IT-Grundschutz: Sichere IT für Betriebe und Behörden

Seit 15 Jahren gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Hinweise für den IT-Grundschutz, "die Basis für Informationssicherheit", heraus. Aus einem kleinen Grundschutz-Handbuch ist mittlerweile ein umfangreicher Katalog mit 3800 Seiten geworden, der 1140 Maßnahmen beschreibt, wie Betriebe und Behörden eine sichere IT betreiben können. Das wurde in Bonn mit einer Geburtstagsveranstaltung gefeiert.

Den Reigen der Festredner eröffnete Udo Helmbrecht, der scheidende Präsident des BSI. Helmbrecht skizzierte den tragenden Gedanken, mit einem Grundschutz IT-Systeme trotz steigender Komplexität beherrschbar zu machen. Zwar habe sich der IT-Grundschutz mittlerweile in vielen Firmen und Behörden als Standard durchgesetzt, doch habe sich der IT-Grundschutz noch nicht als Wirtschaftlichkeitsfaktor etablieren können. Als Beispiel nannte Helmbrecht die Kreditvergabe von Banken, die Firmen mit vorhandenem Grundschutz bessere Konditionen einräumen könnten. Der für den IT-Grundschutz zuständige BSI-Abteilungsleiter Hartmut Isselhorst führte aus, dass allein die BSI-Standards auf 10.000 Downloads im Monat kommen und das BSI mit 5011 registrierten Grundschutz-Anwendern über eine rege Community verfüge. Länder wie Schweden, Estland und demnächst Rumänien haben die auch in englisch frei verfügbaren Dokumente übersetzt, Österreich und die Schweiz landesspezifisch angepasste Versionen veröffentlicht: "Der IT-Grundschutzgedanke breitet sich in Europa aus", erklärte Isselhorst vor dem Hintergrund einer Folie, die Helmbrechts neuen Arbeitsplatz bei der europäischen Sicherheitsagentur Enisa auf Kreta zeigte. Für die Zukunft wünschte sich Isselhorst, dass "Grundschutz-Revisoren" und "Grundschutz-Berater" als anerkannte IT-Berufe geführt werden.

Mit Gerold Hübner, Government Security Director bei Microsoft, begann der Reigen der Gratulanten. Der ehemalige Staatsanwalt witzelte über den Umstand, dass es eigentlich der Angeklagte ist, der das letzte Wort hat und daher Microsoft zum Schluss des Feiertages auftreten müsste. Hübner beklagte den Umstand, dass bei wachsender Komplexität der IT viele Fachleute selbst nicht wissen, "was unter der Haube passiert". Seine Zuhörer machte er auf die Konsequenzen des Wahlcomputerurteils aufmerksam. Auf die IT-Landschaft umgesetzt bedeute es, dass Experten in der Lage sein müssen, gezielte Manipulationen von Hard- und Software erkennen zu können. Initiativen von Microsoft wie das Microsoft Operations Framework oder die gemeinsam von TÜVIT und Microsoft erarbeiten Hinweise zur Grundschutz-Prüfung bezeichnete Hübner als "Push", der einen "messbaren Beitrag zur Sensibiliserung der öffentlichen Hand" geleistet habe. Bei zunehmender Komplexität der IT sei die weitgehende Automatisierung eine Antwort, wie sie etwa mit dem System Center Configuration Manager möglich sei.

Ähnlich wie Hübner beschäftigte sich auch Bundesdatenschützer Peter Schaar in seinem Vortrag mit den Folgen eines Verfassungsgerichtsurteils. Er bezog sich auf das Urteil zur Online-Durchsuchung, das das neue Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme in die Welt gesetzt habe. Dieses Grundrecht habe das informationelle Selbstbestimmungsrecht vorverlagert auf den Schutz von IT-Systemen, ermahnte der Datenschützer die Sicherheitsexperten. Im Spannungsfeld von Sicherheitsinteressen, die auf die Identifizierbarkeit der Nutzer oder auf die DRM-Kontrolle der Inhalte setzt und einem Datenschutz, der Anonymität präferiert, müsse eine Balance gefunden werden. Schaar merkte an, dass dies nicht immer gelingen kann, wenn etwa Ausweiskopien von Inhabern elektronischer Signaturen beim Arbeitgeber liegen und diesem damit Daten zugänglich sind, die er sonst nicht sehen dürfte. Im jedem Fall müssten sich IT-Experten darüber im Klaren sein, dass ausufernde Sicherheitsüberprüfungen zu einer totalen Überwachung führen. Datensparsamkeit und "selbstexekutierende Maßnahmen" der IT-Sicherheit seien ein Ausweg und müssten schon beim Systemdesign berücksichtigt werden.

Als letzter Festredner des Vormittags trat Andreas Hensel vom Bundesinstitut für Risikobewertung auf und stellte sich die Frage, wieviel Risiko "Mensch" die IT überhaupt vertragen kann. Gerade die allzu menschliche Haltung "es wird schon nichts passieren" führe zuverlässig dazu, dass schon etwas passiert. Verlorene Laptops, gestohlene Hardware oder die Nutzung von "liegengelassenen" Datenträgern richten nach Ermittlungen der Risikoforscher weitaus höhere Schäden an als Hackerangriffe. Diese "bewährten" Erkenntnisse führten 1994 zur Einrichtung des IT-Grundschutzes. Am Nachmittag beschäftigte sich die Tagung des BSI mit konkreten Erfahrungen bei der Umsetzung des IT-Grundschutzes. Alle Referate sollen in Kürze auf der Grundschutz-Website verfügbar sein. (Detlef Borchers) / (jk)