Informationsgesellschaft SICHERHEIT ALLGEMEIN Artikel 01.09.2009 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz)
Aufgabe des BSI ist die Förderung der Sicherheit in der Informationstechnik
(§ 3 Absatz 1 Satz 1 BSIG). Zur Erfüllung dieser Aufgabe beschäftigt das BSI derzeit etwa 500 Mitarbeiter.
Durch das neue BSI-Gesetz soll das BSI in die Lage versetzt werden, mit der technischen Entwicklung weiter Schritt zu halten und insbesondere die erforderlichen Sicherungsmaßnahmen zum Schutz der Informationstechnik der Bundesverwaltung umzusetzen. Denn auch die Verwaltung ist auf sichere und verfügbare Kommunikationsnetze angewiesen. Ohne einheitliche hohe Sicherheitsstandards und eine klare Kompetenzverteilung innerhalb der Bundesverwaltung wächst die Gefahr, dass Schwachstellen ein Eindringen in die IT-Systeme einer Vielzahl von Behörden ermöglichen. Aber auch die IT-Sicherheit bei Bürgern und Unternehmen soll durch das BSI gestärkt werden.
Warnung vor Sicherheitslücken und Schadprogrammen
Das BSI ist die zentrale Meldestelle für IT-Sicherheit innerhalb der Bundesverwaltung (§ 4 BSIG). Als solche betreibt das BSI ein Computer Emergency Response Team (CERT), das Informationen über Sicherheitslücken und neue Angriffsmuster sammelt, auswertet und Informationen und Warnungen an die betroffenen Stellen oder die Öffentlichkeit weitergibt. Jeder technisch interessierte Bürger kann die aktuellen Warnhinweise des BSI über das Bürger-CERT des BSI (www.buerger-cert.de) abrufen. Soweit erforderlich, kann das BSI auch konkret vor dem Einsatz bestimmter Produkte warnen oder Empfehlungen für deren Absicherung geben (§ 7 BSIG).
Absicherung der Informationstechnik der Bundesverwaltung
Zum Schutz der IT der Bundesverwaltung kann das BSI außerdem in den IT-Netzen der Behörden zentral nach Schadprogrammen suchen. Vergleichbar einem großen Virenscanner überprüft das BSI an den zentralen Netzknoten innerhalb der Verwaltung den Datenverkehr grundsätzlich automatisiert auf Schadprogramme (§ 5 Absatz 1 BSIG).
Durch zahlreiche technische und rechtliche Vorkehrungen wird sichergestellt, dass Schadprogramme aus den Netzen der Bundesverwaltung ausgefiltert werden können, ohne die Vertraulichkeit der Kommunikation der Bürger mit der Verwaltung zu stören. So erfolgt die Auswertung grundsätzlich nur automatisiert und unterliegt strengen Kontrollen (§ 5 Absatz 4, 9 und 10 BSIG). Logdateien, wie sie in jedem größeren Unternehmen anfallen, speichert das BSI ausschließlich in pseudonymsierter Form.
Erkenntnisse über mittels des Schadprogramms versuchte oder begangene Straftaten darf das BSI an die zuständigen Strafverfolgungsbehörden weitergeben (§ 5 Absatz 5 BSIG). Sonstige Zufallsfunde unterliegen hingegen einer strengen Zweckbindung und sind in der Regel unverzüglich zu löschen (§5 Absatz 6 und 7 BSIG).
Sicherheitsstandards für die Bundesverwaltung
Besondere Bedeutung hat die Absicherung und Härtung der Informationstechnik. Angesichts der besonderen Bedrohungen für die Informations- und Kommunikationstechnik der Bundesverwaltung entwickelt das BSI daher für die Bundesbehörden verbindliche Sicherheitsstandards für die Beschaffung und den Einsatz von IT (§ 8 BSIG).
BSI-Sicherheitszertifikat als Qualitätsnachweis
Hersteller besonders sicherer Produkte haben die Möglichkeit, diese durch das BSI genau untersuchen und die Sicherheit durch ein Sicherheitszertifikat des BSI als Qualitätsnachweis bestätigten zu lassen. Auch Dienstleister können ihre Kompetenz nachweisen und die Qualität ihrer Dienstleistungsangebote zertifizieren lassen (§ 9 BSIG).
