit Hilfe von Anfor<strong>der</strong>ungen aus den Common Criteria wird<br />
dann e<strong>in</strong>e Musterlösung skizziert. Diese Musterlösungen werden sowohl von <strong>der</strong> ISO als<br />
auch auf entsprechenden nationalen Websites registriert und stehen damit weltweit<br />
zur Verfügung.<br />
Auf diese Weise haben Autoren von Schutzprofilen die Möglichkeit, weltweit<br />
Standards zu setzen. Auch Behörden und <strong>in</strong>ternationale Organisationen können mit<br />
Hilfe von Schutzprofilen ihre <strong>Sicherheit</strong>s<strong>in</strong>teressen und Vorstellungen <strong>für</strong> bestimmte<br />
IT-Anwendungen und Produkttypen <strong>in</strong> Form e<strong>in</strong>es standardisierten <strong>Sicherheit</strong>skonzepts<br />
zum Ausdruck br<strong>in</strong>gen.<br />
E<strong>in</strong> Beispiel da<strong>für</strong> ist das <strong>2004</strong> vom <strong>BSI</strong> geme<strong>in</strong>sam mit dem deutschen<br />
Städte- und Geme<strong>in</strong>debund sowie <strong>der</strong> Abfallwirtschaft def<strong>in</strong>ierte Schutzprofil WBIS zur<br />
Übertragung und Speicherung aufgezeichneter Leerungsdaten von Abfallbehältern. Es<br />
soll zukünftig <strong>in</strong> kommunalen Ausschreibungen verwendet werden.
Um Mehrfach-Zertifizierungen des gleichen Produktes <strong>in</strong> verschiedenen Staaten<br />
zu vermeiden, wurden die im folgenden aufgeführten Vere<strong>in</strong>barungen zur gegenseitigen<br />
Anerkennung von IT-<strong>Sicherheit</strong>szertifikaten getroffen.<br />
ITSEC- und CC-Zertifikate<br />
Das europäische Abkommen SOGIS bezieht sich auf Zertifikate aller Evaluierungsstufen.<br />
Sofern e<strong>in</strong>e Nation über ke<strong>in</strong>e eigene Zertifizierungsstelle verfügt, handelt es<br />
sich um e<strong>in</strong>e e<strong>in</strong>seitige Anerkennung.<br />
CC-Zertifikate<br />
E<strong>in</strong>e Vere<strong>in</strong>barung über die gegenseitige Anerkennung von IT-<strong>Sicherheit</strong>szertifikaten<br />
auf Basis <strong>der</strong> CC bis e<strong>in</strong>schließlich <strong>der</strong> Vertrauenswürdigkeitsstufe EAL4 wurde<br />
von den nationalen Stellen <strong>der</strong> folgenden Staaten unterzeichnet: Frankreich, Deutschland,<br />
Großbritannien, Kanada, den USA, geme<strong>in</strong>same Zertifizierungsstelle Australiens<br />
und Neuseelands, Japan, F<strong>in</strong>nland, Griechenland, Italien, Nie<strong>der</strong>lande, Norwegen, Spanien,<br />
Israel, Schweden, Österreich, Türkei, Ungarn und Tschechische Republik. Weitere<br />
Nationen haben bereits ihr Interesse bekundet.<br />
Die Länge des Verfahrens <strong>der</strong> Evaluierung und Zertifizierung kann – <strong>in</strong> Abhängigkeit<br />
von <strong>der</strong> Komplexität des Produkts und <strong>der</strong> angestrebten Evaluationsstufe –<br />
stark differieren. Damit das Zertifikat gleichzeitig mit dem Ersche<strong>in</strong>en des Produktes<br />
auf dem Markt erteilt werden kann, erfolgt die Evaluierung oft entwicklungsbegleitend.<br />
Um den sehr kurzen Produktzyklen, <strong>in</strong>sbeson<strong>der</strong>e im Smart Card-Bereich,<br />
Rechnung zu tragen, wurden zusätzlich möglichst effiziente Verfahrensweisen zur Aufrechterhaltung<br />
e<strong>in</strong>es Zertifikats <strong>in</strong>ternational diskutiert und abgestimmt. Def<strong>in</strong>iert<br />
wurde e<strong>in</strong> Verfahren zur sogenannten Assurance Cont<strong>in</strong>uity. Dieses ermöglicht dem<br />
Hersteller, mit Zustimmung <strong>der</strong> Zertifizierungsstelle bei ger<strong>in</strong>gfügigen Än<strong>der</strong>ungen die<br />
Gültigkeit des Zertifikats aufrechtzuerhalten.<br />
Das Verfahren wurde im Smart Card-Umfeld bereits angewandt. Es ist davon<br />
auszugehen, dass es <strong>in</strong> Zukunft breitere Verwendung f<strong>in</strong>den wird. Dass es auch möglich<br />
ist, Open Source Produkte e<strong>in</strong>er CC-Zertifizierung zu unterziehen, zeigt das Beispiel<br />
LINUX. Die 2002 begonnenen Aktivitäten führten zur Zertifizierung des SUSE<br />
LINUX Enterprise Server 8 und des RedHat Enterprise LINUX 3 AS/WS. Beide Betriebssysteme<br />
konnten als konform zum US-Schutzprofil CAPP (Controlled Access Protection<br />
Profile) nach <strong>der</strong> CC-Stufe EAL3 auf IBM Hardware-Plattformen zertifiziert werden. Zertifizierungen<br />
auf an<strong>der</strong>en Hardware-Plattformen (zum Beispiel von Hewlett-Packard)<br />
wurden ebenfalls durchgeführt o<strong>der</strong> s<strong>in</strong>d <strong>in</strong> <strong>der</strong> Planung.<br />
Das <strong>BSI</strong> arbeitet kont<strong>in</strong>uierlich <strong>in</strong> Projekten zur Schutzprofilentwicklung<br />
beziehungsweise Zertifizierung neuer Technologien mit. Da<strong>für</strong> exemplarisch drei<br />
Beispiele:
Erstens<br />
In Abstimmung mit <strong>der</strong> französischen Partnerbehörde DCSSI sowie dem Kraftfahrbundesamt,<br />
dem Bundesverkehrsm<strong>in</strong>isterium und <strong>der</strong> zuständigen Generaldirektion<br />
<strong>der</strong> EU-Kommission wurden Konzepte <strong>für</strong> die Zertifizierung von Komponenten des<br />
Digitalen Tachographen (Fahrtenschreiber) erarbeitet.<br />
Zweitens<br />
Weil davon auszugehen ist, dass zertifizierte Produkte zum Beispiel bei <strong>der</strong> Gesundheitskarte,<br />
im biometrischen Pass und im digitalen Personalausweis Verwendung f<strong>in</strong>den<br />
werden, arbeitet das <strong>BSI</strong> an <strong>der</strong> Erstellung von Schutzprofilen <strong>für</strong> diese Bereiche.<br />
Erste Ergebnisse s<strong>in</strong>d Anfang 2005 zu erwarten.<br />
Drittens<br />
In Zusammenarbeit mit europäischen Prüfstellen und Eurosmart wurde die Grundlagenarbeit<br />
zur Smart Card-Zertifizierung, die im Rahmen von eEurope begonnen<br />
wurde, <strong>in</strong> verschiedenen Arbeitsgruppen fortgesetzt.<br />
Das <strong>BSI</strong> zertifiziert IT-Produkte<br />
und IT-Systeme nach den<br />
<strong>in</strong>ternationalen Kriterien <strong>der</strong><br />
Common Criteria o<strong>der</strong> <strong>der</strong> europäischen<br />
ITSEC. 2003 wurden<br />
15 CC-Zertifikate erteilt;<br />
demgegenüber stehen <strong>2004</strong> 36<br />
CC-Zertifikate. Die Nachfrage<br />
nach ITSEC-Zertifizierung<br />
(2003: zwei Zertifikate; <strong>2004</strong>:<br />
auch zwei Zertifikate) wird dagegen<br />
durch die Nachfrage<br />
nach CC-Zertifikaten ersetzt.<br />
Um den E<strong>in</strong>stieg <strong>in</strong> die CC-Zertifizierung zu erleichtern, wurden die Anfor<strong>der</strong>ungen<br />
<strong>in</strong> Bezug auf die Spezifikation <strong>für</strong> niedrige Evaluierungsstufen (EAL1) überarbeitet.<br />
Dadurch reduziert sich <strong>der</strong> Aufwand <strong>für</strong> den Hersteller signifikant. Entsprechende<br />
Zertifizierungsverfahren werden bereits <strong>in</strong>ternational durchgeführt.<br />
Zur Erweiterung und Ergänzung <strong>der</strong> jetzigen Produktzertifizierung ist e<strong>in</strong><br />
Verfahren <strong>für</strong> ganze IT-Produktlösungen <strong>in</strong> <strong>der</strong> Entwicklung. Das Zertifikat <strong>für</strong> e<strong>in</strong>e IT-<br />
Produktlösung soll e<strong>in</strong>e Gesamtsicht des Zusammenwirkens von <strong>Sicherheit</strong>sfunktionen<br />
und Produkteigenschaften bieten und gegebenenfalls nach CC zertifizierte Komponenten<br />
e<strong>in</strong>b<strong>in</strong>den. Die Machbarkeitsstudie ist bereits erfolgreich abgeschlossen worden.<br />
Die Pilotphase startete im Dezember des Jahres <strong>2004</strong>.
An Leitzentralen wie<br />
das Deutsche Bahn-Stellwerk<br />
<strong>in</strong> Frankfurt/Ma<strong>in</strong>-Ost werden hohe<br />
<strong>Sicherheit</strong>sanfor<strong>der</strong>ungen gestellt.<br />
Dieses <strong>Sicherheit</strong>shandy (l<strong>in</strong>ks)<br />
ist <strong>für</strong> fast alle Applikationen<br />
geeignet: USIM, Identification,<br />
Bank<strong>in</strong>g, PayTV. Das Produkt<br />
wurde Mitte dieses Jahres vom<br />
<strong>BSI</strong> nach Common Criteria E-<br />
AL 5+ zertifiziert. Der Digitale<br />
Tachograph (rechts oben) ist e<strong>in</strong> Fahrtenschreiber, <strong>der</strong> Lenk- und<br />
Ruhezeiten, Geschw<strong>in</strong>digkeit und Drehzahl erfasst. Sie werden auf<br />
dem Speicherchip <strong>der</strong> Fahrerkarte und dem Festspeicher des Geräts<br />
festgehalten.<br />
<strong>BSI</strong>-Präsident Dr. Udo Helmbrecht (rechts) überreicht<br />
e<strong>in</strong> CC-Zertifikat an den Product Manager<br />
Smart Card IC Security, Hans-Gerd Albertsen, von<br />
Philips Semiconductors, Hamburg.
ICCC erstmals <strong>in</strong> Deutschland<br />
Vom 28. bis 30. September <strong>2004</strong> fand die International Common Criteria<br />
Conference (ICCC) zum ersten Mal <strong>in</strong> Deutschland statt. Sie wurde zusammen mit <strong>der</strong><br />
europäischen IT-<strong>Sicherheit</strong>skonferenz ISSE (Information Security Solutions Europe) <strong>in</strong><br />
Berl<strong>in</strong> durchgeführt. Beide Konferenzen fanden zeitgleich statt, und es konnten mit<br />
<strong>in</strong>sgesamt 650 Besuchern etwa doppelt so viele wie <strong>in</strong> den vorangegangenen Jahren<br />
begrüßt werden. Auch dieses Jahr wurde die ICCC wie<strong>der</strong> dazu genutzt, um 10 aktuelle<br />
CC-Zertifikate offiziell an die Hersteller zu überreichen. Zusätzlich wurde e<strong>in</strong> Report<br />
<strong>für</strong> Assurance Cont<strong>in</strong>uity übergeben.<br />
<strong>BSI</strong>-Abteilungsleiter Bernd Kowalski<br />
(rechts) übergibt beim ICCC-Kongress<br />
e<strong>in</strong> Zertifikat an Mike Balma, HP<br />
L<strong>in</strong>ux Strategy and Plann<strong>in</strong>g, Hewlett<br />
Packard Company.
IT-SICHERHEIT IT-GRUNDSCHUTZ<br />
2.3 IT-Grundschutz: Praxisorientierte <strong>Sicherheit</strong><br />
Informationssicherheit ist nicht nur e<strong>in</strong>e Frage <strong>der</strong> Technik. Sie hängt <strong>in</strong> erheblichem Maße<br />
auch von den organisatorischen und personellen Rahmenbed<strong>in</strong>gungen ab.<br />
Dieser Erkenntnis trägt das IT-Grundschutzhandbuch des <strong>BSI</strong> seit langem<br />
Rechnung, <strong>in</strong>dem es sowohl technische als auch nicht-technische Standard-<strong>Sicherheit</strong>smaßnahmen<br />
<strong>für</strong> typische IT-Anwendungen und -Systeme empfiehlt.<br />
Im Vor<strong>der</strong>grund stehen dabei praxisnahe und handlungsorientierte H<strong>in</strong>weise<br />
mit dem Ziel, die E<strong>in</strong>stiegshürde <strong>in</strong> den <strong>Sicherheit</strong>sprozess so niedrig wie möglich zu<br />
halten und hochkomplexe Vorgehensweisen zu vermeiden. Mit diesem Ansatz hat sich<br />
das IT-Grundschutzhandbuch zu e<strong>in</strong>em Standardwerk <strong>für</strong> IT-<strong>Sicherheit</strong> entwickelt. Über<br />
3500 Anwen<strong>der</strong> haben sich <strong>in</strong>zwischen freiwillig beim <strong>BSI</strong> registrieren lassen.<br />
Das IT-Grundschutzhandbuch wird ständig weiterentwickelt und bedarfsgerecht<br />
um aktuelle Fachthemen ergänzt.<br />
E<strong>in</strong>e wertvolle Hilfestellung <strong>für</strong> die Analyse und Bewertung <strong>der</strong> IT-<br />
<strong>Sicherheit</strong> bei <strong>der</strong> täglichen Arbeit bietet das IT-Grundschutzhandbuch.<br />
Neben konkreten Maßnahmen wird beschrieben, wie Defizite erkannt<br />
und dauerhaft beseitigt werden können.<br />
Outsourc<strong>in</strong>g, Webserver, Outlook<br />
Im Oktober 2003 erschien die 5. Ergänzungslieferung mit den<br />
Themen „Outsourc<strong>in</strong>g“, „Internet Information Server“, „Apache<br />
Webserver“, „Exchange/Outlook 2000“ und „Archivierung“.<br />
Aktualisierter Bauste<strong>in</strong> „Firewall“<br />
Ende <strong>2004</strong> kam die 6. Ergänzungslieferung heraus, die neue Kapitel zu den Themen<br />
„Router und Switches“, „S/390- und zSeries-Ma<strong>in</strong>frame“ und „Personal Digital Assistant<br />
(PDA)“ enthält. Darüber h<strong>in</strong>aus wurde <strong>der</strong> existierende Bauste<strong>in</strong> zum Thema „Firewall“<br />
grundlegend überarbeitet.<br />
Alle Versionen des IT-Grundschutzhandbuchs werden <strong>in</strong> gedruckter Form als<br />
Lose-Blatt-Sammlung beim Bundesanzeiger-Verlag sowie <strong>in</strong> elektronischer Form über<br />
die <strong>BSI</strong>-Website und auf CD-ROM veröffentlicht. Um die <strong>in</strong>ternationale Zusammenarbeit<br />
von Behörden und Unternehmen zu unterstützen, wird das vollständige Handbuch<br />
auch <strong>in</strong> englischer Sprache elektronisch zur Verfügung gestellt. Positive Resonanz hat<br />
auch die Veröffentlichung <strong>der</strong> neuen <strong>BSI</strong>-Methodik zur „Risikoanalyse auf <strong>der</strong> Basis von<br />
IT-Grundschutz“ ausgelöst. Das Dokument steht als PDF-Datei auf dem Webserver des<br />
<strong>BSI</strong> zur Verfügung.
