Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Innenministerium: Mehr Biss für die IT-Sicherheit des Bundes

Das Bundesinnenministerium plant, das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit umfangreichen Kompetenzen zu Vorgaben für die IT-Konfiguration beim Bund und zur Abwehr von Schadprogrammen auszustatten.

In Pocket speichern vorlesen Druckansicht 93 Kommentare lesen
Lesezeit: 6 Min.
Security
Von

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll einen stärkeren Einfluss auf die Gestaltung der IT-Infrastrukturen des Bundes gewinnen. Geplant ist, dass die dem Bundesinnenministerium angeschlossene Bonner Behörde eigene Befugnisse zur Erhöhung der IT-Sicherheit in der Bundesverwaltung und zur Abwehr von Gefahren für die Informationstechnik des Bundes erhält. Dazu gehören sollen Kompetenzen zur Abfrage von Verbindungs- und Nutzungsdaten aus der Telekommunikation. Dies geht aus einem heise online vorliegenden Referentenentwurf für eine erste Novelle des "BSI-Errichtungsgesetzes" hervor, den das federführende Bundesinnenministerium Anfang Dezember an Branchenverbände mit Bitte um Stellungnahme innerhalb einer Woche verschickte.

IT-Sicherheit ist ein wesentlicher Bestandteil der inneren und äußeren Sicherheit der Bundesrepublik, heißt es in dem Papier. Die Verwaltung sei auf sichere und verfügbare Kommunikationstechnik angewiesen. Der Gefahr, dass angesichts der zunehmenden Vernetzung gewachsener IT-Strukturen Schwachstellen an einer Stelle ein Eindringen in die IT-Systeme einer Vielzahl von Behörden ermöglichen, könne nur durch die Festlegung einheitlicher und strenger Sicherheitsstandards durch eine zentrale Stelle auf Bundesebene begegnet werden.

Das BSI soll daher als zentrale Meldestelle Informationen über Sicherheitslücken und neue Angriffsmuster sammeln, auswerten und Informationen oder Warnungen an die betroffenen Stellen oder die Öffentlichkeit weitergeben. Sie darf Vorgaben für die Konfiguration der IT machen und Maßnahmen zur "Abwehr konkreter Gefahren" durchführen. Den Großteil der zukünftig anfallenden administrativen Aufgaben erfülle das BSI bereits in Form "unverbindlicher Beratungsangebote und im Rahmen von Amtshilfeersuchen", schreibt das Ministerium. Bei unveränderter Sicherheitslage sei daher nur mit einer geringfügigen Erhöhung des Vollzugsaufwands zu rechnen. Die Behörde benötige rund zehn zusätzliche Planstellen. Dazu kämen weitere Personal- und Sachkosten in Höhe von rund 1,2 Millionen Euro jährlich. Kosten für die Wirtschaft gibt der Entwurf nicht an, obwohl die angehobenen Zertifizierungshürden sicher auf den Geldbeutel von Zulieferern drücken dürften.

Konkret soll dem BSI in verschiedenen Bereichen "die Prüfung und Bestätigung der Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien" des Amtes übertragen werden. Es soll auch für das Erstellen von Verschlüsselungssystemen des Bundes verantwortlich sein, die etwa im Bereich des staatlichen Geheimschutzes eingesetzt werden, und sicherheitstechnische Anforderungen an die einzusetzende Informationstechnik sowie an die Eignung von Auftragnehmern bei besonderem Schutzbedarf aufstellen. Hinzukommen soll der Aufbau geeigneter Kommunikationsstrukturen zur Früherkennung und Bewältigung von Krisen. Auch die Koordinierung der Zusammenarbeit zum Schutz kritischer Informationsinfrastrukturen im Verbund mit der Privatwirtschaft soll der Behörde anheim fallen.

