Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

23.03.1990 - 

Entwurf eines Gesetzes für ein neues

Bundesamt für Sicherheit in der Informationstechnik

A. Zielsetzung

Viele Bereiche von Wirtschaft und Verwaltung sind bereits heute von dem einwandfreien Funktionieren der Informationstechnik abhängig. Mit dem zunehmenden Einsatz der Informationstechnik steigen auch die Risiken durch unrichtige, unbefugt gesteuerte, fehlende oder rechtsgutgefährdende Informationen. Um die Verletzlichkeit der modernen Informationsgesellschaft zu begrenzen, muß bei der Entwicklung und dem Einsatz informationstechnischer Systeme oder Komponenten künftig die Sicherheit als gleichrangiges Ziel zu den Leistungszielen hinzukommen. Zu diesem Zweck sollen die Hersteller, Vertreiber und Anwender informationstechnischer Systeme oder Komponenten in Fragen der Sicherheit beraten und für geeignete Systeme oder Komponenten auf Antrag des Herstellers oder Vertreibers Sicherheitszertifikate vergeben werden. Neben Sicherheitsvorkehrungen in informationstechnischen Systemen oder Komponenten bedarf es - ergänzend oder alternativ - Sicherheitsvorkehrungen bei deren Anwendung.

Im übrigen müssen allgemein kriminell, extremistisch oder nachrichtendienstlich motivierte Einbrüche in informationstechnische Systeme rechtzeitig erkannt, ihre Auswirkungen bewertet und Möglichkeiten der sachlichen Beweisführung aufgezeigt werden. Zu diesem Zweck soll für die Strafverfolgungs-, Polizei- und Verfassungsschutzbehörden des Bundes zentral der erforderliche Sachverstand bereitgestellt werden.

B. Lösung

Die schon bisher mit Fragen der Sicherheit in der Informationstechnik befaßte "Zentralstelle für Sicherheit in der Informationstechnik (ZSI)" - allerdings nur im Rahmen des staatlichen Geheimschutzes - soll künftig auch für alle sensitiven Anwendungsbereiche tätig werden, insbesondere auch für Zwecke des Datenschutzes. Nur sie verfügt bereits über die erforderlichen Erfahrungen und Kenntnisse sowie über das Fachpersonal und die Technik in diesem Aufgabengebiet. Als Behörde verfügt sie auch über die für die Wahrnehmung der Aufgabe erforderlichen Zugänge zu den staatlichen Sicherheitsinformationen.

Die vorgesehene Vergabe von Sicherheitszertifikaten stärkt auch die Wettbewerbsposition der auf dem deutschen Markt vertretenen Hersteller, soweit sie sich zum Beispiel gegenüber US-Herstellern mit dem behördlichen Sicherheitszertifikaten international behaupten müssen .

Die neue Behörde ist zugleich dafür prädestiniert, die Strafverfolgungs-, Polizei- und Verfassungsschutzbehörden mit ihrem Sachverstand zu unterstützen, soweit rechtswidrige Handlungen gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen.

C. Alternativen

Keine

D. Finanzielle Auswirkungen

Die im Gesetzentwurf vorgesehene Einrichtung eines neuen Bundesamtes wird - nach Abzug von 153 Stellen und Mitteln in Höhe von rund 37 Millionen Mark, die 1991 von der ZSI auf das Bundesamt umgesetzt werden - voraussichtlich zu folgenden zusätzlichen Belastungen des Bundeshaushalts führen :

1. Sachkosten werden sich 1991 - 1994 im Durchschnitt jeweils um bis zu 7,0 Millionen Mark p.a. erhöhen; hiervon entfallen durchschnittlich 4,5 Millionen Mark p.a. auf die organisatorische und räumliche Abtrennung des Bundesamtes von der bisherigen Verwaltungseinrichtung.

2. Darüber hinaus ist mit jährlich steigenden Personalausgaben für zusätzliche Planstellen/ Stellen zu rechnen, nämlich: 1991 bis zu 60 Planstellen/Stellen (davon 50 trennungsbedingt); 1992 bis zu 20 Planstellen/Stellen; 1993 bis zu 22 Planstellen/Stellen; 1994 bis zu 15 Planstellen/Stellen.

3. Trennungsbedingt werden bei der bisherigen Verwaltungseinrichtung - außer Sachkosten bis zu 4,2 Millionen Mark 1991 und bis zu 0,5 Millionen Mark in Folgejahren - höchstens 16 Planstellen/Stellen 1991 benötigt.

Entwurf

Der Bundestag hat das folgende Gesetz beschlossen:

° 1 Bundesamt für Sicherheit in der Informationstechnik

Der Bund errichtet das Bundesamt für Sicherheit in der Informationstechnik als Bundesbehörde. Es untersteht dem Bundesminister des Innern.

° 2 Begriffsbestimmungen

1) Die Informationstechnik im Sinne dieses Gesetzes umfaßt alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen.

(2) Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertrautlichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

1. in informationstechnischen Systemen oder Komponenten oder

2. bei der Anwendung von informationstechnischen Systemen oder Komponenten.

° 3 Aufgaben des Bundesamtes

Das Bundesamt hat zur Förderung der Sicherheit in der Informationstechnik folgende Aufgaben:

1. Untersuchung von Sicherheitsrisiken bei der Anwendung der Informationstechnik sowie

Entwicklung von Sicherheits vorkehrungen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik, soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist.

2.. Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten .

3. Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten.

4. Zulassung von informationstechnischen Systemen oder Komponenten, die im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes für die Verarbeitung oder Übertragung amtlich geheimgehaltener Informationen (Verschlußsachen) eingesetzt werden sollen, sowie die Herstellung der Schlüsseldaten, die für den Betrieb zugelassener Verschlüsselungsgeräte benötigt werden.

5. Unterstützung der für Sicherheit in der informationstechnik zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- und Kontrollaufgaben wahrnehmen; soweit der Bundesbeauftragte für den Datenschutz unterstützt wird, geschieht dies im Rahmen der Unabhängigkeit, die ihm die Erfüllung seiner Aufgaben nach dem Bundesdatenschutzgesetz zugesteht.

6. Unterstützung der zuständigen Behörden des Bundes bei der Verhütung und Verfolgung von Straftaten sowie bei der Beobachtung der in ° 3 Abs.1 des Gesetzes über die Zusammenarbeit des Bundes und der Länder in Angelegenheiten des Verfassungsschutzes genannten Bestrebungen und Tätigkeiten, soweit dies erforderlich ist, um strafbare Handlungen, Bestrebungen oder Tätigkeiten, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen, zu verhindern oder zu erforschen.

7. allgemeine Beratung der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik.

° 4 Sicherheitszertifikat

(1) Hersteller und Vertreiber können für informationstechnische Systeme bei dem Bundesamt ein Sicherheitszertifikat beantragen. Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Zahl und des Umfangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann und an der Erteilung eines Sicherheitszertifikats ein öffentliches Interesse besteht. Der Antragsteller legt dem Bundesamt die Unterlagen vor und erteilt die Auskünfte, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente sowie für die Erteilung des Sicherheitszertifikats erforderlich ist.

(2) Das Bundesamt kann im Einvernehmen mit dem Antragsteller sachverständige Stellen mit der Prüfung und Bewertung beauftragen.

(3) Das Sicherheitszertifikat wird erteilt, wenn

1. ein informationstechnisches System oder eine informationstechnische Komponente den vom Bundesamt festgelegten oder allgemein anerkannten Sicherheitskriterien entspricht und

2. überwiegend öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland der Erteilung nicht entgegenstehen.

(4) Sicherheitszertifikate anderer anerkannter Prüfstellen aus dem Bereich der Europäischen Gemeinschaft werden vom Bundesamt anerkannt, soweit sie eine den Sicherheitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen.

° 5 Ermächtigung

(1) Der Bundesminister des Innern bestimmt nach Anhörung der betroffenen Wirtschaftsverbände durch Rechtsverordnung das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten nach ° 4 und deren Inhalt.

(2) Für Amtshandlungen nach diesem Gesetz und nach den zur Durchführung dieses Gesetzes erlassenen Rechtsverordnungen werden Gebühren und Auslagen erhoben. Die Höhe der Gebühren richtet sich nach dem mit den Amtshandlungen verbundenen Verwaltungsaufwand. Der Bundesminister des Innern bestimmt im Einvernehmen mit dem Bundesminister für Finanzen durch Rechtsverordnung die gebührenpflichtigen Tatbestände und die Gebührensätze. (Aus Platzgründen wurde der Text gekürzt)