Übergang im Jakob-Kaiser-Haus des Deutschen<br />
Bundestages. Sichere IT-Netzwerke verb<strong>in</strong>den<br />
Abgeordnetenbüros, Fraktionsstäbe und<br />
Parlamentsdienste.<br />
Das GSTOOL steht Behörden<br />
kostenlos zur Verfügung<br />
Parallel zum IT-Grundschutzhandbuch entwickelte das <strong>BSI</strong> mit dem GSTOOL<br />
(aktuell <strong>in</strong> <strong>der</strong> Version 3.1) e<strong>in</strong>e komfortable und ergonomisch handhabbare Software,<br />
die das Vorgehen nach IT-Grundschutz auf elektronischem Weg durchgängig unterstützt.<br />
Es steht deutschen Behörden kostenlos zur Verfügung und wird dort ebenso wie<br />
<strong>in</strong> <strong>der</strong> freien Wirtschaft (kostenpflichtig) überaus positiv angenommen. Belegt wird die<br />
positive Resonanz durch aktuell über 4000 vergebene Lizenzen im Behördenbereich<br />
und durch mehr als 500 verkaufte Lizenzen an – zum Teil <strong>in</strong>ternational agierende –<br />
Unternehmen (Großkunden s<strong>in</strong>d beispielsweise Siemens und MAN). Seit Mitte <strong>2004</strong><br />
steht auch e<strong>in</strong>e englische Version des GSTOOL zur Verfügung.<br />
Weil das vom <strong>BSI</strong> entwickelte IT-Grundschutzhandbuch mit <strong>der</strong> Zeit immer<br />
umfangreicher geworden ist, wurde <strong>der</strong> Ruf nach beispielhaft nachvollziehbaren<br />
<strong>Sicherheit</strong>skonzepten immer lauter. Mit <strong>der</strong> Darstellung von drei Profilen <strong>für</strong> unterschiedliche<br />
Organisationsgrößen wurde <strong>der</strong> Vorgang, e<strong>in</strong> <strong>Sicherheit</strong>skonzept zu planen,<br />
umzusetzen und zu pflegen, exemplarisch mit vielen Hilfen und Tipps erläutert.<br />
Profile ermöglichen e<strong>in</strong>e schnelle Umsetzung<br />
Zusätzlich enthält das neue IT-Grundschutzhandbuch Richtl<strong>in</strong>ien zur Internet-<br />
und E-Mail-Nutzung, e<strong>in</strong> Viren-Schutzkonzept, e<strong>in</strong> Datensicherungskonzept, e<strong>in</strong><br />
Notfallvorsorgekonzept und e<strong>in</strong> Archivierungskonzept. Diese auf die jeweilige Institution<br />
zugeschnittenen Profile sollen ihre schnelle Umsetzung ermöglichen. Die Musterdokumente<br />
zeigen, welche IT-<strong>Sicherheit</strong>sthemen beson<strong>der</strong>s wichtig s<strong>in</strong>d und wie e<strong>in</strong>e<br />
hierarchische Anordnung von Richtl<strong>in</strong>ien aussehen kann.<br />
Neben diesen Hilfestellungen bieten vom <strong>BSI</strong> geschulte und geprüfte Auditoren<br />
ihre Unterstützung an. Die Nachfrage nach e<strong>in</strong>er Lizenzierung als IT-Grundschutz-<br />
Auditor ist nach wie vor ungebrochen. So hat sich die Zahl dieser Experten <strong>für</strong> IT-<br />
Grundschutz im Jahre <strong>2004</strong> auf 125 erhöht. Sie s<strong>in</strong>d <strong>für</strong> das <strong>BSI</strong> außerdem wichtige<br />
Multiplikatoren <strong>in</strong> die Fachöffentlichkeit.<br />
Auch die Nachfrage nach e<strong>in</strong>er Grundschutz-Zertifizierung steigt stetig. Dabei<br />
wurde deutlich, dass sich viele Institutionen noch <strong>in</strong> <strong>der</strong> Umsetzungsphase bef<strong>in</strong>den,<br />
aber klar auf die Zertifizierung abzielen. Dies zeigt, das <strong>BSI</strong> geht den richtigen<br />
Weg: IT-Grundschutz ist durch Zertifikate nachweisbar. Dieser Weg muss <strong>in</strong> den nächsten<br />
Jahren weiter beschritten und ausgebaut werden.
3 Im Angebot: Produkte<br />
<strong>für</strong> höchste Ansprüche<br />
PRODUKTE<br />
Produkte des <strong>BSI</strong> haben sich <strong>in</strong> dem anspruchsvollen Umfeld <strong>der</strong> nationalen und <strong>in</strong>ternationalen<br />
<strong>Sicherheit</strong>stechnik durchsetzen können. Nicht nur die NATO, auch die EU bauen heute<br />
auf Leistungen aus dem <strong>BSI</strong>.<br />
Ob es um Verschlüsselungstechnik geht, Spionageabwehr, die elektronische<br />
Kommunikation mit Behördennetzen o<strong>der</strong> ob schlicht e<strong>in</strong>e E<strong>in</strong>schätzung verlangt ist,<br />
welche Schließ- o<strong>der</strong> Aufbewahrungssysteme genügend <strong>Sicherheit</strong> bieten – stets hat<br />
sich das <strong>BSI</strong> an höchsten Ansprüchen und an dem neuesten Stand <strong>der</strong> Technik zu<br />
orientieren. Dass die Bundeswehr ihre militärischen E<strong>in</strong>heiten mit dem vom <strong>BSI</strong> entwickelten<br />
ISDN-Kryptosystem Elcrodat 6-2 ausrüsten wird, spricht <strong>für</strong> sich selbst.<br />
Auch <strong>der</strong> vor se<strong>in</strong>er E<strong>in</strong>führung stehende BOS-Digitalfunk <strong>für</strong> Polizei und<br />
Feuerwehr wurde vom <strong>BSI</strong> mit entwickelt. Er wird die Kommunikation <strong>der</strong> <strong>Sicherheit</strong>sbehörden<br />
abhörsicher machen. Experten des <strong>BSI</strong> prüfen und begleiten Baumaßnahmen<br />
<strong>für</strong> die öffentliche Hand, wenn es um e<strong>in</strong>en wirksamen Abhörschutz und e<strong>in</strong>e konsequente<br />
Lauschabwehr geht.<br />
Das E-Government-Handbuch ist onl<strong>in</strong>e verfügbar und enthält detaillierte<br />
Informationen, die Akzeptanz und Erfolg elektronischer Dienstleistungen betreffen.
3.1 Führend im Geheimschutz<br />
PRODUKTE GEHEIMSCHUTZ<br />
Ob „Top Secret“, „Secret“ o<strong>der</strong> „Vertraulich“ – wenn es um klassifizierte Informationen <strong>der</strong><br />
Regierung, <strong>der</strong> Verwaltung, des Militärs o<strong>der</strong> <strong>der</strong> dem Geheimschutz unterliegenden Industrie<br />
geht, gibt es ke<strong>in</strong>e Kompromisse.<br />
An Verschlüsselungssysteme werden höchste Anfor<strong>der</strong>ungen gestellt, was ihre<br />
Vertraulichkeit und Integrität betrifft. Die Produkte des <strong>BSI</strong> haben sich <strong>in</strong> diesem anspruchsvollen<br />
Umfeld auch <strong>in</strong>ternational durchsetzen können und werden sowohl bei<br />
<strong>der</strong> NATO als auch bei <strong>der</strong> EU e<strong>in</strong>gesetzt.<br />
Das ISDN-Kryptosystem Elcrodat 6-2 sichert nicht nur die Regierungskommunikation<br />
<strong>in</strong> Deutschland; <strong>in</strong>zwischen hat sich nach e<strong>in</strong>er aufwändigen Auswahlprozedur<br />
auch die NATO <strong>für</strong> das <strong>in</strong>novative Produkt entschieden. Elcrodat 6-2 wurde im Auftrag<br />
des <strong>BSI</strong> durch die Firma Rohde & Schwarz SIT GmbH realisiert. Zahlreiche darauf<br />
aufbauende Weiterentwicklungen s<strong>in</strong>d <strong>in</strong> Planung o<strong>der</strong> bereits beauftragt. Sie sichern<br />
die Zukunftsfähigkeit des Systems.<br />
In <strong>der</strong> Entwicklung ist e<strong>in</strong> „Gateway“, also e<strong>in</strong> B<strong>in</strong>deglied zwischen dem digitalen<br />
ISDN und bereits vorhandenen, auf analogen Netzen beruhenden Kryptosystemen.<br />
E<strong>in</strong> Erweiterungsmodul <strong>für</strong> das Elcrodat 6-2 soll die kryptographischen und<br />
Interoperabilitätseigenschaften weiter verbessern sowie das <strong>Sicherheit</strong>smanagement<br />
mo<strong>der</strong>nisieren und funktional erweitern.<br />
In <strong>der</strong> EU-Verwaltung ist das Elcrodat 6-2 bereits im E<strong>in</strong>satz und hat e<strong>in</strong>e Zulassung<br />
bis EU-Secret erhalten. E<strong>in</strong>em noch breiteren E<strong>in</strong>satz <strong>in</strong>nerhalb <strong>der</strong> EU und ihrer<br />
Organe steht nichts mehr im Wege. Wegen des Erfolgs <strong>der</strong> Systeme <strong>in</strong> den Kommunikationsnetzen<br />
<strong>der</strong> NATO und <strong>der</strong> EU entscheiden sich immer mehr Mitgliedslän<strong>der</strong><br />
<strong>für</strong> den E<strong>in</strong>satz des Elcrodat 6-2 <strong>in</strong> ihrer nationalen Kommunikation. Das unterstreicht<br />
das gewonnene Vertrauen <strong>in</strong> das <strong>BSI</strong> und <strong>in</strong> die deutsche Krypto<strong>in</strong>dustrie.<br />
Der taktische Militärtransporter A 400 M, an dessen<br />
Entwicklung mehrere europäische Län<strong>der</strong> beteiligt<br />
s<strong>in</strong>d, wird mit Elcrodat-Verschlüsselungstechnik<br />
ausgerüstet.
Produkt- und System<strong>in</strong>novationen mit SINA<br />
Schwarz, sicher und<br />
kompakt – die neueste<br />
Version des Elcrodat<br />
6-2 ist <strong>in</strong>ternational<br />
im E<strong>in</strong>satz und<br />
hat sich bewährt<br />
(l<strong>in</strong>ks). Auch die EU<br />
hat sich <strong>für</strong> diese Verschlüsselungstechnik<br />
entschieden<br />
– rechts im Bild die Brüsseler<br />
Zentrale <strong>der</strong> EU-Kommission.<br />
Mit SINA hat das <strong>BSI</strong> e<strong>in</strong> weiteres national wie <strong>in</strong>ternational erfolgreiches Hochsicherheitsprodukt<br />
im Angebot: Die „Sichere Inter-Netzwerk Architektur (SINA)“ ist e<strong>in</strong>e VPN-<br />
Lösung, mit <strong>der</strong> sich über das ansonsten unsichere Internet hochsichere Verb<strong>in</strong>dungen<br />
aufbauen lassen.<br />
In den vergangenen fünf Jahren ist um SINA herum e<strong>in</strong>e ganze Produktfamilie gewachsen.<br />
So bieten sich weitere Ansatzpunkte <strong>für</strong> Produkt- und System<strong>in</strong>novationen.<br />
Diverse E<strong>in</strong>satzszenarien lassen sich mit <strong>der</strong> vom <strong>BSI</strong> und <strong>der</strong> Firma secunet Security<br />
Networks AG entwickelten Hochsicherheitslösung abdecken. <strong>2004</strong> wurde e<strong>in</strong>e Basisversion<br />
<strong>der</strong> neuen „SINA Virtual Workstation (SINA-VW)“ fertiggestellt. Sie erlaubt e<strong>in</strong>en<br />
hochsicheren Remote Access (Fernzugriff) zu Unternehmensnetzen über Festnetz und<br />
Mobilfunk. Der ebenfalls <strong>2004</strong> fertiggestellte Prototyp e<strong>in</strong>es „SINA Encapsulated<br />
Encrypted Servers (SINA-E2S)“ ist e<strong>in</strong> weiteres Beispiel <strong>für</strong> e<strong>in</strong>e Produkt<strong>in</strong>novation mit<br />
SINA im Serverbereich. Die Nachfrage nach SINA-Komponenten bei NATO und EU-Mitgliedslän<strong>der</strong>n<br />
steigt stetig. Zahlreiche Systeme s<strong>in</strong>d bereits im E<strong>in</strong>satz o<strong>der</strong> es liegen<br />
Aufträge vor. Die EU zieht SINA-Komponenten <strong>für</strong> verschiedene zukünftige Anwendungen<br />
<strong>in</strong> Betracht. Die erfor<strong>der</strong>liche EU-Zweitevaluierung steht kurz vor dem Abschluss.<br />
Nachdem die Bundeswehr rund 8000 Stück des <strong>in</strong> SINA e<strong>in</strong>gesetzten Kryptochips<br />
„PLUTO“ bestellt hat, ergeben sich enorme E<strong>in</strong>satzperspektiven <strong>für</strong> die High-End-<br />
Version des Systems, die alle bisherigen Erwartungen übertrifft.<br />
Das Auswärtige Amt wickelt die Kommunikation mit den<br />
217 Auslandsvertretungen <strong>der</strong> Bundesrepublik Deutschland<br />
über das Internet ab. Die SINA-Technologie (Geräte da<strong>für</strong><br />
siehe l<strong>in</strong>ks) garantiert, dass geheime Informationen auch<br />
geheim bleiben.
Mo<strong>der</strong>ne kryptographische Anwendungen und <strong>Sicherheit</strong>smodule<br />
Das <strong>BSI</strong> setzt künftig bei <strong>der</strong> Verschlüsselung von Daten weitgehend auf programmierbare<br />
Kryptokomponenten. Die mo<strong>der</strong>ne Chiptechnologie macht extrem leistungsfähige<br />
kryptographische Implementierungen <strong>für</strong> praktisch alle Anwendungszwecke möglich.<br />
Damit diese Verfahren genau so sicher und vertrauenswürdig s<strong>in</strong>d wie herkömmliche,<br />
müssen <strong>in</strong>telligent gesicherte Misch-(Hybrid-)Systeme konzipiert werden. Das <strong>BSI</strong> arbeitet<br />
<strong>in</strong>tensiv mit se<strong>in</strong>en Industriepartnern, aber auch mit Wissenschaftlern, an e<strong>in</strong>satzfähigen<br />
und flexiblen Lösungen. Dabei entstehen ganze Produktl<strong>in</strong>ien sogenannter<br />
„Dedizierter Krypto Service Provi<strong>der</strong> (DCSP)“. Das s<strong>in</strong>d speziell angepasste Bauste<strong>in</strong>e,<br />
die <strong>in</strong> das jeweilige Kryptosystem <strong>in</strong>tegriert werden können.<br />
E<strong>in</strong>e <strong>der</strong> größten Herausfor<strong>der</strong>ungen auf diesem Gebiet wird die Entwicklung e<strong>in</strong>es<br />
hochmodularen „Infosec Moduls“ <strong>für</strong> die neue Generation <strong>der</strong> „Software Def<strong>in</strong>ed<br />
Radios (SDR)“ se<strong>in</strong>. Diese Funkgeräteplattformen s<strong>in</strong>d <strong>für</strong> verschiedene Funkwellenformen<br />
ausgelegt, die als Software (nach-)geladen werden können. Die völlig neuen Anwendungsperspektiven,<br />
die sich damit eröffnen, werden den Funkgerätemarkt revolutionieren.<br />
Im <strong>BSI</strong> laufen die Planungen <strong>für</strong> e<strong>in</strong> solches Projekt <strong>der</strong>zeit auf Hochtouren.<br />
<strong>BSI</strong>-System sichert künftigen digitalen Funkverkehr.<br />
Ob Polizei, Feuerwehr o<strong>der</strong> Rettungswesen – alle „Behörden<br />
und Organisationen mit <strong>Sicherheit</strong>saufgaben<br />
(BOS)“ sollen <strong>in</strong> Zukunft über e<strong>in</strong>en e<strong>in</strong>heitlichen digitalen<br />
Funk kommunizieren. Das so entstehende größte<br />
kryptographisch gesicherte Funknetz Europas (BOS-<br />
Funk) wird dann wohl mit <strong>der</strong> kle<strong>in</strong>sten Kryptokomponente<br />
<strong>der</strong> Welt ausgestattet. Das <strong>Sicherheit</strong>ssystem <strong>für</strong><br />
den digitalen BOS-Funk wurde komplett vom <strong>BSI</strong> entwickelt<br />
und setzt Maßstäbe <strong>in</strong> Sachen skalierbare <strong>Sicherheit</strong>,<br />
Modularität, Wirtschaftlichkeit und Funktionalität.<br />
Dabei passt es auf e<strong>in</strong>e handelsübliche SIM-Karte.<br />
Auch Fregatten <strong>der</strong> Bundesmar<strong>in</strong>e (im Bild l<strong>in</strong>ks<br />
die „Bayern“) sollen mit Hilfe des <strong>BSI</strong> mit Verschlüsselungstechnik<br />
ausgerüstet werden.
Hochsichere Informationsverarbeitung mit <strong>der</strong> „L4VM“ Plattform<br />
Handelsübliche (auch Open Source-basierte) Betriebssysteme haben e<strong>in</strong>e „monolithische<br />
Architektur“. Das bedeutet: Sie werden von e<strong>in</strong>em ganzen zusammenhängenden<br />
Programmcode mit vielen Millionen Codezeilen gesteuert. Solche Systeme entziehen<br />
sich auf Grund ihrer Komplexität pr<strong>in</strong>zipiell e<strong>in</strong>er höherwertigen Evaluierung/Überprüfung<br />
und Zertifizierung.<br />
Für hochschützenswerte IT-Anwendungen werden jedoch vertrauenswürdige Rechnerplattformen<br />
benötigt. Mit dem Projekt „L4VM“ soll e<strong>in</strong>e völlig neue Betriebssystemarchitektur<br />
<strong>für</strong> Hochsicherheitsanwendungen entstehen. Ziel ist, e<strong>in</strong> bestehendes Betriebssystem<br />
auf e<strong>in</strong>em an<strong>der</strong>en, beson<strong>der</strong>s gesicherten Betriebssystemkern laufen zu<br />
lassen, dem Mikrokern. Dieser nutzt separate Adressräume des physikalischen Speichers<br />
<strong>für</strong> die Kapselung von Anwendungen. Er ist die zentrale Komponente, die als<br />
e<strong>in</strong>zige mit den besten und sichersten Privilegien ausgestattet ist, die <strong>in</strong> <strong>der</strong> Rechnerarchitektur<br />
zur Verfügung stehen.<br />
Die Kommunikations<strong>in</strong>frastruktur, die von e<strong>in</strong>em Mikrokern bereitgestellt wird, besteht<br />
im Wesentlichen aus hochoptimierter nachrichtenbasierter Inter-Prozess-Kommunikation<br />
(IPC). Die ger<strong>in</strong>ge Funktionalität des Mikrokerns wird durch schlanke Applikationen<br />
erweitert. Diese Applikationen stellen unterschiedliche Dienste bereit und s<strong>in</strong>d als<br />
Trusted Service Provi<strong>der</strong> (TSP) Bestandteil <strong>der</strong> Trusted Comput<strong>in</strong>g Base <strong>der</strong> Plattform.<br />
Schema <strong>für</strong> die Mikrokern-Architektur: Ankommende<br />
Informationen werden nur über den gesicherten<br />
Mikrokern weitergegeben. Firewalls schotten die e<strong>in</strong>zelnen<br />
Programmsegmente wie Schlüsselverwaltung,<br />
Netzwerkprogramme und an<strong>der</strong>e untere<strong>in</strong>an<strong>der</strong> ab.