Weit reichen die geplanten Kompetenzen des Amtes zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes. Dazu sollen "Protokolldaten", die beim Betrieb anfallen, erhoben und automatisiert ausgewertet dürfen. Gemeint sind Steuerinformationen zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs transferiert oder an den beteiligten Servern gespeichert werden. Dies können auch Verbindungs- und Standortdaten sowie weitere Nutzungsinformationen sein. Bedingung für die Datenverarbeitung: Sie muss zum Erkennen, Eingrenzen oder zu Beseitigung von Störungen oder Fehlern oder von Angriffen auf die IT des Bundes erforderlich sein. Das Papier sieht eine Speichererlaubnis der Protokollinformationen von bis zu drei Monaten vor, wenn "tatsächliche" Anhaltspunkte bestehen, dass die Daten zur Gefahrenabwehr nötig sein könnten. Weiter dürfen BSI-Mitarbeiter dem Vorstoß nach die an den "Schnittstellen" der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist.

Anfallende personenbezogene Daten soll das BSI an die Polizeien des Bundes und der Länder, an Strafverfolgungsbehörden und sonstige öffentliche Stellen übermitteln können. Voraussetzung ist, dass die Informationen zur Abwehr einer Gefahr für hohe Rechtsgüter wie Leib oder Leben einer Person oder für Sachen von bedeutendem Wert geboten oder zur Verfolgung von Straftaten, bei denen ein Auskunftsverlangen gemäß Strafprozessordnung zulässig wäre. Eine inhaltliche Auswertung der Daten soll nicht gestattet sein. Falls trotzdem Erkenntnisse aus dem absolut geschützten Kernbereich privater Lebensgestaltung oder andere besonders sensitive Daten erlangt würden, "dürfen diese nicht verwendet werden". Gebe es Zweifel an der Berührung der Intimsphäre, seien die Daten entweder zu löschen oder dem Innenministerium zur Entscheidung vorzulegen.

Firmen oder Verwaltungseinheiten sollen für bestimmte Produkte oder Leistungen beim BSI eine Sicherheits- oder Personenzertifizierung oder eine Begutachtung als IT-Sicherheitsdienstleister beantragen können. Ein entsprechendes Gütesiegel werde erteilt, wenn Systeme, Komponenten, Produkte oder Schutzprofile beziehungsweise die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit den vom Amt festgelegten Kriterien entsprechen und das Innenressort zustimmt. Auch Sicherheitszertifikate anderer anerkannter Prüfstellen aus der EU seien vom BSI gesondert anzuerkennen.

Die Bundesnetzagentur soll in Rückkopplung mit dem BSI und dem Bundesdatenschutzbeauftragten einen Katalog von Sicherheitsanforderungen für das Betreiben von TK- und IT-Systemen beim Bund erstellen. Den Herstellern und Betreibern von TK-Anlagen sei dabei "Gelegenheit zur Stellungnahme" zu geben. Weiter wird dem Regulierer ins Aufgabenbuch geschrieben, die Umsetzung dieses Sicherheitskonzepts "in regelmäßigen Abständen unter Berücksichtigung der Bedeutung der TK-Anlage zu kontrollieren.

In früheren Entwürfen hatte das Innenministerium noch umfassendere Kontrollermächtigungen für das BSI vorgesehen. So sollte das Amt dazu befähigt werden, Geschäftsräume eines Betreibers von Kommunikationstechnik des Bundes innerhalb der üblichen Betriebs- und Geschäftszeiten zu betreten. Weiter sollte es sich zur Gefahrenabwehr Zugang zu Gebäuden, Einrichtungen und informationstechnischen Systemen verschaffen dürfen, "die für den Betrieb der betroffenen Informationstechnik von Bedeutung sind und die Steuerung solcher Einrichtungen übernehmen". Ambitioniert ist weiterhin der Zeitplan des Gesetzesverfahren. So will das Bundeskabinett bereits am kommenden Mittwoch den etwas entschärften Entwurf beschließen, in Kraft treten soll das Vorhaben 2010.

Siehe dazu auch:

(Stefan Krempl) (jk)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten