Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

15.06.1990 - 

Initiative der Bundesregierung zur Sicherheit in der Informationstechnik

IT-Sicherheit braucht als Basis einheitliche Konzepte

Der sinnvolle Einsatz von Informationstechnik (IT) bestimmt zunehmend die Leistungsfähigkeit von Wirtschaft und Verwaltung. Mit dem Grad der Anwendung, insbesondere vernetzter IT-Systeme, steigt die Abhängigkeit von diesem Hilfsmittel. Dabei stehen die aus wirtschaftlichen Gründen zu fordernden "Offenen Systeme" und ihre unverzichtbare Sicherheit grundsätzlich in Konkurrenz.

Unter Informationstechnik (IT) wird in diesem Beitrag

- die "klassische" Datenverarbeitungstechnik,

- die raumüberbrückende Kommunikationstechnik und

- das weitgefächerte Feld fortschrittlicher Bürotechnik verstanden .

Schwachstellen des IT-Einsatzes erstrecken sich auf

- Beeinträchtigung der Funktionalität (Verlust der Verfügbarkeit),

unbefugte Modifikation von Informationen (Verlust der Integrität) und

- unbefugten Informationsgewinn (Verlust der Vertraulichkeit).

Die Bundesregierung erachtet die angemessene Sicherheit in der IT als unabdingbare Voraussetzung für ihren Einsatz. Je nach vorhandenem Risiko sind unter Beachtung der Verhältnismäßigkeit von aufzuwendenden Mitteln und dem Grad der zu erwartenden Verbesserung der Sicherheit sowie unter Beachtung eines stets verbleibenden Restrisikos die notwendigen Maßnahmen zur Gewährleistung der IT-Sicherheit zu treffen. Es ist davon auszugehen, daß ausgewogene Maßnahmen zur Gewährleistung der Sicherheit in der IT zugleich den Grad der Akzeptanz ihres Einsatzes verbessern.

IT-Richtlinien des Bundes

Der grundsätzliche Anspruch auf Sicherheit in der IT bedingt, daß dieser Anspruch als gleichrangiges Ziel neben die allgemeinen Leistungsmerkmale der IT tritt. Als erforderlich erkannte IT-Sicherheitsmaßnahmen sind auch dann zu treffen, wenn sie die Lösung einer Aufgabe erschweren. An dieser Stelle muß deutlich gemacht werden, daß bei nicht erfüllbaren Sicherheitsforderungen vom IT-Einsatz abzusehen ist.

Das Bundeskabinett hat für den geordneten Einsatz von IT in der Bundesverwaltung als eine der wesentlichen Maßnahmen am 18. August 1988 die "Richtlinien für den Einsatz der Informationstechnik (IT-Richtlinien)" (GMB1 Nr. 26 vom 4. 10. 88) beschlossen.

Die IT-Richtlinien schreiben unter anderem vor, daß die Bundesbehörden jährlich zu überarbeitende IT-Rahmenkonzepte aufzustellen haben. Diese müssen ein "Konzept und Maßnahmen für die Sicherheit beim Einsatz der IT" enthalten. Sie sind jährlich zu überprüfen, fortzuschreiben und mit der Koordinierungs- und Beratungsstelle der Bundesregierung für Informationstechnik in der Bundesverwaltung (KBSt) abzustimmen. Der positive Abschluß dieses Abstimmungsverfahrens ist Voraussetzung für die Haushaltsreife der einzelnen IT-Vorhaben.

Insbesondere ist bei der Aufstellung der in die IT-Rahmenkonzepte zu integrierenden IT-Sicherheitskonzepte nach dieser Richtlinie zu beachten: "Die Folgen des Ausfalls und nicht ordnungsgemäßer insbesondere mißbräuchlicher Nutzung von IT-Einrichtungen für die Aufgabenerfüllung sind zu prüfen.

Die festgestellten Risiken und Auswirkungen sind unter Beachtung der Wirtschaftlichkeit durch organisatorische, personelle und technische Maßnahmen zu begrenzen. Erforderlichenfalls muß von dem IT-Vorhaben abgesehen werden.

Das Sicherheitsrahmenkonzept des Bundes

Beim Einsatz der IT sind Vorkehrungen zur Gewährleistung der Vollständigkeit, Richtigkeit und Aktualität der zu verarbeitenden Daten sowie ordnungsgemäßer und fachlich fehlerfreier Verfahrensabläufe (Daten- und Verfahrenssicherheit) zu treffen."

Als weitere Maßnahme zur Verbesserung der Sicherheit bei der Anwendung der IT hat das

Bundeskabinett am 23. November l989 das mit den zuständigen Herstellerverbänden sowie

dem Bundesbeauftragten für den Datenschutz abgestimmte "IT-Sicherheitsrahmenkonzept" gebilligt.

Das IT-Sicherheitsrahmenkonzept zeigt auf, wie den Risiken bei Anwendung der IT

künftig begegnet werden soll. Es ist ein umfassendes Konzept für die Sicherheit der modernen IT unter Berücksichtigung von Arbeitsplatzcomputern und vernetzter Systeme. Es ergänzt

- die Richtlinien für den Einsatz der Informationstechnik in der Bundesverwaltung - IT- Richtlinien - (Abschnitt 2.1) und

- das Zukunftskonzept Informationstechnik (Beschluß der Bundesregierung vom 6. 7. 1989).

Die Bundesbehörden erstellen ihre IT-Rahmenkonzepte inzwischen nach den unter 2.1 und 2..2 beschriebenen Richtlinien.

In der Anlaufphase der IT-Sicherheitskonzepte (Jahre 1990 und 1991) gelten für diese Teile der Rahmenkonzepte noch Übergangsregelungen. Die KBSt wird künftig den IT-Rahmenkonzepten nur bei Vorliegen angemessener IT-Sicherheitskonzepte zustimmen.

Das Bundesamt für Sicherheit in der IT

Das Bundeskabinett hat unter besonderer Würdigung der Sicherheit in der IT am 21. Februar 1990 den Entwurf eines Gesetzes zur Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschlossen. Es ist vorgesehen, diese Bundesbehörde im Geschäftsbereich des Bundesministeriums des Innern zu errichten. Das BSI soll als Nachfolgeorganisation der schon bisher mit Fragen der IT-Sicherheit befaßten Zentralstelle für Sicherheit in der Informationstechnik (ZSI) künftig für alle sensiblen Anwendungsbereiche in Wirtschaft und Verwaltung genutzt werden.

Das BSI wird als zivile Behörde mit dem Ziel der Förderung der Sicherheit in der IT eingerichtet. Die Aufgaben des BSI sind in Paragraph 3 des Entwurfs des Errichtungsgesetzes festgelegt.

Im wesentlichen handelt es sich um folgende Aufgaben:

l. Untersuchung von Sicherheitsrisiken bei Anwendung der IT sowie Entwicklung von Sicherheitsvorkehrungen, ..., soweit dies zur Erfüllung der Aufgaben des Bundes erforderlich ist.

2. Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von IT-Systemen oder Komponenten.

3. Prüfung und Bewertung der Sicherheit von IT-Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten.

4. Zulassung von IT-Systemen oder Komponenten, die im Bereich des Bundes ... für die Verarbeitung oder Übertragung amtlich geheimgehaltener Informationen (Verschlußsachen) eingesetzt werden sollen, ...

5. Unterstützung der für die Sicherheit in der IT zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen, ...

6. Unterstützung der zuständigen Behörden des Bundes bei der vorbeugenden Verbrechensbekämpfung, ...

7. Allgemeine Beratung der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der IT.

Aus Anwendersicht kommt der Beratung (Aufgabe 7) und der Prüfung und Bewertung von IT-Systemen (Aufgabe 3) besonders hohe Bedeutung zu.

Für die Vergabe von Sicherheitszertifikaten wird dem BSI keine Monopolstellung eingeräumt. Es hat sich vielmehr dem Wettbewerb mit anderen Prüfinstitutionen zu stellen.

Es wird erwartet, daß der Gesetzentwurf über die Errichtung des BSI noch in dieser Legislaturperiode verabschiedet wird.

IT-Sicherheitskriterien - ein einheitlicher Maßstab

Die ZSI hat als einheitlichen Maßstab für die Sicherheit von IT-Produkten "Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (IT-Sicherheitskriterien") herausgegeben (GMB1 Nr. 15 vom 1. 6. 89 und Bundesanzeiger Nr. 99/89). Sie sind eine Fortentwicklung des "Orange Book" des Department of Defense der USA. Die ZSI hat die IT-Sicherheitskriterien unter Beteiligung von Wirtschaft und Wissenschaft erarbeitet. Im Sinne der BSI-Aufgaben (Abschnitt 2.3) ist zur Zeit die ZSI für die IT-Sicherheitskriterien zuständig. Die ZSI prüft und bewertet IT-Systeme anhand dieser Kriterien.

IT-Evaluationshandbuch: Basis der Zertifizierung

Das im Entwurf fertiggestellte "Handbuch für die Prüfung der Sicherheit von Systemen der Informationstechnik" (IT-Evaluationshandbuch) baut auf die IT-Sicherheitskriterien (Abschnitt 2.4) auf. Es wurde - wie die IT-Sicherheitskriterien - unter Beteiligung von Wirtschaft und Industrie erarbeitet. Das Handbuch beschreibt, wie IT-Systeme oder Komponenten nach den IT-Sicherheitskriterien zu prüfen sind. Die endgültige Vergabe von Zertifikaten für erfolgreich geprüfte Produkte bedarf noch des Abschlusses des BSI-Gesetzgebungsverfahrens sowie der Klärung einiger fachlicher Randbedingungen.

Grundsätzlich kann bereits heute nach dem IT-Evaluationshandbuch verfahren werden. Es wird aber ebenso wie die IT-Sicherheitskriterien nach Bedarf fortgeschrieben werden.

Mit Nachdruck betreiben die in der Bundesrepublik Deutschland beteiligten Stellen (insbesondere das Bundesministerium des Innern und die ZSI sowie das Bundesministerium für Wirtschaft) die zumindest europaweite Harmonisierung und Einführung der beiden genannten Handbücher sowie die gegenseitige Anerkennung der Prüfungsergebnisse (Abschnitte 3.1 und 3.2).

IT-Sicherheitshandbuch: Hinweise zum APC-Einsatz

Mit dem IT-Sicherheitshandbuch, das zur Zeit erstellt wird, sollen die IT-Anwender in Wirtschaft, Wissenschaft und Verwaltung auf bestehende Gefahren hingewiesen werden. Das Handbuch soll ihnen helfen, ihren Sicherheitsbedarf zu ermitteln, anwendungsbezogene Sicherheitskonzepte zu entwickeln und diese Konzepte umzusetzen.

Dies gilt insbesondere für die Erstellung des unter 2.1 und 2.2 beschriebenen IT-Sicherheitsrahmenkonzeptes. Entsprechend bilden die Kapitel Risikoanalyse, Gefahrenanalyse, Erstellung eines Sicherheitskonzepts und Systemauswahl den Schwerpunkt des Werks.

Das IT-Sicherheitshandbuch wird eine Brücke schaffen zwischen beim Anwender vorhandenen konkreten Risiken und Gefahren und auszuwählenden angemessenen IT-Sicherheitsmaßnahmen.

Das IT-Sicherheitshandbuch soll im Entwurf im März 1991 vorliegen. Im Vorgriff auf das gesamte Werk wurde bereits der wichtige Abschnitt "Hinweise zur Sicherheit beim Einsatz von Arbeitsplatzcomputern" als Entwurf vorgestellt. Die fachliche Beratung dieses Teils ist im Kreis der zuständigen IT-Beauftragten der Bundesressorts für April 1990 vorgesehen. Es ist geplant, diese "Hinweise" so früh wie möglich vorab zu veröffentlichen .

Der IT-Einsatz kann durch plötzlich oder überraschend auftretende Risiken, unter anderem auch durch Hacker, Computerviren und so weiter bedroht werden.

Um diesen Gefährdungen schnell und wirkungsvoll zu begegnen, müssen

- diesbezügliche sicherheitsrelevante Informationen nach einem gut zu organisierenden Verfahren gesammelt,

- qualifiziert ausgewertet und

- geeignete Warnmeldungen an die IT-Anwender herausgegeben werden.

Zu diesem Zweck wurde der Kommunikationsplan IT-Sicherheit (KITS) erarbeitet und eingeführt.

Federführend für die Entgegennahme von Informationen über mögliche Gefährdungen ist das für die allgemeine Verbrechensbekämpfung zuständige Bundeskriminalamt (BKA). Es arbeitet bei der Informationsaufnahme und bei ihrer Bewertung mit anderen Bundes- und Landesdienststellen zusammen.

Bei konkreten Bedrohungen gibt das BKA Warnmeldungen heraus, die unter anderem Angaben über Art und Zeitpunkt der Bedrohungen, über voraussichtlich betroffene beziehungsweise gefährdete IT-Systeme, über mögliche Schwachstellen dieser Systeme sowie über zu empfehlende Sicherheitsmaßnahmen enthält.

Dem BKA können Informationen über mögliche Gefährdungen aus beliebigen Anwenderbereichen (Wirtschaft, Wissenschaft, öffentliche Verwaltung) zugeleitet werden. Die Behörden beziehungsweise Verbände etc. der IT-Anwender und -Hersteller werden vom BKA nach einem sorgfältig abgestimmten Plan über konkrete Bedrohungen informiert.

Das Anfang 1989 eingeführte Verfahren KITS hat sich bereits mehrfach bewährt. Es wird durch regelmäßige Sitzungen der für KITS Verantwortlichen ständig verbessert.

Zusammenarbeit bei der IT-Sicherheit

Europäische Zusammenarbeit: Im Vorgriff auf eine angestrebte Zusammenarbeit aller Nationen Europas haben für Fragen der IT-Sicherheit zuständige Vertreter Großbritanniens, Frankreichs, der Niederlande und der Bundesrepublik Deutschland ("Vierergruppe") eine enge Zusammenarbeit für diesen Bereich vereinbart.

Die von der Kommission der Europäischen Gemeinschaften (KEG) begrüßte Zusammenarbeit soll in möglichst kurzer Zeit zur Verabschiedung und Einführung harmonisierter Verfahren und so weiter zur Verbesserung der Sicherheit in der IT führen.

Im Vordergrund der umfassenden Bemühungen stehen zur Zeit die baldige Einführung der unter 2.4 und 2.5 beschriebenen harmonisierten IT-Sicherheitskriterien und des IT-Evaluationshandbuchs. Bereits Anfang Mai 1990 wird der zwischen den genannten Nationen abgestimmte Entwurf der IT-Sicherheitskriterien zur Verfügung stehen.

Die KEG schätzt die Arbeiten der europäischen "Vierergruppe" hoch ein. Diese Bewertung zeigt sich auch darin, daß die KEG beabsichtigt, im September 1990 eine EG-Fachkonferenz über harmonisierte IT-Sicherheitskriterien durchzuführen und dabei den Vorsitz zu übernehmen.

Ziel der Bemühungen ist es, im Interesse sowohl der IT-Anwender als auch der IT-Hersteller möglichst bald zu europaweit (unter Umständen weltweit) harmonisierten und eingeführten IT-Sicherheitskriterien zu kommen und ebenso harmonisierte Verfahren der Evaluierung und Zertifizierung anzuwenden.

Weitere Schritte - zumindest europaweites einheitliches Vorgehen - im Bereich der IT-Sicherheit sind in Kürze zu erwarten. Weltweite Zusammenarbeit: Unter der Federführung Kanadas arbeiten in der International Public Sector IT-Group (IPSIT) Regierungsvertreter westlicher Industrienationen und Vertreter der EG zusammen. IPSIT fördert beziehungsweise erarbeitet

- Beschaffungsrichtlinien für die Anwendung "Offener Systeme" (vergleichbar mit dem unter 4.2 beschriebenen Vorhaben),

- Vorschläge für die internationale Normung für "Offene Systeme, einschließlich Electronic Mail etc. sowie für den Bereich der IT-Sicherheit,

- Vorschläge zur Verbesserung der IT-Sicherheit.

Es wird unterstellt, daß IPSIT als Vertreter der IT-Anwender öffentlicher Verwaltungen eine besondere Rolle bei der Umsetzung der im europäischen Rahmen erarbeiteten beziehungsweise vorbereiteten Maßnahmen zur Verbesserung der IT-Sicherheit spielen wird (insbesondere Abschnitte 2.4 bis 2.6 und 4.2).

Übergreifende und internationale Vorhaben

Konzept für die kommunikationstechnische Infrastruktur der Bundesverwaltung (KIB)

Das Bundesministerium des Innern hat die Studie "Konzept für die kommunikationstechnische Infrastruktur der Bundesverwaltung" (KIB) in Auftrag gegeben. Die Studie liegt inzwischen vor. KIB beschreibt auf der Grundlage des ermittelten IT-Bedarfs und des IT-Sicherheitsbedarfs ein Konzept für die zukünftige IT-Kommunikation der Bundesverwaltung. Wesentliche Empfehlungen betreffen die Gewährleistung der IT-Sicherheit. Im übrigen enthalten nahezu alle Abschnitte der Studie Hinweise auf Fragen der Sicherheit in der IT.

Die KIB-Studie empfiehlt unter anderem

- bei der Umsetzung der Studie zugrunde zu legende Sicherheitsvorschriften festzulegen, zu vereinbaren, was zu schützen ist, welche Bedrohungen relevant sind und welche organisatorischen und technischen Maßnahmen zur Gefahrenabwehr zu treffen sind sowie

- abgestufte und ausgewogene "Sicherheitsdienste" insbesondere für die Sprachkommunikation und den Dokumentenaustausch einzuführen.

Allgemein wird durch KIB empfohlen, die gesicherte Kommunikation auf der Grundlage genormter Verfahren für "Offene Systeme" zu verwirklichen. Ziel ist dabei die Nutzung möglichst derselben Endgeräte (Fernsprecher, Terminal, APC) sowohl für die allgemeine als auch für die besonders gesicherte Kommunikation.

Nach dem für Mitte bis Ende 1990 erwarteten Abschluß der verwaltungsinternen Diskussion der KIB-Studie ist mit der Umsetzung in den nächsten fünf bis zehn Jahren zu rechnen. Dabei werden die mit der Wiedervereinigung zusammenhängenden Fragen zu berücksichtigen sein.

European Procurement Handbook for Open Systems (Ephos)

Die öffentlichen Beschaffer der EG-Mitgliedstaaten sind verpflichtet, bei IT-Beschaffungen den EG-Ratsbeschluß 87/95 vom 22. 12. 86 (EG-Amstblatt Nr. L 36/31 vom 7. 2. 87) über die Normung auf dem Gebiet der Informationstechnik und der Telekommunikation zu beachten. Eingehende Umsetzungshilfen für die öffentlichen Beschaffer fehlen zur Zeit noch.

Im Februar 1990 wurde daher das aus EG-Mitteln finanzierte Gemeinschaftsvorhaben European Procurement Handbook for Open Systems (Ephos) gestartet. Ephos wird von Großbritannien, Frankreich und der Bundesrepublik Deutschland durchgeführt. Die übrigen EG-

Mitgliedstaaten werden laufend über den Fortgang der Arbeiten verständigt.

Im Rahmen dieses Vorhabens sollen vereinheitlichte europäische Beschaffungsspezifikationen für den IT-Bereich erarbeitet und eingeführt werden. Grundlage der Arbeiten sind internationale und europäische Normen. Das vorgesehene Beschaffungshandbuch soll zunächst die wesentlichen Abschnitte Dateitransfer, elektronische Post, Kommunikation über öffentliche Netzwerke (WAN), elektronischer Datenaustausch (EDI) und IT-Sicherheit umfassen. Für das in zwei Phasen abzuwickelnde Vorhaben wird die Bundesrepublik Deutschland in Phase 1 das Kapitel Dateitransfer und in Phase 2 das Kapitel IT-Sicherheit erstellen.

Nähere Einzelheiten dürften im Frühsommer 1990 vorliegen. Ergebnisse der Arbeiten der ersten Phase werden für Ende l990/Anfang 1991 erwartet. Zu diesem Zeitpunkt sollte auch die Struktur des (unter anderem wegen des unzureichenden Standes der internationalen Normung) schwierigen Kapitels IT-Sicherheit erarbeitet sein. Die zweite Phase wird voraussichtlich 1992 abgeschlossen werden können.