Das Ergebnis<br />
Programmierfehler o<strong>der</strong> Angriffe führen auf e<strong>in</strong>er mikrokernbasierten Plattform<br />
höchstens zum Ausfall e<strong>in</strong>er entsprechenden Komponente, nicht aber zu e<strong>in</strong>er Kompromittierung<br />
des Gesamtsystems.<br />
Für den notwendigen E<strong>in</strong>satz von Betriebssystemen auf dieser Plattform gibt es zwei<br />
Varianten. Ist die Anpassung e<strong>in</strong>es bestehenden Betriebssystems an die L4-Schnittstelle<br />
möglich, zum Beispiel bei Open-Source, spricht man von Paravirtualisierung. Durch<br />
Paravirtualisierung entsteht nur e<strong>in</strong> ger<strong>in</strong>ger Verzögerungseffekt <strong>in</strong> <strong>der</strong> Laufzeit. Er ist<br />
<strong>für</strong> normale Büroanwendungen nicht spürbar.<br />
Für proprietäre Betriebssysteme ist diese Vorgehensweise nicht möglich. Bei dieser<br />
Variante muss e<strong>in</strong> Monitor e<strong>in</strong>e Virtualisierungsschicht bereitstellen und die Systemaufrufe<br />
des Betriebssystems an die Hardware weitergeben beziehungsweise privilegierte<br />
Instruktionen über den Mikrokern abwickeln. Durch e<strong>in</strong>e eigens hier<strong>für</strong> entwickelte<br />
„Virtuelle Masch<strong>in</strong>e (L4VM)“ wird erreicht, dass <strong>der</strong> Benutzer weitgehend das gleiche<br />
„look and feel“ haben wird wie auf e<strong>in</strong>er herkömmlichen Rechnerplattform.<br />
Hardware im Hochsicherheitsbereich<br />
Während <strong>Sicherheit</strong>smodule <strong>für</strong> den Hochsicherheitsbereich bisher typischerweise fest<br />
verdrahtete Chips (sog. Krypto-ASICs – Application Specific Integrated Circuit) verwenden,<br />
gew<strong>in</strong>nt bei Neuentwicklungen unter an<strong>der</strong>em aus Kosten- und Flexibilitätsgründen<br />
<strong>der</strong> E<strong>in</strong>satz von rekonfigurierbarer (neu zu programmieren<strong>der</strong>) Hardware an Bedeutung.<br />
Beson<strong>der</strong>s hervorzuheben s<strong>in</strong>d FPGAs (Field Programmable Gate Arrays), <strong>der</strong>en Leistungsfähigkeit<br />
<strong>in</strong> den letzten Jahren deutlich gestiegen ist. Vom <strong>BSI</strong> <strong>in</strong> Zusammenarbeit<br />
mit Universitäten durchgeführte Studien und eigene Analysen zeigen, dass mit<br />
den heute verfügbaren FPGAs auch komplexe Kryptosysteme <strong>für</strong> Hochsicherheits- und<br />
Hochgeschw<strong>in</strong>digkeitsanwendungen entwickelt werden können.<br />
Als „<strong>Sicherheit</strong>sanker“ und <strong>in</strong> Ergänzung zu den schnellen und flexiblen FPGAs bieten<br />
sich im Hochsicherheitsbereich Smart Cards an, die aus vertrauenswürdiger Fertigung<br />
stammen und mit e<strong>in</strong>em zertifizierten Betriebssystem ausgestattet s<strong>in</strong>d. Aufgrund <strong>der</strong><br />
breit gefächerten Verwendung von Smart Cards <strong>in</strong> verschiedenen kommerziellen <strong>Sicherheit</strong>sanwendungen<br />
werden diese regelmäßig sicherheitstechnisch optimiert.
SISI – <strong>Sicherheit</strong> bei digitalen Signaturen<br />
Das vom <strong>BSI</strong> mit <strong>der</strong> TC TrustCenter AG Hamburg entwickelte Programm „Sichere<br />
SignaturInfrastruktur” (SISI) beseitigt das Defizit bei <strong>der</strong> Bereitstellung<br />
e<strong>in</strong>es sicheren Umgangs mit Signaturen <strong>in</strong> e<strong>in</strong>er Standard-PC-Umgebung. Das<br />
Problem ist die Angreifbarkeit <strong>der</strong> Signatur-Software wegen <strong>der</strong> Schwachstellen<br />
von Standardbetriebssystemen. E<strong>in</strong>e Software, die <strong>in</strong> e<strong>in</strong>er PC-Umgebung<br />
<strong>Sicherheit</strong> <strong>für</strong> digitale Signaturen garantiert, muss die wichtigsten Bedrohungen<br />
ausschließen können. Die SISI-Schutzsoftware ermöglicht es den PC-<br />
Benutzern, e<strong>in</strong> Programm zur Erstellung elektronischer Signaturen <strong>für</strong> Vertragsdokumente<br />
so zu betreiben, dass Manipulationen durch Schadsoftware<br />
weitestgehend erkannt und ausgeschlossen werden können. Die Schutzsoftware<br />
läuft unter e<strong>in</strong>em <strong>der</strong> professionellen Microsoft-W<strong>in</strong>dows-Betriebssysteme<br />
o<strong>der</strong> e<strong>in</strong>er verbreiteten L<strong>in</strong>ux-Distribution wie SuSE 9.0.<br />
SISI passt auf: Die Signatursoftware<br />
läuft – wie<br />
hier im Bild – unter dem<br />
ganz normalen und weit<br />
verbreiteten Microsoft<br />
Outlook Programm.
3.2 Spionageabwehr<br />
und Abhörschutz<br />
PRODUKTE SPIONAGEABWEHR<br />
Das <strong>BSI</strong> befasst sich auch mit dem Schutz des gesprochenen Wortes. Betroffen ist dabei vor<br />
allem <strong>der</strong> Bereich des staatlichen Geheimschutzes.<br />
Das klassische Instrument zum Ausspionieren von Gesprächs<strong>in</strong>halten ist die<br />
„Wanze“. Derartige Abhörgeräte s<strong>in</strong>d <strong>in</strong> so genannten Spy-Shops o<strong>der</strong> im Internet erhältlich.<br />
Ihr Besitz – und erst recht <strong>der</strong> E<strong>in</strong>satz – s<strong>in</strong>d selbstverständlich illegal. Ausreichende<br />
krim<strong>in</strong>elle Energie vorausgesetzt, lassen sie sich aber durchaus beschaffen<br />
und auch benutzen.<br />
Während mit „klassischen“ Lauschgeräten Raum- o<strong>der</strong> Telefongespräche abgehört<br />
werden können, s<strong>in</strong>d mittlerweile M<strong>in</strong>iatur-Funkkameras zur Übertragung von<br />
Bild<strong>in</strong>formationen erhältlich. Je nach E<strong>in</strong>satzdauer und E<strong>in</strong>baumöglichkeiten beziehen<br />
sie ihre Stromversorgung aus Batterien o<strong>der</strong> über Netz- beziehungsweise Telefonleitungen;<br />
diese werden auch zur Informationsübertragung genutzt – das ist unauffälliger<br />
als e<strong>in</strong>e Funkverb<strong>in</strong>dung und weniger riskant. Herkömmliche „Wanzen“ s<strong>in</strong>d gewöhnlich<br />
an schwer zugänglichen Stellen versteckt o<strong>der</strong> <strong>in</strong> Gebrauchsgegenstände e<strong>in</strong>gebaut.<br />
Fremde Nachrichtendienste dagegen werden sich nicht auf <strong>der</strong>artige, <strong>für</strong> je<strong>der</strong>mann<br />
verfügbare M<strong>in</strong>ispione beschränken. Sie führen ihre Angriffe mit hochprofessionellen<br />
Methoden aus, von langer Hand vorbereitet und aufwendig getarnt. So muss<br />
zum Beispiel damit gerechnet werden, dass Abhörgeräte gut versteckt <strong>in</strong> das vorhandene<br />
Leitungs- o<strong>der</strong> Datennetz <strong>in</strong>tegriert o<strong>der</strong> sogar schon während <strong>der</strong> Rohbauphase<br />
<strong>in</strong> die Bausubstanz geschmuggelt werden.<br />
Sechste Etage Bundeskanzleramt: Blick <strong>in</strong> den<br />
Großen Kab<strong>in</strong>ettssaal. Dass dieser Raum<br />
abhörsicher se<strong>in</strong> muss versteht sich von selbst.
Die drei Säulen <strong>der</strong> Lauschabwehr<br />
1. Baulich-technische Schutzmaßnahmen<br />
Das <strong>BSI</strong> begleitet Bauvorhaben, <strong>für</strong> die e<strong>in</strong> Abhörschutz erfor<strong>der</strong>lich ist, schon <strong>in</strong> <strong>der</strong><br />
Planungsphase. Lauschabwehrmaßnahmen s<strong>in</strong>d mit hohem f<strong>in</strong>anziellen und personellen<br />
Aufwand verbunden. Daher wird <strong>in</strong> Beratungsgesprächen mit dem späteren Nutzer<br />
des Gebäudes zunächst analysiert, <strong>in</strong> welchen Büro- und Besprechungsräumen sensitive,<br />
schützenswerte Gespräche stattf<strong>in</strong>den sollen. Nur <strong>für</strong> diese Räume werden dann<br />
Abhörschutzmaßnahmen vorgesehen. Ziel ist es, Abhörversuche zu verh<strong>in</strong><strong>der</strong>n o<strong>der</strong><br />
zum<strong>in</strong>dest zu erschweren und spätere Lauschabwehrprüfungen wirksam, aber mit vertretbarem<br />
Aufwand durchführen zu können. Beispiele:<br />
•Ausreichende Schalldämmung von Wänden, Fenstern und Türen, um „direktes“ Abhören,<br />
zum Beispiel mit Richtmikrofonen, zu verh<strong>in</strong><strong>der</strong>n;<br />
•Verschließen von Hohlräumen und Wanddurchbrüchen, die sich als Versteckmöglichkeit<br />
<strong>für</strong> Lauschgeräte eignen;<br />
•Übersichtliche, effizient prüfbare Elektro- und IT-Installation.<br />
Als Zusatzmaßnahme können beson<strong>der</strong>s gefährdete Besprechungsräume mit e<strong>in</strong>er<br />
elektromagnetischen Abschirmung versehen werden, die e<strong>in</strong>e Signalübertragung eventuell<br />
vorhandener Lauschgeräte nach außen verh<strong>in</strong><strong>der</strong>t. Die Realisierung <strong>der</strong> Abhörschutzmaßnahmen<br />
wird durch Spezialisten des <strong>BSI</strong> während <strong>der</strong> gesamten Bauphase<br />
beratend begleitet.<br />
2. Materielle und personelle Sicherungsmaßnahmen<br />
Die Überprüfung abhörgeschützter Räume auf „Wanzenfreiheit“ kann, egal wie oft sie<br />
durchgeführt wird, immer nur e<strong>in</strong>e Momentaufnahme darstellen. Daher muss ständig<br />
sicher gestellt werden, dass ke<strong>in</strong> potenzieller Angreifer <strong>in</strong> abhörgeschützte Räume gelangen<br />
kann, um dort Lauschmittel zu deponieren. Das wird durch den ständigen Verschluss<br />
<strong>der</strong> Räume außerhalb <strong>der</strong> Nutzungszeiten sicher gestellt. E<strong>in</strong> unbefugtes E<strong>in</strong>dr<strong>in</strong>gen<br />
muss <strong>in</strong> jedem Fall erkannt werden, beispielsweise durch e<strong>in</strong>e Alarmanlage.<br />
Angehörige von „Fremdpersonal“, wie zum Beispiel Handwerker, dürfen sich nie ohne<br />
Aufsicht <strong>in</strong> den Räumen aufhalten.<br />
In <strong>der</strong> TicTac-Dose ist e<strong>in</strong>e „Wanze“ versteckt.<br />
Solche Geräte können unauffällig<br />
im Raum platziert, und die Informationen<br />
dann mit e<strong>in</strong>em Handscanner empfangen<br />
werden.
3. Regelmäßige Lauschabwehrprüfungen<br />
Die Lauschabwehrprüfungen dienen zur Kontrolle <strong>der</strong> baulich-technischen Schutzmaßnahmen<br />
(zum Beispiel auf ausreichende Schalldämmung) sowie zur Erkennung und<br />
Beseitigung eventuell vorhandener Abhörgeräte. Die Prüfungen werden erstmals nach<br />
Fertigstellung abhörgeschützter Räume und <strong>in</strong> <strong>der</strong> Folgezeit regelmäßig durchgeführt.<br />
Auch bei beson<strong>der</strong>en Anlässen ist e<strong>in</strong>e Lauschabwehrprüfung fällig. Das <strong>BSI</strong> verfügt<br />
über drei erfahrene Prüfgruppen. Sie setzen hochwertige Spezialausrüstung e<strong>in</strong>. Der<br />
technische Fortschritt ermöglicht auf <strong>der</strong> e<strong>in</strong>en Seite den Bau immer kle<strong>in</strong>erer und<br />
leistungsfähigerer Abhöranlagen, auf <strong>der</strong> an<strong>der</strong>en Seite bieten sich aber auch neue<br />
Möglichkeiten, versteckte Abhöranlagen besser zu erkennen. Unter Nutzung neuer<br />
Technologien entwickelt das <strong>BSI</strong> hochmo<strong>der</strong>ne Geräte und Methoden zum Aufspüren<br />
professioneller Abhörgeräte.<br />
Missbrauch von Telekommunikationsanlagen<br />
Abhörangriffe erfor<strong>der</strong>n nicht unbed<strong>in</strong>gt den direkten Zugang des Angreifers<br />
zum zu überwachenden Raum. In jedem mo<strong>der</strong>nen Büro- und Konferenzraum bef<strong>in</strong>det<br />
sich Kommunikationstechnik mit Mikrofonen, die etwa durch Manipulation von außen<br />
zum Abhören des Raumgesprächs missbraucht werden können. So bietet zum Beispiel<br />
jede Telekommunikationsanlage die Möglichkeit, über das e<strong>in</strong>gebaute Freisprechmikrofon<br />
den Raumschall mitzuhören o<strong>der</strong> sich auf e<strong>in</strong> bestehendes Gespräch unbemerkt<br />
aufzuschalten. Unbefugte, die zum Beispiel über e<strong>in</strong>e Fernwartungsschnittstelle <strong>in</strong> e<strong>in</strong>e<br />
TK-Anlage e<strong>in</strong>dr<strong>in</strong>gen, können <strong>der</strong>artige Leistungsmerkmale unauffällig aktivieren. Das<br />
<strong>BSI</strong> erarbeitet Schutzkonzepte, um TK-Anlagen abzuschirmen, und entwickelt automatische<br />
Prüftools, um sie regelmäßig kontrollieren zu können.<br />
Bloßstellende Abstrahlung<br />
Jedes elektronische Gerät, das Informationen verarbeitet, strahlt elektromagnetische<br />
Wellen ab. Experten nennen sie „bloßstellende Abstrahlung“. Fängt man sie<br />
aus e<strong>in</strong>iger Entfernung mit e<strong>in</strong>er Antenne auf, lässt sich die Information mittels Empfänger<br />
und nachgeschalteter Signalverarbeitung wie<strong>der</strong> rekonstruieren. Um diese Möglichkeit<br />
des Ausspähens von Daten zu unterb<strong>in</strong>den, entwickelt das <strong>BSI</strong> Messverfahren<br />
zum Nachweis <strong>der</strong> bloßstellenden Abstrahlung und setzt Vorgaben <strong>für</strong> entsprechende<br />
Grenzwerte. Geräte, die im Bereich des staatlichen Geheimschutzes e<strong>in</strong>gesetzt werden,<br />
müssen diese Grenzwerte e<strong>in</strong>halten und erhalten dann e<strong>in</strong>e Zulassung vom <strong>BSI</strong>.<br />
Selbst Panzer werden im Referat<br />
„Abstrahlsicherheit“ des <strong>BSI</strong> untersucht.<br />
Da<strong>für</strong> steht e<strong>in</strong>e eigene zehn mal dreizehn<br />
Meter große Garage zur Verfügung.
3.3 Sichere Kommunikation<br />
im E-Government<br />
PRODUKTE E-GOVERNMENT<br />
Mit den Lösungen, die das <strong>BSI</strong> entwickelt hat, ist es ohne Probleme möglich, sicher elektronisch<br />
zu kommunizieren. Das ist e<strong>in</strong>e wichtige Voraussetzung <strong>für</strong> die Weiterentwicklung von<br />
E-Government bei den Behörden des Bundes, <strong>der</strong> Län<strong>der</strong> und <strong>der</strong> Kommunen.<br />
E-Government steht nach wie vor ganz oben auf <strong>der</strong> Agenda von Politik und<br />
Verwaltung. Als Inbegriff <strong>der</strong> Verwaltungsmo<strong>der</strong>nisierung verspricht man sich davon<br />
e<strong>in</strong>e stärkere Kundenorientierung und E<strong>in</strong>sparungen bei <strong>der</strong> Verwaltung. Erreicht<br />
werden soll dies durch den konsequenten E<strong>in</strong>satz von Informationstechnik bei allen<br />
Dienstleistungen vom Kunden bis zum Sachbearbeiter. Gleichzeitig sollen Behördenvorgänge<br />
überprüft, neu gestaltet und durch „schlankere“ Prozesse ersetzt werden.<br />
Das <strong>BSI</strong> unterstützt die Initiativen Bund-Onl<strong>in</strong>e 2005 (www.bund.de) und<br />
Deutschland-Onl<strong>in</strong>e (www.deutschland-onl<strong>in</strong>e.de). Die E<strong>in</strong>führung von E-Government<br />
geht e<strong>in</strong>her mit<br />
•<strong>der</strong> Öffnung von zuvor geschlossenen Behörden-Computer-Netzen zum Internet,<br />
•dem E<strong>in</strong>satz von zusätzlicher Informationstechnik zur Kommunikation über offene<br />
Netze und<br />
•dem Übergang von papiergebundenen Dokumenten zu elektronisch geführten Akten.<br />
Und <strong>in</strong> allen Punkten ist das <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> Informationstechnik<br />
gefor<strong>der</strong>t. Das <strong>BSI</strong> hat die Aufgabe, auf kritische Aspekte h<strong>in</strong>zuweisen, da<strong>für</strong><br />
zu sorgen, dass die neuen Dienstleistungen sicher s<strong>in</strong>d und dass sie von den Bürgern<br />
ohne die Be<strong>für</strong>chtung benutzt werden können, sie würden ihre <strong>in</strong>formationelle<br />
Selbstbestimmung gefährden. Wichtig ist, rechtzeitig auf IT-<strong>Sicherheit</strong> zu achten, denn<br />
Nachrüsten ist teuer und br<strong>in</strong>gt ke<strong>in</strong>e zufriedenstellenden Lösungen.<br />
Basis aller E-Government-Dienstleistungen ist das Abrufen im Internet bereitgestellter<br />
Informationen. Beim E-Government kommuniziert e<strong>in</strong>e Behörde mit ihren<br />
Kunden auf elektronischem Weg. Akzeptanz und Erfolg solcher elektronischen Dienstleistungen<br />
hängen ganz wesentlich von ihrer Nutzbarkeit (usability) ab. Das <strong>BSI</strong> hält<br />
dazu detaillierte Informationen bereit, die im Modul „Sichere Kommunikation im<br />
E-Government“ <strong>in</strong> <strong>der</strong> kostenlosen Onl<strong>in</strong>e-Version des E-Government-Handbuchs nachzulesen<br />
s<strong>in</strong>d.
E<strong>in</strong>e beson<strong>der</strong>e Gefährdung <strong>der</strong> elektronischen Kommunikation, sei es beim<br />
Versenden von E-Mails o<strong>der</strong> beim Ausfüllen von Web-Formularen, entsteht durch die<br />
leicht zu fälschenden Absen<strong>der</strong>adressen. Außerdem können übermittelte Informationen<br />
mitgelesen o<strong>der</strong> sogar manipuliert werden. Aus <strong>der</strong> Papierpost bekannte Schutzmechanismen<br />
wie zum Beispiel verschlossene Briefumschläge, manuelle („händische“)<br />
Unterschriften, geschwärzte Rückseiten bei vertraulichen Inhalten greifen hier nicht,<br />
dazu müssen kryptographische Schutzmechanismen e<strong>in</strong>gesetzt werden.<br />
Die Lösung bietet die virtuelle Poststelle, die vom <strong>BSI</strong> entwickelt wurde. Sie<br />
bietet <strong>für</strong> die elektronische Kommunikation e<strong>in</strong>en sicheren und gleichzeitig komfortablen<br />
Weg. Denn <strong>Sicherheit</strong> wird nur dann akzeptiert, wenn die zu Grunde liegenden<br />
Mechanismen möglichst unauffällig im H<strong>in</strong>tergrund wirken. E-Mails und Web-Inhalte<br />
können durch die virtuelle Poststelle zentral <strong>in</strong> <strong>der</strong> Behörde ver- und entschlüsselt<br />
werden. Bürger wie Behörden können Signaturen anbr<strong>in</strong>gen, sie auf ihre Echtheit prüfen<br />
und an<strong>der</strong>es mehr. E<strong>in</strong> Mitlesen durch Dritte, das Vortäuschen e<strong>in</strong>es falschen Absen<strong>der</strong>s<br />
o<strong>der</strong> e<strong>in</strong> unbemerktes Verän<strong>der</strong>n <strong>der</strong> übermittelten Inhalte ist ausgeschlossen.<br />
Speziell <strong>für</strong> Privatanwen<strong>der</strong> o<strong>der</strong> beson<strong>der</strong>e Berufsgruppen hat das <strong>BSI</strong> daran<br />
anknüpfend noch e<strong>in</strong>e weitere Vere<strong>in</strong>fachung entwickelt: das so genannte Elektronische<br />
Gerichts- und Verwaltungspostfach. Dieses spezielle Kommunikationsprogramm<br />
basiert auf e<strong>in</strong>er Signaturkarte und kann auf dem PC jedes Kunden, <strong>der</strong> mit <strong>der</strong> Behörde<br />
kommunizieren möchte, problemlos <strong>in</strong>stalliert und ohne spezielle technische<br />
Kenntnis <strong>für</strong> die verschlüsselte und signierte Kommunikation e<strong>in</strong>gesetzt werden. Qualifizierte<br />
elektronische Signaturen machen es auf diese Weise möglich, rechtsverb<strong>in</strong>dlich<br />
mit Behörden zu kommunizieren – vorausgesetzt <strong>der</strong> Nutzer verfügt über e<strong>in</strong>e Signaturkarte.<br />
Dies sollte aber zum<strong>in</strong>dest <strong>für</strong> Selbstständige und Unternehmen angesichts<br />
<strong>der</strong> mit E-Government verbundenen E<strong>in</strong>sparmöglichkeiten ke<strong>in</strong>e große Hürde se<strong>in</strong>.<br />
Für die Kommunikation zwischen Behörden bietet das <strong>BSI</strong> weitere Lösungen<br />
an. Die SPHINX-kompatiblen E-Mail-Clients etwa garantieren absolute Ende-zu-Ende-<br />
<strong>Sicherheit</strong>. Für das Behördennetz IVBB (Informationsverbund Berl<strong>in</strong>-Bonn) ist das <strong>BSI</strong><br />
verantwortlich. Das <strong>BSI</strong> stellt darüber h<strong>in</strong>aus spezielle Programme <strong>für</strong> die Verschlüsselung<br />
entsprechend geheim e<strong>in</strong>gestufter Informationen bereit.<br />
K<strong>in</strong><strong>der</strong>leicht und sicher sollen Bürger<br />
künftig mit ihrer Verwaltung Kontakt<br />
aufnehmen können.
Bund, Län<strong>der</strong> und Kommunen stehen h<strong>in</strong>ter <strong>der</strong> Website<br />
„Deutschland-Onl<strong>in</strong>e“ (l<strong>in</strong>ks). Nach dem Pr<strong>in</strong>zip „E<strong>in</strong>ige <strong>für</strong> alle“<br />
werden auf allen Ebenen Modellvorhaben im E-Government verwirklicht.<br />
„BundOnl<strong>in</strong>e“ ist Teil des Dienstleistungsportals des<br />
Bundes (www.bund.de). Alle onl<strong>in</strong>efähigen Dienstleistungen des<br />
Bundes sollen elektronisch verfügbar gemacht werden.<br />
Die beiden markanten Türme<br />
gehören zum Dienstgebäude des<br />
Bundesm<strong>in</strong>isteriums des Innern.<br />
IVBB – Entwicklungen und neue Dienste im Jahr <strong>2004</strong><br />
Der Informationsverbund Berl<strong>in</strong>-Bonn (IVBB), <strong>der</strong> mit se<strong>in</strong>en zentralen Diensten Telefon,<br />
E-Mail und Internetnutzung bereits seit 1998 erfolgreich <strong>in</strong> Betrieb ist, wächst stetig<br />
weiter und muss laufend den Anfor<strong>der</strong>ungen <strong>der</strong> angeschlossenen Nutzer und den<br />
sich än<strong>der</strong>nden Rahmenbed<strong>in</strong>gungen angepasst werden.<br />
Im Jahre <strong>2004</strong> wurden beson<strong>der</strong>s die E-Mail-Systeme erheblich erweitert, um das stark<br />
gestiegene Kommunikationsaufkommen problemlos bewältigen zu können. Ferner<br />
wurde e<strong>in</strong>e leistungsfähige Spam-Filterung <strong>in</strong>stalliert. Da <strong>der</strong> Anteil <strong>der</strong> E-Mails, <strong>der</strong><br />
durch Spam-Versen<strong>der</strong>, Viren und Würmer verursacht wird, gegenüber regulären<br />
E-Mails stetig wächst, ist e<strong>in</strong> solcher Filter, <strong>der</strong> e<strong>in</strong>gehende E-Mails analysiert und entsprechend<br />
kennzeichnet, unverzichtbar.
Außerdem ist es seit diesem Jahr möglich, zwischen den angeschlossenen Häusern<br />
nicht nur Daten auf geschütztem Wege auszutauschen, son<strong>der</strong>n auch verschlüsselt zu<br />
telefonieren. Zum E<strong>in</strong>satz kommt dabei das im Auftrag des <strong>BSI</strong> entwickelte Produkt<br />
„Elcrodat 6-2M“. Neu ist das Bibliothekenportal, welches die Ressourcen <strong>der</strong> e<strong>in</strong>zelnen<br />
Bibliotheken im IVBB bündelt, und e<strong>in</strong> zentrales Alarmsystem, das <strong>in</strong> Zusammenarbeit<br />
mit CERT-Bund im IVBB implementiert wurde.<br />
Der Informationsverbund stellt außerdem ständig e<strong>in</strong>e Reihe von Servicediensten zur<br />
Verfügung, darunter zentrale Voice-, Mail- und Faxdienste, den Betrieb e<strong>in</strong>er Infoserverzone<br />
<strong>für</strong> Informationsangebote <strong>der</strong> angeschlossenen Häuser und den Zugang von<br />
und zu mobilen Arbeitsplätzen.<br />
Die Leistungen des <strong>BSI</strong> garantieren, dass <strong>der</strong> IVBB den Anfor<strong>der</strong>ungen an e<strong>in</strong> sicheres<br />
und hochverfügbares Netz <strong>für</strong> die Kommunikation <strong>der</strong> Bundesregierung auch <strong>in</strong> Zukunft<br />
gerecht wird.<br />
Videokonferenzen zwischen Bonn und Berl<strong>in</strong><br />
gehören im IVBB zum Alltag. Blick auf e<strong>in</strong>e<br />
solche Anlage bei <strong>der</strong> Eröffnung <strong>der</strong> CeBIT.
3.4 Materielle<br />
Sicherungstechnik<br />
PRODUKTE SICHERUNGSTECHNIK<br />
Bei <strong>der</strong> materiellen Sicherungstechnik geht es um Maßnahmen technischer, baulicher und<br />
organisatorischer Art, die dem Schutz von Informationen dienen, die im öffentlichen Interesse<br />
geheim zu halten und vor dem Zugriff Unbefugter zu bewahren s<strong>in</strong>d.<br />
Informationen, die geheim zu halten s<strong>in</strong>d (Verschlusssachen – VS), fallen bei<br />
vielen öffentlichen Verwaltungen an. Deshalb ist bei den VS-verwaltenden Dienststellen<br />
des Bundes und <strong>der</strong> Län<strong>der</strong> e<strong>in</strong> e<strong>in</strong>heitliches <strong>Sicherheit</strong>sniveau zu wahren. Das <strong>BSI</strong> unterstützt<br />
sie sowohl durch Beratung als auch durch technische Dienstleistungen.<br />
Technische <strong>Sicherheit</strong>smaßnahmen umfassen mechanische und elektrische<br />
o<strong>der</strong> elektronische Sicherungs- und Überwachungse<strong>in</strong>richtungen. Dazu zählen zum<br />
Beispiel e<strong>in</strong>bruchhemmende Türen und Fenster mit ihren Schließe<strong>in</strong>richtungen ebenso<br />
wie E<strong>in</strong>bruchmeldeanlagen, Stahlschränke und Aktensicherungsräume. Auch Geräte<br />
zum zuverlässigen Vernichten von Akten beziehungsweise Löschen von Datenträgern<br />
gehören dazu.<br />
Für den Anwen<strong>der</strong> ist es kaum möglich, die <strong>Sicherheit</strong>seigenschaften dieser<br />
Produkte alle selbst zu bewerten. Um zu garantieren, dass sie auch die ihnen zugedachte<br />
Schutzfunktion erfüllen, erarbeitet das <strong>BSI</strong> technische Richtl<strong>in</strong>ien und Prüfbed<strong>in</strong>gungen.<br />
Damit stehen objektive Kriterien bereit, auf <strong>der</strong>en Grundlage Sicherungsanlagen<br />
geprüft und auf den neuesten Stand gebracht werden können. Die Prüfkriterien<br />
stützen sich bei e<strong>in</strong>er Reihe von Sicherungse<strong>in</strong>richtungen<br />
auf nationale o<strong>der</strong> europäische Normen und Standards, an<br />
<strong>der</strong>en Erstellung das <strong>BSI</strong> mitgearbeitet hat. Für solche Produkte,<br />
<strong>für</strong> die ke<strong>in</strong>e geeigneten öffentlichen Regelwerke existieren,<br />
erarbeitet das <strong>BSI</strong> eigene Kriterien.<br />
Materialprüfung an<br />
e<strong>in</strong>er Stahltür mit dem<br />
Schweißgerät. Technische<br />
Richtl<strong>in</strong>ien def<strong>in</strong>ieren die<br />
<strong>Sicherheit</strong>seigenschaften,<br />
die e<strong>in</strong>e Schließanlage<br />
aufweisen muss.
Die Anfor<strong>der</strong>ungen müssen so allgeme<strong>in</strong> formuliert se<strong>in</strong>, dass sie <strong>für</strong> Anlagen<br />
<strong>der</strong> unterschiedlichsten Bauart anwendbar s<strong>in</strong>d. Und sie müssen die speziellen Angriffsverfahren<br />
e<strong>in</strong>es nachrichtendienstlichen Gegners berücksichtigen. Erfahrung, Geschicklichkeit<br />
und Fantasie s<strong>in</strong>d deswegen bei e<strong>in</strong>er solchen <strong>Sicherheit</strong>sprüfung unerlässlich.<br />
Gelegentlich ist es schon vorgekommen, dass zur allgeme<strong>in</strong>en Überraschung<br />
e<strong>in</strong> neuartiges High-Tech-Produkt mit e<strong>in</strong>fachsten Mitteln, an die <strong>der</strong> Entwickler selbst<br />
nicht gedacht hat, „geknackt“ werden konnte.<br />
Technische Anfor<strong>der</strong>ungen des <strong>BSI</strong> liegen <strong>der</strong>zeit vor <strong>für</strong>:<br />
•VS-Verwahrgelasse zur Aufbewahrung von Verschlusssachen,<br />
•Schlösser und Schließsysteme,<br />
•E<strong>in</strong>bruchmeldeanlagen und <strong>der</strong>en Komponenten,<br />
•Zutrittskontrollanlagen,<br />
•sonstige Sicherungse<strong>in</strong>richtungen wie zum Beispiel Zäune.<br />
Für Firmen und Anwen<strong>der</strong> s<strong>in</strong>d Produkte auf <strong>der</strong> Basis von allgeme<strong>in</strong> verb<strong>in</strong>dlichen<br />
Normen und Standards vorteilhaft, weil sie <strong>in</strong> <strong>der</strong> Regel <strong>für</strong> e<strong>in</strong>en breiten<br />
Benutzerkreis bestimmt und deshalb häufig kostengünstiger herzustellen s<strong>in</strong>d. Geprüfte<br />
und <strong>für</strong> den Geheimschutz geeignete Produkte s<strong>in</strong>d <strong>in</strong> e<strong>in</strong>er <strong>BSI</strong>-Druckschrift (<strong>BSI</strong><br />
7500) veröffentlicht. Dem Anwen<strong>der</strong> von Sicherungse<strong>in</strong>richtungen wird damit e<strong>in</strong> Mittel<br />
an die Hand gegeben, das ihm hilft, zuverlässig die Anlagen auszuwählen, die <strong>für</strong><br />
se<strong>in</strong>en Bedarf geeignet s<strong>in</strong>d.<br />
Bei komplexen Sicherungssystemen wie etwa e<strong>in</strong>er E<strong>in</strong>bruchmelde- o<strong>der</strong> e<strong>in</strong>er<br />
Zutrittskontrollanlage bietet die Prüfung von E<strong>in</strong>zelkomponenten alle<strong>in</strong> ke<strong>in</strong>e ausreichende<br />
<strong>Sicherheit</strong>. Hier wirkt das <strong>BSI</strong> schon <strong>in</strong> <strong>der</strong> Planungs- und Projektierungsphase<br />
mit. Bei <strong>der</strong> Abnahmeprüfung wird beson<strong>der</strong>s darauf geachtet, dass die geeigneten<br />
Produkte verwendet wurden und die Sicherungse<strong>in</strong>richtungen im jeweiligen<br />
Gesamtsystem <strong>in</strong> <strong>der</strong> beabsichtigten Weise zusammenwirken.<br />
Bruchsichere Glasfassade<br />
(l<strong>in</strong>ks) und<br />
e<strong>in</strong> geschützter<br />
E<strong>in</strong>gangsbereich.
4 Prävention:<br />
Gerüstet <strong>für</strong> den Notfall<br />
PRÄVENTION<br />
Nur die mo<strong>der</strong>nsten Methoden s<strong>in</strong>d geeignet, Schäden <strong>in</strong> IT-Systemen vorzubeugen. Staat,<br />
Wirtschaft und Gesellschaft können sich auf die Dienstleistungen des <strong>BSI</strong> auch verlassen,<br />
wenn es um Prävention geht.<br />
„Würmer“ bekämpft CERT-Bund erfolgreich durch gezielte Warnungen und<br />
Informationen, ob sie nun Sober, Mydoom o<strong>der</strong> Sasser heißen. Warnh<strong>in</strong>weise gehören<br />
zur Rout<strong>in</strong>e, und jedes Mal s<strong>in</strong>d damit auch Tipps verbunden, welche Schutzprogramme<br />
sich die Nutzer herunterladen, und wie sie den Virus ausschalten können.<br />
Der Schutz Kritischer Infrastrukturen gehört zu den wichtigsten Anliegen des<br />
<strong>BSI</strong>, ob es sich um Behörden, Energienetze o<strong>der</strong> F<strong>in</strong>anzdienstleistungen handelt. Der<br />
Staat alle<strong>in</strong> kann die nationalen Infrastrukturen nicht schützen, denn <strong>der</strong> größte Teil<br />
dieser E<strong>in</strong>richtungen liegt <strong>in</strong> <strong>der</strong> Hand <strong>der</strong> Wirtschaft. E<strong>in</strong>e enge Kooperation zwischen<br />
Staat und privatem Sektor ist daher unbed<strong>in</strong>gt notwendig. E<strong>in</strong>es <strong>der</strong> wichtigsten<br />
Anliegen des <strong>BSI</strong> ist die Schärfung des Bewusstse<strong>in</strong>s <strong>für</strong> die Notwendigkeit des Schutzes<br />
Kritischer Infrastrukturen und die aktive Risikovorsorge.<br />
Wenn es se<strong>in</strong> muss, werden <strong>BSI</strong>-Experten sogar zu „Hackern“. Auf Anfrage<br />
unternehmen sie den kontrollierten Versuch, von außen <strong>in</strong> e<strong>in</strong> Computernetzwerk e<strong>in</strong>zudr<strong>in</strong>gen,<br />
um se<strong>in</strong>e Schwachstellen aufzudecken. Das Penetrationszentrum des <strong>BSI</strong><br />
bietet solche Tests an.
4.1 CERT-Bund – Teams <strong>für</strong> den Notfall<br />
PRÄVENTION CERT<br />
Computer-Notfallteams, sogenannte CERTs (Computer Emergency Response Teams), warnen<br />
und alarmieren bei Bedrohungslagen. Sie s<strong>in</strong>d auf Informationsaustausch und e<strong>in</strong>e gute<br />
<strong>in</strong>ternationale Zusammenarbeit angewiesen.<br />
Informationen s<strong>in</strong>d <strong>der</strong> Schlüssel <strong>für</strong> die Qualität je<strong>der</strong> CERT-Dienstleistung.<br />
Nur <strong>in</strong> seltenen Fällen liegen alle Informationen aber orig<strong>in</strong>är bei e<strong>in</strong>em e<strong>in</strong>zelnen<br />
CERT vor. „Netzwerke“ haben deswegen e<strong>in</strong>e überragende Bedeutung. Die beste Vernetzung<br />
nützt allerd<strong>in</strong>gs nichts, wenn aus dem Wissen ke<strong>in</strong>e Aktionen abgeleitet werden,<br />
wenn also Entschei<strong>der</strong>, Techniker und IT-Verantwortliche, die gewarnt und mit<br />
vorsorglichen <strong>Sicherheit</strong>smaßnahmen bedient wurden, zögern o<strong>der</strong> gar nicht reagieren.<br />
International kommunizieren – lokal handeln<br />
Das Notfall-Team des Bundes ist <strong>in</strong> verschiedene <strong>in</strong>ternationale und nationale<br />
Netzwerke aktiv e<strong>in</strong>gebunden, sei es <strong>in</strong> den <strong>in</strong>ternationalen Dachverband FIRST (Forum<br />
of Incident Response and Security Teams – www.first.org), <strong>in</strong> die europäische CERT-<br />
Geme<strong>in</strong>schaft (TF-CSIRT) o<strong>der</strong> <strong>in</strong> die Geme<strong>in</strong>schaft <strong>der</strong> europäischen Behörden-Notfallteams<br />
(European Government CERTs Group, EGC). Beim Aufbau des nationalen Verbundes<br />
war CERT-Bund zusammen mit dem DFN-CERT (DFN = Deutsches Forschungs-<br />
Netz) fe<strong>der</strong>führend. Damit verfügt das Notfallteam CERT-Bund über hervorragende Informationsbeziehungen<br />
im globalen „Web of trust“. Die beiden Strategien lauten:<br />
•Prävention – tätig werden, bevor etwas passiert.<br />
•Reaktion – tätig werden, wenn etwas passiert ist.<br />
Ke<strong>in</strong> Angriff, <strong>der</strong> nicht e<strong>in</strong>e <strong>Sicherheit</strong>slücke auszunutzen versucht; ke<strong>in</strong> Vorfall,<br />
ohne dass e<strong>in</strong>e <strong>Sicherheit</strong>slücke tatsächlich existiert hat. Warnungen und Informationen<br />
s<strong>in</strong>d unverzichtbare präventive Dienstleistungen. Sie betreffen nicht nur technische<br />
Aspekte, son<strong>der</strong>n auch die von den CERTs durch ihren Informationsaustausch gewonnenen<br />
Bewertungen: Wie gefährlich ist die neue <strong>Sicherheit</strong>slücke wirklich? Welches<br />
Risiko kommt da auf uns zu? Gesicherte Informationen dazu s<strong>in</strong>d <strong>für</strong> die betreute<br />
Zielgruppe von entscheiden<strong>der</strong> Bedeutung. In <strong>der</strong> heutigen Situation zw<strong>in</strong>gt die Gefahr<br />
von gefährlichen Angriffen zu unmittelbarem Reagieren. Neu bekannt gewordene<br />
<strong>Sicherheit</strong>slücken können weltweit neuen Viren, Würmern o<strong>der</strong> trojanischen Pferden<br />
Zugang zu Systemen und Netzen verschaffen. Die Zusammenhänge zwischen <strong>Sicherheit</strong>slücken<br />
und Schadprogrammen können nur durch <strong>in</strong>ternationale Zusammenarbeit<br />
aufgedeckt werden.
Zielgruppengenaue Warnungen<br />
Aber es reicht nicht aus, Informationen nur aufzubereiten o<strong>der</strong> zu bewerten.<br />
Sie müssen vom jeweiligen CERT <strong>für</strong> „se<strong>in</strong>e“ Zielgruppe verifiziert, analysiert und bewertet<br />
werden. Dabei kann das Team Probleme mit den Informationen, zum Beispiel<br />
Unvollständigkeit o<strong>der</strong> Interpretationsmöglichkeiten, erkennen und beseitigen. Außerdem<br />
kann durch e<strong>in</strong>e Konkretisierung <strong>der</strong> Bedrohungslage – wer ist wirklich betroffen?<br />
– vermieden werden, dass bei den Empfängern e<strong>in</strong> unnötiger Aufwand getrieben wird.<br />
Die genaue E<strong>in</strong>grenzung des Risikos ist häufig das Ergebnis weiterer Analysen<br />
und praktischer Tests. Hier kommen die nationalen und <strong>in</strong>ternationalen Netzwerke<br />
wie<strong>der</strong> <strong>in</strong>s Spiel, denn nur wenige CERTs verfügen über die notwendigen fachlichen<br />
und personellen Ressourcen, um jedes technische Detail ad hoc selbst zu überprüfen.<br />
Und je<strong>der</strong> Vorfall, <strong>der</strong> verh<strong>in</strong><strong>der</strong>t werden kann, ist e<strong>in</strong> Gew<strong>in</strong>n <strong>für</strong> die CERT-Geme<strong>in</strong>schaft,<br />
denn immer noch s<strong>in</strong>d es die vielen nicht entdeckten kompromittierten Systeme,<br />
von denen e<strong>in</strong>e ständige Bedrohung ausgeht.<br />
Erfahrene Angreifer gehen <strong>in</strong> den seltensten Fällen direkt vor. Sie versuchen<br />
mit vielfältigen Mitteln ihre eigene Identität zu verschleiern und die Spuren zu verwischen.<br />
Die Angriffe folgen <strong>der</strong> Strategie: erst e<strong>in</strong> IT-System als „Opfer“ übernehmen<br />
und dann dieses übernommene IT-System als „Täter“ <strong>in</strong> den Angriff e<strong>in</strong>beziehen. Die<br />
Aufklärung dieser vernetzten Vorfälle ist aufwendig, CERTs s<strong>in</strong>d bei <strong>der</strong> Analyse und<br />
Bewertung als fachliche Instanzen beteiligt.<br />
Wenn Viren die <strong>Sicherheit</strong> im Luftverkehr gefährden:<br />
Die Rechner bei <strong>der</strong> Deutschen Flugsicherung<br />
(DFS), e<strong>in</strong>em Bundesunternehmen,<br />
müssen e<strong>in</strong>wandfrei funktionieren.
Technik, Fachkompetenz und Erfahrung<br />
Angriffe auf IT-Systeme ignorieren sowohl Unternehmens- als auch nationale<br />
Grenzen. Deswegen werden gewonnene Informationen so bald wie möglich dem <strong>in</strong>ternationalen<br />
CERT-Netzwerk zur Verfügung gestellt. Die Erkenntnisse fließen wie<strong>der</strong>um<br />
<strong>in</strong> die eigene Arbeit e<strong>in</strong>. Technische und organisatorische Schnittstellen ermöglichen<br />
den Informationsfluss zwischen den e<strong>in</strong>zelnen CERTs. Gegenwärtig wird daran gearbeitet,<br />
ihn zu beschleunigen und die Arbeit damit noch effektiver zu machen.<br />
CERT-Bund ist <strong>in</strong>sbeson<strong>der</strong>e bei <strong>der</strong> För<strong>der</strong>ung <strong>der</strong> deutschen CERTs aktiv, <strong>in</strong>dem<br />
Projekte und Produkte entwickelt werden, die den an<strong>der</strong>en direkt o<strong>der</strong> <strong>in</strong>direkt<br />
zur Verfügung gestellt werden. CERT-Bund arbeitet jedoch nicht alle<strong>in</strong>e <strong>in</strong> diese Richtung.<br />
An<strong>der</strong>e Mitglie<strong>der</strong> des Verbunds engagieren sich <strong>in</strong> ähnlicher Weise. Sie s<strong>in</strong>d <strong>in</strong><br />
verschiedenen Arbeitsgruppen organisiert, zum Beispiel zum Thema Frühwarnung<br />
o<strong>der</strong> Lagebild.<br />
Nationale und <strong>in</strong>ternationale Zusammenarbeit ist ohne die effiziente Komb<strong>in</strong>ation<br />
aus Technik, Fachkompetenz und Erfahrung, getragen durch e<strong>in</strong> geme<strong>in</strong>sames<br />
Verständnis, das Vertrauen ermöglicht, aber auch Kontrolle zulässt, nicht denkbar.<br />
Geme<strong>in</strong>sam lässt sich besser und umfassen<strong>der</strong> präventiv wirken. Und je früher neue<br />
Gefahren und Angriffsmöglichkeiten erkannt werden, desto schneller lassen sich geeignete<br />
Gegenmaßnahmen ergreifen.<br />
IT-Systeme müssen weltweit und rund um die Uhr<br />
e<strong>in</strong>setzbar se<strong>in</strong>, wie zum Beispiel im Call-Center.
IT-gestützte Bearbeitungssysteme <strong>für</strong> sicherheitskritische Vorfälle<br />
Das VorfallBearbeitungsSystem (VBS) ist e<strong>in</strong> Programm, das<br />
•die strukturierte Ablage von <strong>Sicherheit</strong>svorfällen steuert,<br />
•die Basis <strong>für</strong> e<strong>in</strong>e geme<strong>in</strong>same Dokumentation und Statistik bietet,<br />
•e<strong>in</strong>e Datenbank <strong>für</strong> Schwachstellen und Schadprogramme enthält sowie<br />
•den Austausch von Informationen und Vorfallsdaten unterstützt.<br />
Das CERT-Bund AlarmierungsSystem (CBAS)<br />
•kann <strong>in</strong> kritischen Situationen auch außerhalb <strong>der</strong> Regelarbeitszeit die technische<br />
Adm<strong>in</strong>istration und Entscheidungsebenen alarmieren,<br />
•ist rund um die Uhr e<strong>in</strong>satzbereit,<br />
•verfügt über flexible Alarmierungsketten mit Quittierungsfunktion und<br />
•kann mit e<strong>in</strong>em Knopfdruck ausgelöst werden.<br />
Der Warn- und Informationsdienst (WID) bietet<br />
•Informationen zu Schwachstellen und <strong>Sicherheit</strong>slücken,<br />
•Empfehlungen von <strong>Sicherheit</strong>smaßnahmen,<br />
•e<strong>in</strong> umfangreiches Web-Archiv mit Suchfunktionen,<br />
•webbasierte <strong>in</strong>dividuell angepasste Informationsangebote sowie<br />
•den Versand von Warnungen über E-Mail.<br />
So sehen die Computerschirme aus, wenn CERT-Bund aktiv wird:<br />
L<strong>in</strong>ks: CERT-Bund meldet e<strong>in</strong>e Schwachstelle (begrenzter Nutzerkreis).<br />
Mitte: Das Vorfallbearbeitungssystem (VBS) mit Datenbankanb<strong>in</strong>dung.<br />
Rechts: Die Startseite des WID (Warn- und Informationsdienst).
PRÄVENTION KRITISCHE INFRASTRUKTUREN<br />
4.2 Schutz Kritischer Infrastrukturen<br />
Entscheidungsebenen <strong>in</strong> Staat, Wirtschaft und Gesellschaft, die im Bereich Kritischer<br />
Infrastrukturen (KRITIS) angesiedelt s<strong>in</strong>d, brauchen die Unterstützung des <strong>BSI</strong>.<br />
Nur so können sie ihren Aufgaben im vollen Umfang nachkommen, ohne<br />
be<strong>für</strong>chten zu müssen, dass sie sich durch den E<strong>in</strong>satz von Informationstechnik selbst<br />
gefährden. Kritische Infrastrukturen – so lautet die offizielle Def<strong>in</strong>ition – s<strong>in</strong>d „Organisationen<br />
und E<strong>in</strong>richtungen mit wichtiger Bedeutung <strong>für</strong> das staatliche Geme<strong>in</strong>wesen,<br />
bei <strong>der</strong>en Ausfall o<strong>der</strong> Bee<strong>in</strong>trächtigung nachhaltig wirkende Versorgungsengpässe,<br />
erhebliche Störungen <strong>der</strong> öffentlichen <strong>Sicherheit</strong> o<strong>der</strong> an<strong>der</strong>e dramatische Folgen e<strong>in</strong>treten<br />
können“.<br />
Dazu gehören die Sektoren:<br />
1. Transport und Verkehr<br />
2. Energie<br />
3. Gefahrenstoffe<br />
4. Informationstechnik und Telekommunikation<br />
5. F<strong>in</strong>anz-, Geld- und Versicherungswesen<br />
6. Versorgung<br />
7. Behörden, Verwaltung und Justiz<br />
8. Sonstiges (wie Medien, Großforschungse<strong>in</strong>richtungen, Kulturgüter)<br />
Intensiv untersucht das <strong>BSI</strong> <strong>in</strong> diesen Bereichen Bedrohungen und Schwachstellen.<br />
Zu se<strong>in</strong>en Aufgaben gehört auch die Entwicklung von Konzepten zur M<strong>in</strong>imierung<br />
<strong>der</strong> Folgen möglicher Vorfälle.<br />
Doch <strong>der</strong> Schutz Kritischer Infrastrukturen umfasst weit mehr als die <strong>Sicherheit</strong><br />
<strong>der</strong> Informationstechnik. Es gilt, alle Aspekte des Infrastrukturschutzes <strong>in</strong> <strong>in</strong>tegrativen<br />
<strong>Sicherheit</strong>slösungen zu vere<strong>in</strong>en. So spielen auch <strong>der</strong> physische Schutz o<strong>der</strong><br />
Organisationsfragen e<strong>in</strong>e wichtige Rolle.<br />
Aufgabe <strong>der</strong> ressortübergreifenden Projektgruppe (PG) KRITIS im Bundesm<strong>in</strong>isterium<br />
des Innern (BMI) ist die Erarbeitung solcher Lösungen. In dieser Projektgruppe<br />
s<strong>in</strong>d neben BMI und <strong>BSI</strong> unter an<strong>der</strong>em auch das <strong>Bundesamt</strong> <strong>für</strong> Bevölkerungsschutz<br />
und Katastrophenhilfe (BBK), das Bundeskrim<strong>in</strong>alamt (BKA) und das Technische<br />
Hilfswerk (THW) vertreten.
Enge Kooperation zwischen Staat und privatem Sektor<br />
Der Schutz Kritischer Infrastrukturen ist aber nicht alle<strong>in</strong> Sache des Staates,<br />
zumal die Sektoren, die betroffen s<strong>in</strong>d, zum überwiegenden Teil <strong>in</strong> <strong>der</strong> Hand <strong>der</strong> Wirtschaft<br />
liegen. E<strong>in</strong>e enge Kooperation zwischen Staat und privatem Sektor ist daher unbed<strong>in</strong>gt<br />
notwendig. Das <strong>BSI</strong> hält e<strong>in</strong>e Reihe enger Kontakte zu KRITIS-Betreibern, diese<br />
Kooperationen werden weiter ausgebaut und <strong>in</strong>tensiviert.<br />
Um die Probleme und den Bedarf <strong>der</strong> Wirtschaft möglichst genau zu erfassen,<br />
hat das <strong>BSI</strong> die „Wissensbasis KRITIS“ entwickelt und e<strong>in</strong>e „Vorfalls-Datenbank“<br />
e<strong>in</strong>gerichtet. In dieser Datenbank werden öffentlich zugängliche Berichte über weltweite<br />
Vorfälle <strong>in</strong> Kritischen Infrastrukturen gesammelt und analysiert.<br />
E<strong>in</strong>es <strong>der</strong> großen Anliegen des <strong>BSI</strong> besteht dar<strong>in</strong>, <strong>in</strong> <strong>der</strong> deutschen Öffentlichkeit<br />
e<strong>in</strong> Bewusstse<strong>in</strong> <strong>für</strong> die Notwendigkeit des Schutzes Kritischer Infrastrukturen<br />
zu schaffen und wach zu halten. Und zwar auf allen Ebenen: Staat, Wirtschaft und Gesellschaft.<br />
<strong>BSI</strong>-Mitarbeiter halten Vorträge zu dem Thema bei Branchenverbänden o<strong>der</strong><br />
<strong>in</strong> Bildungse<strong>in</strong>richtungen. Die KRITIS-Webseiten des <strong>BSI</strong> bieten umfangreiche Informationen<br />
zum Schutz kritischer IT-Infrastrukturen <strong>in</strong> Deutschland, aber auch weltweit.<br />
Die weltweite Vernetzung br<strong>in</strong>gt es mit sich, dass <strong>der</strong> Schutz Kritischer Infrastrukturen<br />
nicht an den Landesgrenzen aufhört. Das <strong>BSI</strong> unterhält deshalb enge Kontakte<br />
zu an<strong>der</strong>en Staaten. Die USA, Schweiz, Schweden und F<strong>in</strong>nland etwa s<strong>in</strong>d Län<strong>der</strong>,<br />
mit denen auf Expertenebene kooperiert wird. Ferner organisiert das <strong>BSI</strong> im nationalen<br />
wie im <strong>in</strong>ternationalen Rahmen fachspezifische Konferenzen sowie Workshops und ist<br />
<strong>in</strong> <strong>in</strong>ternationalen Fachgruppen und Gremien wie EU, G8 und NATO vertreten.<br />
Kritische Infrastrukturen: Kernkraftwerke o<strong>der</strong> Banken<br />
s<strong>in</strong>d Beispiele <strong>für</strong> E<strong>in</strong>richtungen mit enormer Bedeutung<br />
<strong>für</strong> das Geme<strong>in</strong>wesen. Bei ihrem Ausfall o<strong>der</strong> ihrer<br />
Bee<strong>in</strong>trächtigung können dramatische Folgen e<strong>in</strong>treten.
4.3 Hacken <strong>für</strong> die <strong>Sicherheit</strong>:<br />
<strong>der</strong> „Penetrationstest“<br />
PRÄVENTION PENETRATIONSTEST<br />
Im technischen Sprachgebrauch versteht man unter e<strong>in</strong>em Penetrationstest den kontrollierten<br />
Versuch, von außen <strong>in</strong> e<strong>in</strong> bestimmtes Computersystem o<strong>der</strong> -netzwerk e<strong>in</strong>zudr<strong>in</strong>gen, um<br />
Schwachstellen zu identifizieren.<br />
Dazu werden die gleichen o<strong>der</strong> ähnliche Techniken e<strong>in</strong>gesetzt, die auch bei<br />
e<strong>in</strong>em realen Angriff verwendet werden. So können die dabei identifizierten Schwachstellen<br />
behoben werden, bevor unautorisierte Dritte <strong>in</strong>s IT-System e<strong>in</strong>dr<strong>in</strong>gen und<br />
Schaden anrichten. Penetrationstests erlauben darüber h<strong>in</strong>aus, <strong>Sicherheit</strong>sschwachstellen<br />
<strong>in</strong> Netzwerken festzustellen und e<strong>in</strong>zugrenzen. Auch das <strong>BSI</strong> bietet diese Tests <strong>für</strong><br />
se<strong>in</strong>e Kunden, etwa aus <strong>der</strong> Bundesverwaltung, an.<br />
Penetrationstests s<strong>in</strong>d Vertrauenssache. Wer auf verschiedene Arten versucht,<br />
über <strong>Sicherheit</strong>slücken an Zugriffsrechte zu gelangen, mit <strong>der</strong>en Hilfe Daten verän<strong>der</strong>t<br />
o<strong>der</strong> entwendet werden könnten, muss <strong>für</strong> se<strong>in</strong>e Kunden – beson<strong>der</strong>s wenn es sich um<br />
Regierungsstellen o<strong>der</strong> Behörden handelt – absolut verlässlich se<strong>in</strong>.<br />
Kommunikationsnetze gehören <strong>in</strong> Behörden und Unternehmen heute zum<br />
Alltag. So werden IT-Komponenten e<strong>in</strong>gesetzt, um Geschäftsbeziehungen aufrecht zu<br />
erhalten o<strong>der</strong> um die Kommunikation mit den Bürgern effizienter und kundenfreundlicher<br />
zu gestalten. Dienstleistungen werden über IT-Anwendungen extern angeboten,<br />
früher geschlossene Systeme nach außen geöffnet. Die <strong>Sicherheit</strong> <strong>der</strong> e<strong>in</strong>gesetzten IT<br />
wird so zunehmend <strong>für</strong> den Erfolg e<strong>in</strong>es Unternehmens o<strong>der</strong> e<strong>in</strong>er Behörde zu e<strong>in</strong>er<br />
kritischen Größe.<br />
Um trotz <strong>der</strong> verschiedenen Problemstellungen von den Vorteilen <strong>der</strong> IT profitieren<br />
zu können, werden Testmethoden benötigt, die sich aus dem Blickw<strong>in</strong>kel e<strong>in</strong>es<br />
potenziellen Angreifers mit <strong>der</strong> <strong>Sicherheit</strong> <strong>der</strong> vorhandenen beziehungsweise geplanten<br />
IT-Anwendungen ause<strong>in</strong>an<strong>der</strong>setzen. Das ist <strong>der</strong> S<strong>in</strong>n e<strong>in</strong>es Penetrationstests. E<strong>in</strong>en<br />
beson<strong>der</strong>en Schwerpunkt nehmen <strong>für</strong> das <strong>BSI</strong> gegenwärtig Tests <strong>der</strong> Webauftritte von<br />
Behörden e<strong>in</strong>, da an sie beson<strong>der</strong>s hohe Maßstäbe gelegt werden.<br />
Die Erfahrungen aus vergangenen <strong>Sicherheit</strong>süberprüfungen zeigen, dass<br />
Webauftritte <strong>in</strong>sgesamt gesehen sehr typische Schwachstellen aufweisen können, wie<br />
zum Beispiel die fehlende Validierung von Benutzere<strong>in</strong>gaben. Der Bürger, <strong>der</strong> auf den<br />
Webserver e<strong>in</strong>er Behörde zugreift, erwartet Rechtssicherheit, Verb<strong>in</strong>dlichkeit und absolute<br />
Vertraulichkeit. Er muss sich sicher se<strong>in</strong> können, dass se<strong>in</strong>e von ihm e<strong>in</strong>gegebenen<br />
persönlichen Daten durch ke<strong>in</strong>e noch so geschickte Manipulation ausspioniert o<strong>der</strong><br />
sogar geän<strong>der</strong>t werden können.
Neben den Bürgern könnten auch die Behörden selbst direkt von <strong>der</strong> fehlenden<br />
Überprüfung <strong>der</strong> E<strong>in</strong>gabewerte betroffen se<strong>in</strong>. Durch die zunehmende Anb<strong>in</strong>dung<br />
von Webservern an <strong>in</strong>terne Datenbanken können entsprechende Fehler <strong>in</strong> den Webapplikationen<br />
direkten Zugriff auf diese <strong>in</strong>ternen Datenbanken ermöglichen. Hat die<br />
Webapplikation Schreibrechte auf die Datenbank, wäre sogar e<strong>in</strong>e Än<strong>der</strong>ung <strong>in</strong>terner<br />
Daten denkbar.<br />
Um im Vorfeld mögliche Schwachstellen identifizieren und abstellen zu können,<br />
hat das <strong>BSI</strong> den „<strong>BSI</strong> Quick Check“ entwickelt. Er bietet e<strong>in</strong>e entsprechend angepasste<br />
Prüftiefe und kann wegen se<strong>in</strong>er leichten Anwendbarkeit schneller e<strong>in</strong>e größere<br />
Breitenwirkung als umfassende Penetrationstests erreichen.<br />
Die Vorgehensweise orientiert sich an <strong>der</strong> <strong>BSI</strong>-Studie „Durchführungskonzept<br />
<strong>für</strong> Penetrationstests“. Ihre Vorgaben s<strong>in</strong>d so flexibel, dass sie auch <strong>für</strong> den Test von<br />
Webapplikationen anwendbar s<strong>in</strong>d. Für den „Quick Check“ e<strong>in</strong>er Webanwendung wird<br />
die Vorgehensweise erheblich verkürzt. E<strong>in</strong>e e<strong>in</strong>zelne Überprüfung sollte nicht länger<br />
als e<strong>in</strong>en Arbeitstag dauern.<br />
Außerdem orientiert sich die Vorgehensweise an den Vorgaben des „Open<br />
Web Application Security Project“ dessen Leitfaden „A Guide to Build<strong>in</strong>g Secure Web<br />
Applications“ beschreibt, was bei <strong>der</strong> Entwicklung sicherer Webanwendungen beachtet<br />
werden sollte.<br />
<strong>Sicherheit</strong>sexperten führen<strong>der</strong> Anbieter<br />
von IT-<strong>Sicherheit</strong>slösungen checken<br />
Netzwerke rund um die Uhr.<br />
Blick <strong>in</strong>s Innere e<strong>in</strong>es Rechenzentrums: Der „<strong>BSI</strong><br />
Quick Check“ liefert Informationen über die<br />
<strong>Sicherheit</strong> von Webservern und -anwendungen.
Wie funktioniert <strong>der</strong> „<strong>BSI</strong> Quick Check“?<br />
In <strong>der</strong> ersten Phase des „<strong>BSI</strong> Quick Check“ werden Informationen über die e<strong>in</strong>gesetzten<br />
Webserver und zu testenden Webanwendungen gesammelt. Insbeson<strong>der</strong>e ist es das Ziel<br />
dieser Phase, automatisiert die vom Webserver nach außen angebotenen Dienste zu<br />
f<strong>in</strong>den und zu dokumentieren. Im Anschluss wird das zu testende System e<strong>in</strong>er ganzen<br />
Reihe teilweise automatisierter Tests unterzogen. Diese Prüfungen beziehen sich e<strong>in</strong>erseits<br />
auf das Betriebssystem und zum an<strong>der</strong>en auf die Anwendungen des Webservers.<br />
Die im „Quick Check“ vorgesehenen Tests s<strong>in</strong>d nicht mit Risiken <strong>für</strong> das System verbunden.<br />
Destruktive Tests wie zum Beispiel „Denial of Service“-Attacken s<strong>in</strong>d nicht<br />
Bestandteil des „<strong>BSI</strong> Quick Check“, sie s<strong>in</strong>d ausdrücklich ausgenommen.<br />
Ausgewählte Fehlerquellen werden durch die Mitarbeiter des <strong>BSI</strong> manuell und stichprobenartig<br />
nachgeprüft. Basierend auf e<strong>in</strong>er Liste <strong>der</strong> häufigsten Schwachstellen <strong>in</strong><br />
Webanwendungen werden beispielsweise die E<strong>in</strong>gabefel<strong>der</strong> mit fehlerhaften beziehungsweise<br />
ungültigen Daten ausgefüllt und das Antwortverhalten des Webservers<br />
analysiert. Derzeit weit verbreitete Störungsquellen, wie „Cross Site Script<strong>in</strong>g“ und „SQL<br />
Injection“, werden <strong>in</strong> die manuellen Tests mit e<strong>in</strong>bezogen. Diese Testliste wird regelmäßig<br />
durch das <strong>BSI</strong> aktualisiert und orientiert sich an den im Internet bekannten und<br />
verbreiteten Angriffstechniken.<br />
Abschließend werden die Ergebnisse des „<strong>BSI</strong> Quick Check“ zusammengefasst und<br />
schriftlich dem jeweiligen Anwen<strong>der</strong> beziehungsweise Verantwortlichen zugesandt.<br />
Wegen <strong>der</strong> angestrebten zeitlichen Straffung des „Quick Check“ werden ke<strong>in</strong>e spezifischen<br />
Empfehlungen zur Beseitigung <strong>der</strong> aufgefundenen Fehler gegeben. Die Expertise<br />
kann daher nur verkürzt se<strong>in</strong>. Aber im Anschluss an den „Quick Check“ lässt sich natürlich<br />
e<strong>in</strong>e ausführliche Beratung durch das <strong>BSI</strong> vere<strong>in</strong>baren.<br />
Auf <strong>der</strong> Messe „Mo<strong>der</strong>ner Staat“ vom 23. bis 24. November<br />
<strong>2004</strong> <strong>in</strong> Berl<strong>in</strong> erläutern <strong>BSI</strong>-Experten <strong>in</strong>teressierten<br />
Behördenvertretern, wie sie den „<strong>BSI</strong> Quick Check“ anwenden<br />
können.
5 Technologie <strong>der</strong> Zukunft:<br />
Neue Herausfor<strong>der</strong>ungen<br />
ZUKUNFT<br />
Technisch machbar ist vieles, aber ob die Datenerfassungs- und Übertragungssysteme <strong>der</strong><br />
Zukunft auch sicher s<strong>in</strong>d, das ist e<strong>in</strong>e an<strong>der</strong>e Frage. Das <strong>BSI</strong> prüft nach.<br />
Biometrische Personenidentifikation, Funkchips an Waren, Geldsche<strong>in</strong>en<br />
o<strong>der</strong> Fahrzeugen, satellitengestützte Navigationssysteme <strong>für</strong> den europäischen Bedarf<br />
– das s<strong>in</strong>d drei wichtige Zukunftstechnologien, die unseren Alltag künftig bestimmen.<br />
Mit <strong>der</strong> umfangreichen Feldstudie „BioP“ legt das <strong>BSI</strong> se<strong>in</strong>e Forschungen auf<br />
dem Gebiet <strong>der</strong> biometrischen Verfahren zur Gesichts-, F<strong>in</strong>ger- und Iriserkennung vor.<br />
Dabei geht es vor allem um die Erprobung und Festlegung <strong>in</strong>ternationaler Standards.<br />
RFID-Chips, also Identifikations- und Datenerfassungssysteme mit kontaktloser<br />
Datenübermittlung auf Basis <strong>der</strong> Radiofrequenztechnologie, werden unter an<strong>der</strong>em<br />
bereits bei Zutrittsystemen, zur Tieridentifikation und im Warenmanagement e<strong>in</strong>gesetzt.<br />
Dabei hat sich gezeigt, dass Unternehmen, die ihre Kunden nicht aufklären,<br />
schnell <strong>in</strong> den Fokus von Datenschutz- und Bürgerrechtsorganisationen geraten.<br />
Ohne hochleistungsfähige Kryptosysteme s<strong>in</strong>d Satellitenortungs- und -navigationssysteme<br />
nicht zu steuern. Das <strong>BSI</strong> hat sich mit se<strong>in</strong>em herausragenden Expertenwissen<br />
auf diesem Gebiet erfolgreich <strong>in</strong> übergeordnete zivile und militärische Großprojekte<br />
<strong>in</strong>tegrieren können.
5.1 Biometrie und Innere <strong>Sicherheit</strong><br />
ZUKUNFT BIOMETRIE<br />
IT-<strong>Sicherheit</strong> steht bei biometrischen Verfahren, mit denen sich das <strong>BSI</strong> beschäftigt, im Vor<strong>der</strong>grund.<br />
Biometrie ist die masch<strong>in</strong>elle Erkennung des Menschen anhand e<strong>in</strong>zigartiger Unterscheidungsmerkmale<br />
wie Iris, F<strong>in</strong>gerabdruck und Gesicht.<br />
Den Schwerpunkt <strong>der</strong> Arbeit von Experten des <strong>BSI</strong> bei <strong>der</strong> Analyse von biometrischen<br />
Systemen bilden folgende Themenkomplexe:<br />
•Was leisten die marktverfügbaren biometrischen Produkte bei <strong>der</strong> Erkennung biometrischer<br />
Merkmale?<br />
•Wie sicher s<strong>in</strong>d biometrische Systeme gegen Versuche, sie zu täuschen o<strong>der</strong> zu überw<strong>in</strong>den?<br />
•Wie können biometrische Verfahren <strong>in</strong> elektronischen Ausweisen und Dokumenten<br />
berücksichtigt werden?<br />
Im Jahre <strong>2004</strong> hat das <strong>BSI</strong> e<strong>in</strong>e Vielzahl von Feldstudien und Labortests<br />
durchgeführt. Untersucht wurden unter an<strong>der</strong>em Gesichts-, F<strong>in</strong>ger- und Iriserkennung.<br />
Die umfangreiche Feldstudie „BioP“ am Flughafen Frankfurt wurde Ende des Jahres<br />
<strong>2004</strong> abgeschlossen.<br />
E<strong>in</strong>e wesentliche Rolle spielt bei allen Aktivitäten auf diesem Gebiet die Anpassung<br />
<strong>der</strong> biometrischen Produkte an die <strong>in</strong>ternationalen Anfor<strong>der</strong>ungen, etwa <strong>der</strong><br />
Internationalen Zivilluftfahrt-Organisation (ICAO, mit Sitz <strong>in</strong> Montreal), e<strong>in</strong>er Unterorganisation<br />
<strong>der</strong> UNO. Dabei geht es um biometrische Verfahren auf masch<strong>in</strong>enlesbaren<br />
Reisedokumenten.<br />
Die Arbeit des <strong>BSI</strong> trägt zur Weiterentwicklung zwischenstaatlicher Standards<br />
entscheidend bei. Die <strong>in</strong>ternationale Zusammenarbeit bewährt sich auf Regierungsebene<br />
auch <strong>in</strong> geme<strong>in</strong>samen Projekten mit europäischen, US-amerikanischen und weiteren<br />
Partnern. Auch dabei geht es unter an<strong>der</strong>em um die Interoperabilität von Reisedokumenten.<br />
Die dabei gewonnenen Erkenntnisse dienen dazu, die <strong>für</strong> die jeweilige<br />
Anfor<strong>der</strong>ung am besten geeigneten Verfahren zu f<strong>in</strong>den und <strong>in</strong> technische Standards<br />
zu <strong>in</strong>tegrieren.<br />
Otto Schily, Bundesm<strong>in</strong>ister des Innern,<br />
präsentiert den digital lesbaren Pass. Er wird<br />
biometrische Daten auf e<strong>in</strong>em Chip enthalten.
Standards <strong>für</strong> Biometrieverfahren gesucht<br />
Die International Organization for Standardization (ISO) <strong>in</strong> Genf hat <strong>2004</strong> e<strong>in</strong><br />
Jo<strong>in</strong>t Technical Commitee (Abkürzung: JTC1/SC37 ) <strong>für</strong> die anwendungsbezogene <strong>in</strong>teroperable<br />
Standardisierung biometrischer Verfahren e<strong>in</strong>gerichtet. Entsprechende nationale<br />
Gremien folgten. In beiden Bereichen arbeitet das <strong>BSI</strong> aktiv mit und gibt wichtige<br />
Impulse im S<strong>in</strong>ne <strong>der</strong> IT-sicherheitstechnischen Umsetzung biometrischer Systeme.<br />
Gleichwohl s<strong>in</strong>d im Bereich Standardisierung <strong>der</strong> Templates <strong>für</strong> biometrische Merkmale<br />
noch nicht alle Herausfor<strong>der</strong>ungen endgültig gelöst.<br />
Erprobt werden <strong>der</strong>zeit die unterschiedlichsten Biometrieverfahren. Sie s<strong>in</strong>d<br />
fast so vielfältig wie die Anfor<strong>der</strong>ungen, die an sie gestellt werden. Individuell angepasste<br />
Anwendungskonzepte <strong>für</strong> den Bedarf <strong>der</strong> Nutzer gewährleisten e<strong>in</strong>en optimierten<br />
und praxisorientierten E<strong>in</strong>satz. Unter dieser Voraussetzung können wir diese Technologie<br />
gew<strong>in</strong>nbr<strong>in</strong>gend e<strong>in</strong>setzen.<br />
Die erheblichen technischen Verbesserungen <strong>der</strong> marktverfügbaren biometrischen<br />
Produkte <strong>in</strong> den letzten Jahren, auch als Folge <strong>der</strong> Grundlagenarbeiten und<br />
Erprobungen durch das <strong>BSI</strong>, ermöglichen bereits heute e<strong>in</strong>e erfolgreiche Anwendung<br />
<strong>für</strong> ausgewählte Anwendungsbereiche. Dazu tragen auch erste produktspezifische ITsicherheitstechnische<br />
Bewertungen im Rahmen <strong>der</strong> Zertifizierung o<strong>der</strong> die Erstellung<br />
sogenannter <strong>Sicherheit</strong>sanwendungsprofile (Protection Profiles) bei. So wird unter an<strong>der</strong>em<br />
festgelegt, welche <strong>Sicherheit</strong>sstandards bei <strong>der</strong> zukünftigen Anwendung biometrischer<br />
Verfahren gelten. Damit werden auch die IT-<strong>Sicherheit</strong>saspekte beim E<strong>in</strong>satz<br />
<strong>der</strong> Biometrie h<strong>in</strong>reichend berücksichtigt.<br />
Das <strong>BSI</strong> wird <strong>in</strong> den kommenden Jahren die E<strong>in</strong>führung biometrischer Verfahren<br />
speziell im Umfeld <strong>der</strong> Ausweisdokumente aktiv begleiten.<br />
Die Abbildung zeigt den Aufbau e<strong>in</strong>es<br />
masch<strong>in</strong>enlesbaren Ausweisdokumentes<br />
mit Chip und Antenne.
5.2 Radio Frequency Identification (RFID)<br />
ZUKUNFT RFID<br />
Die zunehmende Verbreitung <strong>der</strong> Radio Frequency Identification-Technologie (RFID-Technologie)<br />
f<strong>in</strong>det weitestgehend unsichtbar statt. Allenfalls <strong>in</strong> Warensicherungsettiketten werden<br />
die e<strong>in</strong>fachsten Formen dieser leistungsfähigen Technik vom Verbraucher wahrgenommen.<br />
Bei <strong>der</strong> RFID-Technik kommen 1-bit-Transpon<strong>der</strong> zum E<strong>in</strong>satz, die unter Ausnutzung<br />
physikalischer Effekte ausschließlich e<strong>in</strong>e Ja/Ne<strong>in</strong>-Information speichern und<br />
nicht explizit beschreibbar beziehungsweise programmierbar s<strong>in</strong>d. Darüber h<strong>in</strong>aus<br />
existiert e<strong>in</strong>e Vielzahl weiterer Produkte. Diese besitzen oft deutlich mehr Funktionalitäten<br />
als e<strong>in</strong>fache Artikelsicherungssysteme. Es handelt sich um leistungsfähige Identifikations-<br />
und Datenerfassungssysteme mit kontaktloser Datenübermittlung auf Basis<br />
<strong>der</strong> Radiofrequenztechnologie.<br />
Anwendung f<strong>in</strong>det diese Technik zur Zeit hauptsächlich <strong>in</strong> den Bereichen<br />
•Industrieautomation,<br />
•Zutrittssysteme,<br />
•Tieridentifikation,<br />
•Warenmanagement und<br />
•Diebstahlschutz (zum Beispiel KFZ-Wegfahrsperren).<br />
E<strong>in</strong> RFID-System besteht dabei immer aus e<strong>in</strong>em Transpon<strong>der</strong>, <strong>der</strong> die zu<br />
speichernden und bei Bedarf zu übermittelnden Informationen enthält und e<strong>in</strong>em<br />
Schreib-/Lesegerät.<br />
Schnittstellen-Technik<br />
Bei Betrachtung <strong>der</strong> technischen Möglichkeiten mo<strong>der</strong>ner RFID-Technologie<br />
sowie <strong>der</strong> damit e<strong>in</strong>hergehenden Gefährdungen wird klar, dass diese Technologie<br />
Schnittstellen zu den verschiedensten Ebenen <strong>der</strong> IT-<strong>Sicherheit</strong> und <strong>der</strong> Gesellschaft<br />
besitzt.<br />
Bereits heute s<strong>in</strong>d RF-Tags bei Zutrittskontrollanlagen komb<strong>in</strong>iert mit e<strong>in</strong>em<br />
Firmenausweis im E<strong>in</strong>satz, die Europäische Zentralbank plant die Verwendung von<br />
kle<strong>in</strong>sten RFIDs <strong>für</strong> Banknoten zur Erhöhung <strong>der</strong> Fälschungssicherheit. Verkehrsgesellschaften<br />
möchten die Fahrausweise ihrer Kunden mit Transpon<strong>der</strong>n versehen, die e<strong>in</strong>em<br />
zentralen Abrechnungssystem mitteilen, wie welche Verkehrsverb<strong>in</strong>dungen genutzt<br />
werden.
Das Verh<strong>in</strong><strong>der</strong>n von Geldfälschung o<strong>der</strong> e<strong>in</strong>e bequeme Abrechnung <strong>der</strong><br />
ÖPNV-Nutzung s<strong>in</strong>d s<strong>in</strong>nvolle Anwendungsgebiete von RF-Chips. Im Interesse des Bürgers<br />
steigt hier durch die RFID-Technik die <strong>Sicherheit</strong> und die Kundenfreundlichkeit.<br />
Bedenken gegen die unsche<strong>in</strong>baren Sen<strong>der</strong> bestehen trotz o<strong>der</strong> gerade wegen ihrer<br />
Unsichtbarkeit: Die immer noch aktuelle Diskussion um Pilotprojekte im Bereich Warenmanagement,<br />
<strong>in</strong> <strong>der</strong>en Umfeld RFIDs e<strong>in</strong>gesetzt werden zeigt, dass e<strong>in</strong> Unternehmen,<br />
das se<strong>in</strong>e Kunden über den RFID-E<strong>in</strong>satz nicht rechtzeitig aufklärt, schnell <strong>in</strong> den<br />
Fokus von Datenschutz- und Bürgerrechtsorganisationen geraten kann.<br />
Die neue Technologie bietet enorme Chancen, da RFID-Systeme <strong>in</strong> vielen Bereichen,<br />
darunter dem gesamten Logistikbereich und <strong>der</strong> Lagerbewirtschaftung, bereits<br />
heute nutzbr<strong>in</strong>gend e<strong>in</strong>gesetzt werden. Was noch getan werden muss ist, den Technike<strong>in</strong>satz<br />
h<strong>in</strong>sichtlich se<strong>in</strong>er Auswirkungen <strong>in</strong> unterschiedlichsten Anwendungsfel<strong>der</strong>n zu<br />
untersuchen. Es gilt die Auswirkungen <strong>der</strong> RFID-Technologie abzuschätzen und zu bewerten<br />
sowie die sich ergebenden Chancen und Risiken zu benennen. Ziel ist dabei die<br />
Entwicklung von Handlungsempfehlungen <strong>für</strong> Politik, Industrie und Wissenschaft.<br />
RFID-Tags: die kle<strong>in</strong>en schwarzen Punkte markieren<br />
die Chips, auf denen die Informationen gespeichert<br />
s<strong>in</strong>d. In Schleifen gepackte Antennen<br />
funken sie zum Empfänger, wenn sie durch e<strong>in</strong><br />
elektromagnetisches Feld aktiviert werden.<br />
Studienreihe des <strong>BSI</strong><br />
Das <strong>BSI</strong> hat aus diesem Grund e<strong>in</strong>e Studienreihe gestartet, die sich grundsätzlich<br />
mit <strong>der</strong> Allgegenwärtigkeit von Informationstechnologie im täglichen Leben beschäftigt.<br />
Im ersten Teil ist die RFID-Technologie das untersuchte Thema.<br />
Die <strong>in</strong> <strong>der</strong> Studie „Risiken und Chancen des E<strong>in</strong>satzes von RFID-Systemen“<br />
gefundenen Antworten sollen dabei e<strong>in</strong>en Beitrag zur Versachlichung <strong>der</strong> Diskussion<br />
über den E<strong>in</strong>satz <strong>der</strong> RFID-Technologie leisten und helfen, zu e<strong>in</strong>em nutzbr<strong>in</strong>genden<br />
und datenschutzkonformen Technike<strong>in</strong>satz zu gelangen.<br />
Zu diesem Zweck geben die Arbeitsergebnisse des <strong>BSI</strong> e<strong>in</strong>en Überblick über<br />
die technischen Grundlagen, die Anwendungspotenziale und <strong>in</strong>sbeson<strong>der</strong>e über neue<br />
<strong>Sicherheit</strong>smaßnahmen zur Reduzierung von Risiken im Kontext von RFID-Systemen.<br />
Der Schwerpunkt <strong>der</strong> Arbeit liegt <strong>in</strong> <strong>der</strong> Analyse möglicher Bedrohungslagen, die aus<br />
<strong>der</strong> Anwendung von RFID-Systemen hervorgehen, e<strong>in</strong>schließlich <strong>der</strong> E<strong>in</strong>schätzung <strong>der</strong><br />
Wirksamkeit bestehen<strong>der</strong> und zukünftiger, bereits konzipierter <strong>Sicherheit</strong>smaßnahmen.
Im Gegensatz zu den bisher durchgeführten Betrachtungen zum Risikopotenzial<br />
wurden nicht nur gängige Bedrohungen, wie Verlust <strong>der</strong> Location Privacy betrachtet,<br />
son<strong>der</strong>n auch neue Szenarien berücksichtigt. Zu nennen s<strong>in</strong>d hier experimentelle<br />
Ansätze zum Abhören <strong>der</strong> Kommunikation zwischen RFID-Tag und Lesegerät genauso<br />
wie die Auswirkungen des E<strong>in</strong>satzes von Blocker-Tags und Störsen<strong>der</strong>n. Im Bereich <strong>der</strong><br />
Konzeption möglicher <strong>Sicherheit</strong>smaßnahmen wird Wert auf e<strong>in</strong>e große Praxisnähe gelegt.<br />
Neben wünschenswerten Maßnahmen, wie <strong>der</strong> gegenseitigen Authentifizierung<br />
bei hochwertigen Tags, wird auch das recht breite Spektrum <strong>der</strong> e<strong>in</strong>facheren RFID-<br />
Systeme betrachtet.<br />
Aufgrund <strong>der</strong> aktuellen politischen Diskussion und <strong>der</strong> augenblicklichen Arbeitsschwerpunkte<br />
des <strong>BSI</strong> wird die Anwendung „masch<strong>in</strong>enlesbare Personaldokumente“<br />
aufgearbeitet. Der H<strong>in</strong>tergrund: Derzeit werden weltweit verschiedene Ansätze getestet,<br />
um RFID-Transpon<strong>der</strong> <strong>in</strong> Personalausweise und Reisepässe zu <strong>in</strong>tegrieren. Diese<br />
Transpon<strong>der</strong> werden sowohl verwendet, um elektronische Fälschungsschutzmechanismen<br />
umzusetzen und damit erweiterte Echtheitsprüfungen zu ermöglichen als auch<br />
biometrische Merkmale – beispielsweise das Gesicht o<strong>der</strong> e<strong>in</strong>en F<strong>in</strong>gerabdruck – im<br />
Ausweissystem (zum Beispiel Reisepass) zu speichern. Insgesamt kann festgestellt werden,<br />
dass durch die Aktivitäten <strong>der</strong> Bundesregierung <strong>in</strong>nerhalb dieses Anwendungsfeldes<br />
e<strong>in</strong> sehr hohes Maß an IT-<strong>Sicherheit</strong> erreicht wurde.<br />
Um die Chancen und Risiken von RFID-Systemen zu bewerten, wird zudem<br />
e<strong>in</strong>e E<strong>in</strong>schätzung <strong>der</strong> wesentlichen technologischen, ökonomischen, rechtlichen und<br />
gesellschaftlichen Entwicklungen im Kontext von RFID-Systemen vorgenommen, die<br />
e<strong>in</strong>en Zeithorizont bis etwa 2010 aufspannen.<br />
Bequem und kundenfreundlich: RFID-Chips, die künftig <strong>in</strong> Tickets<br />
<strong>für</strong> den öffentlichen Nahverkehr <strong>in</strong>tegriert werden sollen,<br />
machen funkgesteuert e<strong>in</strong>e präzise Abrechnung <strong>der</strong> Fahrtkosten möglich.
Gibt es e<strong>in</strong>e Antwort auf die Frage nach den<br />
Risiken und Chancen <strong>der</strong> RFID-Technologie?<br />
Natürlich ist e<strong>in</strong>e pauschalisierte Antwort auf e<strong>in</strong>e so komplexe Frage nicht<br />
möglich. Herausgestellt hat sich jedoch, dass es zur Nutzung <strong>der</strong> Chancen von RFID-<br />
Technik notwendig ist, die Bedrohung <strong>für</strong> die Persönlichkeitssphäre so ger<strong>in</strong>g wie möglich<br />
zu halten. Weiterh<strong>in</strong> müssen die Grundsätze e<strong>in</strong>es zeitgemäßen Datenschutzrechts<br />
<strong>in</strong> RFID-Systemen bereits frühzeitig im Design-Prozess und <strong>in</strong> <strong>der</strong> Markte<strong>in</strong>führung<br />
umgesetzt werden.<br />
Der Fokus <strong>der</strong> <strong>BSI</strong>-Aktivitäten liegt dabei neben <strong>der</strong> Beurteilung neuer technologiespezifischer<br />
Risiken auf <strong>der</strong> Konzeption neuer <strong>Sicherheit</strong>smaßnahmen. Dabei<br />
geht es vor allem um die Herausfor<strong>der</strong>ung, <strong>Sicherheit</strong>smechanismen <strong>für</strong> ressourcenbeschränkte<br />
Systeme zu def<strong>in</strong>ieren und Ihre Implementierung auf Seiten <strong>der</strong> RFID-<br />
Hersteller zu begleiten. Ziel e<strong>in</strong>er solchen Vorgehensweise ist das Bereitstellen von<br />
sicheren Hard- und Software-Systemen, die durch den Bürger ohne Bedenken genutzt<br />
werden können.<br />
Die E<strong>in</strong>satzmöglichkeiten von RFID-Chips s<strong>in</strong>d<br />
sehr vielfältig. Zum Leistungsspektrum gehören<br />
beispielsweise die Identifikation von Produkten<br />
im Handel (l<strong>in</strong>ks), von Entsorgungsgütern o<strong>der</strong><br />
von Tieren (unten).
5.3 Galileo und<br />
SAR-Lupe – Sichere<br />
Satellitensysteme<br />
ZUKUNFT SATELLITEN<br />
Die Wahrung <strong>der</strong> Informationssicherheit bei Satellitensystemen beschränkt sich nicht auf die<br />
zu übertragenden Daten. Schutzbedürftig s<strong>in</strong>d auch die Daten zur Überwachung (Telemetrie)<br />
und Kontrolle (Telecommand) des mechanischen Himmelskörpers.<br />
Bei <strong>der</strong> Festlegung je<strong>der</strong> <strong>in</strong>formations- und kommunikationstechnischen<br />
Architektur <strong>für</strong> e<strong>in</strong> solches System s<strong>in</strong>d alle Bereiche <strong>der</strong> IT-<strong>Sicherheit</strong> zu bedenken.<br />
Das <strong>BSI</strong> wirkt im Rahmen se<strong>in</strong>es gesetzlichen Auftrags auch bei <strong>der</strong> Spezifikation von<br />
IT-<strong>Sicherheit</strong>skonzepten und -architekturen <strong>für</strong> Satellitensysteme mit. Auch bei <strong>der</strong> anschließenden<br />
Prüfung <strong>der</strong> technischen Realisierung <strong>in</strong> nationalen und <strong>in</strong>ternationalen<br />
Projekten ist das <strong>BSI</strong> e<strong>in</strong>gebunden. So hat das <strong>BSI</strong> im Jahre <strong>2004</strong> se<strong>in</strong>e Expertisen <strong>in</strong> die<br />
Satellitensysteme GALILEO und SAR-Lupe e<strong>in</strong>gebracht.<br />
Schema des Galileo-Satellitensystems.<br />
Nach ESA-Angaben wird Europa damit<br />
ab 2008 über e<strong>in</strong> eigenes, sicheres<br />
und geprüftes GPS verfügen.
GALILEO<br />
Das europäische satellitengestützte Navigationssystem GALILEO ist e<strong>in</strong> Geme<strong>in</strong>schaftsprojekt<br />
<strong>der</strong> Europäischen Kommission und <strong>der</strong> europäischen Raumfahrtbehörde ESA<br />
(European Space Agency). GALILEO wird e<strong>in</strong> europäisch kontrolliertes Satellitennavigationssystem<br />
<strong>für</strong> die zivile und kommerzielle Nutzung se<strong>in</strong> – im Gegensatz zum US-amerikanischen<br />
Satellitennavigationssystem GPS (Global Position<strong>in</strong>g System), das <strong>für</strong> die<br />
militärische Nutzung konzipiert wurde. Die Mitarbeit des <strong>BSI</strong> <strong>in</strong> den Arbeitsgruppen<br />
des Projekts GALILEO mit Bezug zur Informationssicherheit hatte im Jahre <strong>2004</strong> folgende<br />
Themen zum Schwerpunkt:<br />
•In <strong>der</strong> INFOSEC-Arbeitsgruppe wurden mit den europäischen Partnernationen verschiedene<br />
Alternativen <strong>für</strong> den Kryptoalgorithmus diskutiert, <strong>der</strong> im Dienst von<br />
GALILEO-PRS (Public Regulated Service) <strong>für</strong> die Nutzdatenverschlüsselung e<strong>in</strong>zusetzen<br />
ist. Man e<strong>in</strong>igte sich auf e<strong>in</strong>en Kryptoalgorithmus, <strong>der</strong> bereits im Vorfeld geme<strong>in</strong>sam<br />
vom <strong>BSI</strong> und von den europäischen Partnern entwickelt worden war. Weitere Themen<br />
<strong>der</strong> INFOSEC-Arbeitsgruppe waren die Erstellung e<strong>in</strong>er Richtl<strong>in</strong>ie <strong>für</strong> die Implementierung<br />
von Kryptoalgorithmen und die Abstimmung des Schlüsselverteilkonzepts<br />
sowie e<strong>in</strong>er Evaluierungs- und Akkreditierungsstrategie.<br />
•Die Mitarbeit im „National Experts Team“ bestand aus <strong>der</strong> Prüfung des Systemkonzepts,<br />
das von <strong>der</strong> GALILEO-Industrie während <strong>der</strong> Phase C Null (geme<strong>in</strong>t ist die Vorphase<br />
Entwicklung) erstellt wurde, und aus <strong>der</strong> Fortschreibung <strong>der</strong> Risiko- und Bedrohungsanalyse.<br />
•Im übergeordneten Steuerungsgremium „GALILEO Security Board“ wurden die deutschen<br />
Vertreter aus dem Bundesm<strong>in</strong>isterium des Innern (BMI) und aus dem Bundesm<strong>in</strong>isterium<br />
<strong>für</strong> Verkehr, Bau- und Wohnungswesen (BMVBW) <strong>in</strong> Fragen <strong>der</strong> Informationssicherheit<br />
fachlich unterstützt.<br />
Sonnensegel <strong>für</strong> Galileo:<br />
Informationstechnik richtet<br />
Satellitensysteme automatisch<br />
nach dem Sonnenstand aus.
SAR-Lupe<br />
Das Satellitensystem SAR-Lupe (SAR = Synthetic Aperture Radar) ist e<strong>in</strong> hochauflösendes<br />
militärisches Radarsystem unter deutscher Kontrolle, das von <strong>der</strong> Firma OHB Technology<br />
AG im Auftrag <strong>der</strong> Bundeswehr entwickelt wird. Das <strong>BSI</strong> br<strong>in</strong>gt <strong>in</strong> dieses Projekt<br />
ebenfalls se<strong>in</strong>e Expertise im Bereich <strong>der</strong> Informationssicherheit e<strong>in</strong>. Der Arbeitsschwerpunkt<br />
im Jahr <strong>2004</strong> lag bei <strong>der</strong> Evaluierung <strong>der</strong> implementierten Kryptotechnik.<br />
Dazu wurden durch Messungen am Ingenieurmodell des Satelliten gewonnene Daten<br />
überprüft und bewertet. Als Ergebnis ist festzuhalten, dass die Evaluierung <strong>der</strong> Kryptotechnik<br />
<strong>für</strong> den Nutzdaten-Download erfolgreich abgeschlossen werden konnte. Die<br />
Evaluierung <strong>der</strong> Kryptografie <strong>für</strong> den Upload von Schlüssel-, Telemetrie- und Telecommand-Daten<br />
bef<strong>in</strong>det sich <strong>der</strong>zeit kurz vor dem Abschluss.<br />
E<strong>in</strong> weiterer Schritt im Projekt SAR-Lupe besteht <strong>in</strong> <strong>der</strong> sogenannten Europäisierung<br />
dieses Systems. Darunter versteht man die Schaffung <strong>der</strong> Möglichkeit, SAR-Lupe auch<br />
durch europäische Partner nutzen zu lassen – unter Beachtung <strong>der</strong> nationalen Politik<br />
zum Schutz von Nutzdaten sowie von Telemetrie- und Telecommand-Daten. <strong>2004</strong> wurden<br />
folgende Schwerpunkte bearbeitet:<br />
•Das Kryptokonzept Version 1.0. wurde im April nach <strong>der</strong> Abstimmung mit Nutzer und<br />
Auftragnehmer verabschiedet.<br />
•IT-<strong>Sicherheit</strong>sspezifikationen, zum Beispiel die Systemspecific Security Requirements<br />
Specification (SSRS), wurden erstellt und im Oktober <strong>2004</strong> <strong>in</strong> <strong>der</strong> Version 1.0 verabschiedet.<br />
Die erfor<strong>der</strong>liche Abstimmung <strong>der</strong> Dokumente mit den Partnern wird sich<br />
<strong>in</strong> <strong>der</strong> nächsten Phase anschließen.<br />
Satellitenortungs- und -navigationssysteme benötigen hochleistungsfähige, <strong>in</strong>ternational<br />
abgestimmte Kryptotechnik. Das <strong>BSI</strong> hat sich mit se<strong>in</strong>en Leistungen und se<strong>in</strong>em herausragenden<br />
Expertenwissen auch <strong>2004</strong> erfolgreich <strong>in</strong> übergeordnete zivile und militärische<br />
Großprojekte <strong>in</strong>tegrieren können.<br />
Das erste satellitengestützteAufklärungssystem<br />
Deutschlands<br />
soll 2005 mit e<strong>in</strong>er<br />
russischen Rakete <strong>in</strong>s<br />
Weltall gebracht<br />
werden. SAR-Lupe<br />
wird hochauflösende<br />
Bil<strong>der</strong> aus nahezu<br />
allen Teilen <strong>der</strong> Welt<br />
liefern.
1. CD-ROM<br />
Die vom <strong>BSI</strong> im InternetveröffentlichtenInformationsangebotestehen<br />
allen Interessierten<br />
auch <strong>in</strong><br />
Form e<strong>in</strong>er kostenlosen<br />
CD-ROM zur Verfügung, gegen<br />
E<strong>in</strong>sendung e<strong>in</strong>es Rückumschlags (DIN<br />
C5, Porto 1,44 Euro) beim <strong>BSI</strong> CD-Versand,<br />
Postfach 20 10 10, D-53140 Bonn<br />
2. <strong>BSI</strong>-Newsletter<br />
Möchten Sie den fünfmal jährlich ersche<strong>in</strong>enden<br />
Onl<strong>in</strong>e-Newsletter des <strong>BSI</strong><br />
abonnieren? Dann senden Sie e<strong>in</strong>e<br />
E-Mail an newsletter@bsi.bund.de. Der<br />
E-Mail-Newsletter „SICHER•INFOR-<br />
MIERT“ versorgt den privaten Computernutzer<br />
alle 14 Tage mit den wichtigsten<br />
<strong>Sicherheit</strong>snachrichten. Zur Anmeldung<br />
zum Newsletter gelangen Sie über<br />
www.bsi-fuer-buerger.de/newsletter/<br />
ANHANG PUBLIKATIONEN<br />
Das Infoangebot<br />
<strong>für</strong> Bürger f<strong>in</strong>det<br />
sich ständig aktualisiert<br />
unter<br />
www.bsi-fuerbuerger.de.<br />
Das<br />
Webportal wird<br />
auch als CD-ROM auf Messen verteilt<br />
sowie als Heftbeilage verbreitet. Außerdem<br />
s<strong>in</strong>d die Inhalte <strong>der</strong> CD-ROM auf<br />
bestimmten PCs vor<strong>in</strong>stalliert.<br />
3. – Die Zeitschrift <strong>für</strong><br />
Informations-<strong>Sicherheit</strong><br />
Amtliche Nachrichten werden im <strong>BSI</strong>-<br />
Forum <strong>der</strong> Zeitschrift veröffentlicht.<br />
– Die Zeitschrift <strong>für</strong><br />
Informations-<strong>Sicherheit</strong><br />
(ISSN 1611-440X)<br />
Preis je Ausgabe: 23 Euro, ersche<strong>in</strong>t<br />
zweimonatlich. Internet: www.kes.<strong>in</strong>fo<br />
Kontakt:<br />
Redaktion ,<br />
Lise-Meitner-Str. 4,<br />
D-55435<br />
Gau-Algesheim<br />
o<strong>der</strong><br />
Postfach 1234,<br />
D-55205 Ingelheim<br />
Tel: 06725-93 04-0,<br />
E-Mail:<br />
<strong>in</strong>fo@secumedia.de
4. Fach<strong>in</strong>formationen<br />
Das IT-Grundschutzhandbuch<br />
wird als<br />
Loseblattsammlung<br />
vertrieben.<br />
DIN A4, rund 2.000<br />
Seiten <strong>in</strong> drei Ordnern,<br />
mit CD-ROM,<br />
Preis: 148 Euro<br />
ISBN 3-88784-915-9<br />
Zu bestellen beim Bundesanzeiger Verlag,<br />
Postfach 10 05 34, D-50445 Köln,<br />
Fax: 0221-97 66 82 78, E-Mail:<br />
vertrieb@bundesanzeiger.de<br />
Leitfaden IT-<strong>Sicherheit</strong><br />
Stand: <strong>2004</strong>, circa 72<br />
Seiten<br />
Download als PDF-<br />
Datei möglich unter<br />
www.bsi.bund.de/<br />
gshb/Leitfaden/<br />
E-Government-Handbuch<br />
ISBN 3-89817-180-9<br />
<strong>BSI</strong>-Schriftenreihe zur<br />
IT-<strong>Sicherheit</strong>, Band 11,<br />
Loseblattsammlung,<br />
1.200 Seiten, 3 Ordner,<br />
DIN A5, Preis: 98 Euro<br />
Zu bestellen beim Bundesanzeiger Verlag,<br />
Postfach 10 05 34, D-50445 Köln,<br />
Fax: 0221-97 66 82 78,<br />
E-Mail:vertrieb@bundesanzeiger.de<br />
„Risiken und Chancen<br />
des E<strong>in</strong>satzes von<br />
RFID-Systemen“<br />
– Studie, erstellt <strong>in</strong><br />
Zusammenarbeit mit<br />
dem Institut <strong>für</strong><br />
Zukunftsstudien und<br />
Technologiebewertung<br />
(IZT) und <strong>der</strong> Eidgenössischen<br />
Materialprüfungs- und Forschungsanstalt<br />
(EMPA). Die Studie kann<br />
zum Preis von 58 Euro über den<br />
Secumedia Verlag bezogen werden<br />
(ISBN 3-922746-56-X). Seit Dezember<br />
<strong>2004</strong> ist die Studie auch auf den Internetseiten<br />
des <strong>BSI</strong> veröffentlicht.<br />
Das Faltblatt „<strong>Sicherheit</strong> <strong>in</strong><br />
<strong>der</strong> Informationstechnik –<br />
Expertenwissen <strong>für</strong> Behörden<br />
und Wirtschaftsunternehmen“<br />
bietet e<strong>in</strong>en<br />
Überblick über alle<br />
Leistungen des <strong>BSI</strong>.<br />
Bezug über das <strong>BSI</strong>, Postfach<br />
20 10 10, D-53140 Bonn<br />
H<strong>in</strong>weise zu weiteren Veröffentlichungen<br />
des <strong>BSI</strong> f<strong>in</strong>den Sie im Internet unter<br />
www.bsi.bund.de
Dr. Udo Helmbrecht, Präsident des<br />
<strong>Bundesamt</strong>es <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong><br />
Informationstechnik<br />
Dr. Hartmut Isselhorst, Leiter <strong>der</strong><br />
Abteilung I – <strong>Sicherheit</strong> <strong>in</strong><br />
Anwendungen, Kritischen<br />
Infrastrukturen und im Internet<br />
Bernd Kowalski, Leiter <strong>der</strong> Abteilung III<br />
– Abhörsicherheit, Zertifizierung,<br />
Zulassung, Akkreditierung<br />
Anja Hartmann, Referatsleiter<strong>in</strong><br />
Öffentlichkeitsarbeit<br />
E-Mail: anja.hartmann@bsi.bund.de<br />
ANHANG AMTSLEITUNG UND ANSPRECHPARTNER<br />
Michael Hange, Vizepräsident des<br />
<strong>Bundesamt</strong>es <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong><br />
Informationstechnik<br />
Dr. Gerhard Schabhüser, Leiter <strong>der</strong><br />
Abteilung II – <strong>Sicherheit</strong> <strong>in</strong> Netzen,<br />
Kryptologie, wiss. Grundlagen <strong>der</strong><br />
IT-<strong>Sicherheit</strong><br />
Horst Samsel, Abteilungsleiter Z –<br />
Zentrale Aufgaben<br />
Michael Dickopf, Pressesprecher<br />
E-Mail: michael.dickopf@bsi.bund.de
Das Bürger-Portal:<br />
www.bsi-fuer-buerger.de<br />
Hier f<strong>in</strong>den Sie unter an<strong>der</strong>em Informationen zu den Themen<br />
Datensicherung<br />
Viren und Spione<br />
K<strong>in</strong><strong>der</strong>schutz im Netz<br />
E<strong>in</strong>kaufen im Internet<br />
sowie e<strong>in</strong>en Downloadbereich, zum Beispiel mit<br />
Verschlüsselungstool<br />
Virenscanner<br />
PC-Firewall-Programm und<br />
Bildschirmschoner<br />
Das Portal <strong>für</strong> IT-Profis:<br />
www.bsi.bund.de<br />
ANHANG DAS <strong>BSI</strong> IM INTERNET<br />
Fachleute und Experten f<strong>in</strong>den hier Informationen unter an<strong>der</strong>em zu den Themen<br />
Internetsicherheit<br />
IT-Grundschutz<br />
Zertifizierung<br />
E-Government<br />
CERT-Bund<br />
Kritische Infrastrukturen<br />
Schadprogramme<br />
sowie H<strong>in</strong>weise auf Veranstaltungen, Schulungen und Publikationen
Herausgeber/Bezugsstelle<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> Informationstechnik – <strong>BSI</strong> / Referat III.21<br />
Godesberger Allee 185-189, D-53175 Bonn<br />
Telefon: +49-(0)228-95 82-0<br />
E-Mail: bsi@bsi.bund.de<br />
Internet: www.bsi.bund.de<br />
Texte und Redaktion<br />
Tobias Mikolasch, <strong>BSI</strong><br />
Thomas Presse & PR, Berl<strong>in</strong>/Bonn<br />
Layout & Gestaltung<br />
Thomas Presse & PR, Berl<strong>in</strong>/Bonn<br />
Grafik: Annette Conradt, Pierre Boom<br />
Screen-Version: Ludwig Lang<br />
Internet: www.thomas-ppr.de<br />
IMPRESSUM<br />
Bildnachweis<br />
Berufsfeuerwehr Frankfurt/Ma<strong>in</strong>, Pierre Boom, <strong>BSI</strong> Referat Öffentlichkeitsarbeit,<br />
Bundesbildstelle, Bundesdruckerei GmbH, Deutsche Bahn AG, Deutsche Bank AG,<br />
Deutscher Bundestag, Andreas Ernst, European Commission Audiovisual Library,<br />
European Space Agency/ESA, Fraport AG, Fujitsu Siemens Computers, Hans Georg Gaul,<br />
Inf<strong>in</strong>eon, Informations- und Medienzentrale <strong>der</strong> Bundeswehr, Paul Langrock/Zenit,<br />
Münchner Verkehrsverbund, OHB Technology AG, Jan Pauls, Marcus Posthumus, Presse-<br />
und Informationszentrum Mar<strong>in</strong>e Glücksburg, Rohde & Schwarz, Sälzer GmbH, Secunet<br />
Security Networks, Siemens Pressebild, Sony Ericsson, Symantec Corporation, Texas<br />
Instruments Inc., Warok Computer & Software GmbH, Frank Weihs<br />
Stand<br />
August 2005<br />
Diese Datei ist Teil <strong>der</strong> Öffentlichkeitsarbeit <strong>der</strong> Bundesregierung;<br />
sie wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt.