Mit Sicherheit BSI-Magazin 2019/01 Das BSI als Kompetenzzentrum und Dienstleister - Bund.de
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
BSI-Magazin 2019/01
Mit Sicherheit
Das BSI als Kompetenzzentrum und Dienstleister
CYBER-SICHERHEIT DAS BSI IT-SICHERHEIT IN DER PRAXIS
Heimnetzwerke sicherer Informationssicherheit Manipulation an IT-Hard-
machen gestalten ware – Bei Verdacht: Röntgen
EDITORIAL
Privates muss privat bleiben
Wenn dieses BSI-Magazin erscheint, liegt das sogenannte „Politiker-Leak“
(siehe Beitrag auf Seite 18), also die Veröffentlichung umfangreicher privater
Daten von Prominenten und Politikern im Internet durch einen 19-jährigen
Hacker aus Hessen, gut vier Monate zurück. In der Zwischenzeit hat es weitere
Leaks und Hacks gegeben, über die die Medien berichtet haben. Und es hat
wahrscheinlich mehr Leaks und Hacks gegeben, über die die Medien nicht
berichtet haben.
Müssen wir uns daran gewöhnen? Müssen wir akzeptieren, dass Cyber-Krimi-
nalität gleich welcher Provenienz und die Verletzung der grundgesetzlich
geschützten Privatsphäre ein unabwendbarer Bestandteil des digitalen Alltags
sind? Ich meine, nein. Aber wir werden unser Verhalten ändern müssen. Wir
werden lernen müssen, uns besser zu schützen. Und wir müssen die Schutz-
mechanismen verstärken.
In der analogen Welt verlässt niemand sein Haus oder seine Wohnung, ohne
abzuschließen. Er parkt sein Auto auch nicht am Flughafen und lässt den Zünd-
schlüssel stecken. Und erst recht nicht schickt er seine Steuererklärung im un-
verschlossenen Umschlag an das Finanzamt. In der digitalen Welt aber machen
wir dies alles. Wir lassen in uns lesen wie in einem offenen Buch, mit der immer
wieder gehörten Begründung, dass wir ja nichts zu verbergen hätten.
Doch, haben wir. Auch wenn Millionen Nutzer ihr Leben, ihre Gedanken, ihre
Fotos mit anderen Internetnutzern teilen wollen, auch wenn sie bereitwillig
„Wir, das BSI werden ihre Koordinaten rund um die Uhr auswerten lassen, haben sie ein Recht auf
den Schutz ihrer Privatsphäre. Und auch wenn – wie in diesem Fall – der Täter
unsere Anstrengungen die Daten wahrscheinlich überwiegend aus öffentlich zugänglichen Quellen
verstärken, alle Nutzer gesammelt und sie sich nur in wenigen Fällen illegal besorgt hat, bleibt ihre
Veröffentlichung kriminell.
über notwendige
Persönliche Daten sind hochinteressante Ziele für Cyber-Angriffe. Das fängt
Schutzmaßnahmen bei der Telefonnummer oder Mailadresse an und hört bei privaten Fotos und
ihrer Privatsphäre im der Kontonummer noch nicht auf. Diese Daten müssen wir schützen, vor allen
Tätern und allen Motiven.
Internet praxisnah
Darum werden wir, das BSI, unsere Anstrengungen verstärken, alle Nutzer über
zu informieren.“ notwendige Schutzmaßnahmen ihrer Privatsphäre im Internet praxisnah zu
informieren. Wir werden den digitalen Verbraucherschutz schnellstmöglich eta-
blieren, um ihnen Entscheidungshilfen beim Produktkauf an die Hand zu geben.
Wir werden unsere Instrumente und Methoden weiter verfeinern, um Angriffe
frühestmöglich zu erkennen. Und wir werden gemeinsam mit den anderen
Sicherheitsbehörden die Täter suchen und finden. Damit das Internet ein sicherer
Raum wird, in dem wir alle die Vorteile der Digitalisierung genießen können.
Ihr
Arne Schönbohm,
Präsident des Bundesamts für Sicherheit in der Informationstechnik
INHALT | 3
INHALT
6
AKTUELLES
4 Kurz notiert
CYBER-SICHERHEIT
6 Heimnetzwerke sicherer machen
10 SAT-Solver können helfen –
Erfüllbarkeitsproblem der Aussagenlogik
14 Wer macht eigentlich Cyber-Sicherheit in Deutschland?
18 Diebstahl und unerlaubte Veröffentlichung persönlicher
Politikerdaten
DAS BSI
14 20 Informationssicherheit gestalten
24 Gute Noten – Onlinekundenbefragung
26 Ein Tag im BSI
28 Auf gute Partnerschaft – BSI und die Bundesländer
DIGITALE GESELLSCHAFT
30 Kompakt geprüft – Sicherheitsanalyse von Rechenzentren
32 Künstliche Intelligenz in der IT-Sicherheit – Kompetenzzentrum
im Aufbau
20 BSI INTERNATIONAL
34 Gemeinsam für sichere Informationstechnologie – ViS!T lockt
zahlreiche Teilnehmer aus dem deutschsprachigen Raum an
36 ENISA stellt sich neu auf –
Eine Cyber-Sicherheits-Institution im Wandel
IT-SICHERHEIT IN DER PRAXIS
38 Bei Verdacht: Röntgen – Manipulation an IT-Hardware
40 IT-Grundschutz-Profile: Informationssicherheit für KMU
42 Schutz nach Maß – Mehr Cyber-Sicherheit für das
deutsche Handwerk
44 BSI Basistipp – Mehr Sicherheit im Netz für Bürgerinnen
34 und Bürger
ZU GUTER LETZT
46 Veranstaltungen 2019
47 Bestellen Sie Ihr BSI-Magazin!
51 Impressum
38
4 | BSI-MAGAZIN 2019/01
AKTUELLES
Kooperation
Sicherheit für die Netze des Bundes
Am 30.11.2018 unterzeichneten BSI-Präsident Arne Schönbohm und Andreas Gegenfurtner, Präsident der Bundesanstalt für
den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS), die Verwaltungsvereinbarung über die
dauerhafte Zusammenarbeit zur Gewährleistung der Sicherheit der „Netze des Bundes“ (NdB).
Die BDBOS hat zum 1. Januar 2019 die Netze des Bundes übernommen. Sie zeichnet damit verantwortlich für die Planung,
den Aufbau, den Betrieb und die Sicherstellung der Funktionsfähigkeit des Regierungsnetzes. Dazu wird die Bundesanstalt die
vorherige technische Betreiberin, T-Systems, schrittweise von ihrer Verantwortung ablösen. Das BSI wird für die NdB die Rolle
des Gesamt-IT-Sicherheitsbeauftragten und Gesamt-Notfallbeauftragten wahrnehmen und auch weiterhin den Schutz des
Regierungsnetzes verantworten.
Weitere Informationen: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/verwaltungsver-
einbarung_bdbos_bsi.html
Gut vernetzt
Allianz für Cyber-Sicherheit
Erfahrungen zu Herausforderungen im Cyber-Raum austauschen und gleichzeitig von
NETZWERKE
der Expertise anderer profitieren – das ermöglicht die Allianz für Cyber-Sicherheit (ACS)
SCHÜTZEN
heute mehr als 3.500 Unternehmen und Institutionen. Dieses Jahr stehen die Aktivitä-
NETZWERKE
ten der ACS unter dem Motto „Netzwerke schützen Netzwerke“. So unterstützt die ACS
www.allianz-fuer-cybersicherheit.de
Bundesamt für Sicherheit in der Informationstechnik
interessierte Verbände und Unternehmensnetzwerke bei der Erstellung von IT-Grund-
schutz-Profilen, die eine praktische Arbeitshilfe für mehr Cyber-Sicherheit in der jeweiligen
Branche bieten. Zum European Cybersecurity Month 2019 plant die ACS mit anderen deutschen Cyber-Sicherheits-
Initiativen gemeinsame Aktivitäten zur Erhöhung der Cyber-Sicherheit in Unternehmen. Ein besonderes Highlight wird
schließlich der 29. Cyber-Sicherheits-Tag „Netzwerke schützen Netzwerke“ am 26. September 2019 im Haus der Deutschen
Wirtschaft in Berlin sein. Im Rahmen der interaktiven Veranstaltung können 350 Teilnehmer, Partner und Multi-
plikatoren erfolgreiche Initiativen kennenlernen, ihre eigene Expertise einbringen und ihr Netzwerk erweitern – für noch mehr
Power in Sachen Cyber-Sicherheit. Save the date!
Weitere Informationen folgen auf www.allianz-fuer-cybersicherheit.de
AKTUELLES | 5
Zertifikat
Erstes Smart Meter
Gateway zertifiziert
Am 20.12.2018 hat das BSI das erste Zertifikat auf Basis des
Schutzprofils für das Smart Meter Gateway erteilt. Das Smart
Meter Gateway wurde von der Power Plus Communications AG
(PPC) gemeinsam mit der OpenLimit SignCubes AG entwickelt. Im
Prüfverfahren wurden neben dem Nachweis der Einhaltung der
Sicherheitsvorgaben im Gerät selbst als auch die Herstellungs-
und Entwicklungsprozesse des Herstellers und die Auslieferungs-
wege der Geräte betrachtet und durch das BSI abschließend
zertifiziert. Mit der Zertifizierung des Smart Meter Gateways ist
zugleich das erste IT-Sicherheitskennzeichen vergeben worden.
Weitere Informationen: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/Erstes_Smart_
Meter_Gateway_zertifiziert_201218.html
Messe
E-world in Essen
Vom 5. bis 7. Februar 2019 fand in Essen die „E-world energy & water“, die europäische Leitmesse der Energie- und Wasserwirt-
schaft, statt. Das BSI war mit einem Stand vor Ort und gab unter anderem Auskunft zum Thema intelligente und sichere Vernet-
zung im Bereich der Energieversorgung. Das Highlight am Messestand der nationalen Cyber-Sicherheitsbehörde war ein Showcase,
der die Funktionalität und Sicherheitsfeatures eines Smart Meter Gateways und die zukünftigen Einsatzgebiete intelligenter
Messsysteme darstellte und erlebbar machte.
Weitere Informationen: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/e-world2019_010219.html
6 | BSI-MAGAZIN 2019/01 CYBER-SICHERHEIT Heimnetzwerke sicherer machen Technische Richtlinie definiert Mindestanforderungen an die IT-Sicherheit eines Routers
CYBER-SICHERHEIT | 7 von Petra Hofmann, Referat Cyber-Sicherheit für die Digitalisierung von IoT mit Smart Services Eine kürzlich vom BSI veröffentlichte Technische Richtlinie (TR) definiert ein Mindestmaß an IT-Sicherheit für Breitband-Router. Auf diese Weise soll die IT-Sicherheit der Router und der Internet- Infrastruktur insgesamt erhöht und „Security by Design / by Default“ in der Routerherstellung etabliert werden. Für Hersteller wie auch für Verbraucher bietet die TR eine Orientierungsgrundlage.
8 | BSI-MAGAZIN 2019/01
I
m Zuge der zunehmenden Digitalisierung besitzen und
bekommen immer mehr Haushalte auf der ganzen Welt
einen Router. Sie sind Türöffner zur digitalen Welt und
managen das heimische Netzwerk, bestehend aus unter-
schiedlichsten Geräten, wie dem Smartphone, dem Drucker,
Die TR formuliert grund-
der Spielekonsole, dem Kühlschrank oder der Waschmaschine. legende Mindestanforde-
Mit der „Technischen Richtlinie Secure Broadband Router“
(BSI-TR 03148) hat das BSI einen Grundstein für eine höhere rungen an die IT-Sicherheit
Sicherheit in Heimnetzwerken und die gesamte Internet-
Infrastruktur gelegt. von Routern.
BELIEBTE ANGRIFFSZIELE
Die Erstellung der TR resultierte aus den Vorkommnissen
rund um einen weltweiten Angriff Ende 2016, der auch
circa 900.000 Router in Deutschland betraf. Bei dem Angriff
wurde versucht, über die Fernwartungsschnittstelle einen der TR. Das Konzept wurde in die erste Sitzung einer vom
Mirai-Schadcode auf die Router aufzuspielen, der die Geräte BSI neu gegründeten Arbeitsgruppe mit Vertretern von
in ein Botnetz integrieren sollte. Bei Mirai handelt es sich Herstellern, Verbänden, Behörden und der Gesellschaft
um eine Schadsoftwarefamilie, von der verschiedene Ableger eingebracht.
wie beispielsweise Satori existieren. Grundsätzlich kann
Mirai beliebige, unzureichend gesicherte Geräte des Internet Diese Arbeitsgruppe diskutierte kontrovers in fünf Sitzungen
of Things (IoT) befallen. Oft nutzt die Schadsoftware den und zwei Kommentierungsrunden die Inhalte der TR und
Umstand, dass viele IoT-Geräte beispielsweise Standard- legte sie schließlich fest. Nicht immer konnten Kompro-
kennwörter verwenden, die wiederum durch ihre Mehrfach- misse gefunden und es mussten verschiedene Interessen
verwendung ein erhöhtes Risiko bergen. Nach der Infektion abgewogen werden. Letztlich konnte das BSI eine erste
werden die Geräte in ein Botnetz integriert. Version der technischen Richtlinie am 16. November 2018
veröffentlichen. Diese erhielt viel Lob aber auch Kritik und
markiert den Einstieg in eine fortwährende Diskussion und
GEGENMASSNAHMEN Fortentwicklung der TR.
Der Vorfall von 2016 wurde aufgearbeitet und hiermit die
Erstellung einer TR für Router in Auftrag gegeben. Die ZIELE UND FUNKTIONEN DER TR
Federführung für dieses Vorhaben wurde dabei an das BSI Die TR formuliert grundlegende Mindestanforderungen
übertragen. Ein im BSI bereits erarbeitetes Testkonzept an die IT-Sicherheit von Routern. Hierbei bezieht sich die
für Breitband-Router diente als Grundlage für die Inhalte TR zunächst auf Kernfunktionen wie Internetzugang und
Netzwerkmanagement. So schreibt die TR grundsätzlich
einen Updatemechanismus vor und empfiehlt zusätzlich
das automatisierte Empfangen von Sicherheitsupdates,
sofern Nutzer diese Funktion nicht abwählen. Diese Anfor-
derung und Empfehlung sorgt dafür, dass auftretende
Sicherheitslücken, im Idealfall ohne aktives Handeln des
Nutzers, geschlossen werden können. Erweitert werden
diese durch die Forderung, dass der Hersteller angeben muss,
wie lange der Router mit sicherheitsrelevanten Updates
versorgt wird, um auftretende Sicherheitslücken mit einem
kombinierten Common-Vulnerability-Scoring-System-
(CVSS)-Level höher als 6.0 zu schließen. Dies wirkt dem
Ausnutzen bekannter Sicherheitslücken entgegen. Veraltete,
unsichere Software ist im Bereich der Router immer noch
ein weit verbreitetes Problem, wie die Studie „Securing IoT
devices – how safe is your WiFi-Router?“ des American
Consumer Institutes belegt.
CYBER-SICHERHEIT | 9
Ein weiteres Sicherheitsproblem ist, dass oftmals Standard- Einspielen einer herstellerfremden, nicht signierten Soft-
passwörter für eine Geräteklasse verwendet werden. Die TR ware, deren Quelle ein Router nicht verifizieren kann, muss
formuliert daher die grundlegende Anforderung, schon bei Nutzern allerdings eine Warnmeldung angezeigt und die
der Herstellung geräteindividuelle und zufällige Passwörter Installation explizit bestätigt werden.
zu vergeben, und liefert somit einen zusätzlichen Baustein zur
Vorbeugung einer massenhaften Übernahme von Routern. NUTZEN FÜR WIRTSCHAFT UND GESELLSCHAFT
Die TR kann als Grundlage für eine Prüfung oder auch
VERSCHIEDENE POSITIONEN Zertifizierung verschiedener Router verwendet werden.
In der Diskussion zur Erstellung der TR wurden verschie- In Verbindung mit einem Prüfverfahren kann dadurch
dene Positionen sichtbar: Viele Netzprovider wollen zum eine Vergleichbarkeit hinsichtlich der Sicherheitsleistung
Beispiel ihr Netz auch mit der vollständigen Kontrolle über verschiedener Router für den Verbraucher erreicht werden
die Routerfirmware schützen. Dem steht der Anspruch des – und diesen über den Stand der Technik informieren.
Nutzers/Bürgers auf eine freie Handhabe seines Geräts dia- Hierdurch können Nutzer ein besseres Verständnis und
metral gegenüber. Dazu zählt zum Beispiel das Interesse Bewusstsein für IT-Sicherheit entwickeln.
einiger Nutzer, herstellerfremde Firmware auf dem Router
installieren zu können. Auf diese Weise können zum Beispiel Letztlich kann festgehalten werden, dass der Router die
neu bekanntgewordene Schwachstellen geschlossen werden, Schwelle zwischen dem öffentlichen und dem privaten
auch wenn der Hersteller den Support für den Router bereits Netz bildet. Er ist das Herzstück des digitalen Hauses und
eingestellt hat. zentraler Baustein der Digitalisierung. Auch im Hinblick
auf eine vollkommene Vernetzung der Umgebung und der
Diese Vorteile stehen allerdings einem Nachteil gegenüber, Ausbreitung des Internet of Things wird er in absehbarer
da über diese Öffnung auch Schadsoftware auf dem Router Zukunft eher an Bedeutung gewinnen. Daher ist ein ange-
installiert werden kann. Das liegt weder im Interesse des messenes Niveau an IT-Sicherheit für Router sehr wichtig
Nutzers noch des Netzproviders. Die Öffnung für hersteller- und mit der Erstellung und Veröffentlichung der TR wurde
fremde Firmware kann in bestimmten Fällen einen höheren ein wichtiger Schritt in eine förderliche Richtung getan.
Aufwand für den Provider generieren, da geprüft werden
muss, dass die benutzereigene, herstellerfremde Firmware
(auch Customer Firmware) sicher ist. Die TR definiert daher,
ob der Router die Möglichkeit bieten kann, hersteller-
eigene und herstellerfremde Software einzuspielen. Beim
Weitere Informationen:
Technische Richtlinie Secure Broadband Router (BSI TR-03148): www.bsi.bund.de/router-tr.html
10 | BSI-MAGAZIN 2019/01
SAT-Solver
können helfen
Erfüllbarkeitsproblem der Aussagenlogik
von Dr. Anastasia-Maria Leventi-Peetz und Oliver Zendel, Referat Evaluierungskoordination und -methodologie,
sowie Kai Weber und Werner Lennartz, inducto GmbH
Die Lösung des aussagenlogischen Erfüllbarkeitsproblems (engl. Satisfiability
Testing – SAT) (siehe Infokasten) ist von zentraler Bedeutung für die Infor-
matik und damit auch für die IT-Sicherheit. Informatik basiert auf dem Prinzip
der Korrektheit der Algorithmen. Dies lässt sich z. B. durch eine Quellcode-
analyse nachweisen. Die Aussagen, die die Algorithmen bilden, können auf
Aussagenlogik heruntergebrochen werden und ihre Korrektheit kann dann
mit einem SAT-Solver verifiziert werden.CYBER-SICHERHEIT | 11
-
BOOLESCHE
ERFÜLLBARKEIT
S
icherheitskritische Software, die
beispielsweise in der Luftfahrt,
in kerntechnischen Anlagen, der
Automobilindustrie und der Medizin- George Boole
(um 1860)
technik zum Einsatz kommt und nach
strengsten Normen geprüft werden
In der Mathematik ist die boolesche Erfüll-
muss (z. B. DO-178B), wird automatisch
barkeit (nach George Boole, einem britischen
mittels spezieller SW-Werkzeuge auf Mathematiker) ein Entscheidungsproblem,
Basis von SAT-Solvern getestet. Diese das sich durch eine aussagelogische Formel
Werkzeuge können Millionen Zeilen darstellen lässt, die ausschließlich UND-,
Programmcode in Computerhoch- ODER-, NICHT-Verknüpfungen binärer Vari-
sprachen binnen weniger Stunden auf ablen enthält. Die Formel wird in kleinere
Fehler und Sicherheitslücken zuver- logische Aussagen, die sogenannten Klauseln,
lässig überprüfen. Heutige SAT-Solver unterteilt, die ihrerseits alle mit UND zur
können Probleme mit vielen Millionen Gesamtformel verknüpft sind. Das Erfüll-
Klauseln und mehreren Hunderttau- barkeitsproblem ist es, zu entscheiden, ob
eine gegebene quantifizierte boolesche
send Variablen in überschaubarer Zeit
Formel ohne freie Variablen wahr oder falsch
auf Multicore-Workstation-Computern
ist. Gesucht wird daher eine Belegung der
lösen.
Variablen mit WAHR oder FALSCH, die alle
Klauseln des Problems erfüllt oder aber
SAT-SOLVER IM EINSATZ der Nachweis, dass keine solche Belegung
SAT-Solver sind vielseitige Werkzeu- möglich, also mindestens eine Klausel nicht
ge und werden für die Lösung eines erfüllbar ist.
ganzen Spektrums auch industrieller
Anwendungen eingesetzt. Ihr Einsatz-
gebiet reicht von der routinemäßigen
Verifikation der Richtigkeit der Eigen-
schaften Eigenschaften komplexer,
heute auch noch dynamisch rekon-
struierbarer Schaltkreise während
des Prozesses der automatisierten
Hardwareplanung und -produktion zeuge entwickelt werden bzw. als SAT-SOLVER IM WETTBEWERB
bis zur Schwachstellen- und Fehler- Sourcecode offen verfügbar sind. Al- Viele dieser so entwickelten SAT-Solver
suche bei der automatisierten Quell- gorithmische Verbesserungen werden nehmen regelmäßig am inzwischen
code-Code-Analyse komplexer und über Veröffentlichungen in Fachzeit- renommierten internationalen
sicherheitsrelevanter Software- schriften anderen Entwicklern und SAT-Solver-Wettbewerb teil. Dabei
produkte (Model-Checkers, SMT-Tools, Anwendern zur Diskussion gestellt. handelt es sich um eine Veranstaltung,
Theorem-Provers). Auf diese Weise werden diverse An- die von der jährlich stattfindenden
regungen dafür ausgetauscht, wie die Internationalen Konferenz zur The-
Die Lösungseffizienz der SAT-Solver- SAT-Solver auf Basis umfangreicher, orie und Anwendung der Erfüllbar-
Methoden bei der Bewältigung kom- intensiver praktischer Erfahrungen keitsprüfung ausgerichtet wird. Dort
plizierter Probleme hat sich in den eines großen heterogenen Benutzer- werden zahlreiche Anwendungsfälle
letzten zwei Jahrzehnten exponen- kreises, der unter unterschiedlichen aus Industrie, Entwicklung und
tiell entwickelt. Dazu trägt auch die Perspektiven die Nützlichkeit des Forschung, sowie seit Anfang 2000 aus
Tatsache bei, dass die effizientesten Solvers testet, weiterentwickelt und der Kryptografie zusammengestellt,
SAT-Solver als Open-Source-Werk- erweitert werden können. analysiert und kritisiert.12 | BSI-MAGAZIN 2019/01
Die am Wettbewerb teilnehmenden
SAT-Solver müssen in der Lage sein,
anwendungsnahe Probleme aus den
Bereichen Hardwareverifikation,
Softwareverifikaton, Kryptoanalyse,
Vergleich der Lösungszeiten zur Schlüsselwiederherstellung mittels Defaulteinstellung des Solvers und
Bioinformatik innerhalb einer be-
empirisch bester Schalterkombination (sw4) für verschiedene Anzahl von Texten und Zufallsschlüssel (k6).
grenzten Rechenzeit lösen zu können,
um sich für den Wettbewerb zu quali-
fizieren. Dort werden dann die Solver
danach bewertet, wie zuverlässig und
schnell sie die Zusammenstellung
von Anwendungsfällen lösen können.
Diese Wettbewerbsveranstaltungen probleme in der KI, der Wissensreprä- der Aufteilung schnell unübersicht-
mit Diskussionen unter Experten und sentation und der Entscheidungsbe- lich, weil es 2^n Möglichkeiten gibt,
Anwendern stärken den Austausch gründung sind notorisch schwer zu sodass es schon bei n = 100 mehr als
von Ideen weiter, motivieren neue lösen und ihre Komplexität geht über 10^30 Möglichkeiten zu prüfen gäbe.
Entwicklungen und untermauern das NP hinaus. Trotz ihrer Widerspenstig- Die zwei Forscher konnten beweisen,
Vertrauen der Anwender in die Solver, keit im klassischen Sinne lassen sich dass nur bis n = 7824 eine Lösung
deren Transparenz von Code und solche Probleme aus der breit gefächer- möglich ist. Hätten alle Möglichkeiten
Leistung wie eine Art Qualitätssiche- ten Praxis überraschend effektiv lösen blind durchprobiert werden müssen,
rung am Ende jedem Interessierten mit Lösungsmethoden, die auf SAT- so sollten 2^7825 also etwa 4 × 10^2355
offenliegen. und Integer-Programming-Solvern Kombinationen getestet werden, und
basieren. das ist eine Aufgabe, die kein heutiger
SAT-SOLVER UND NP-PROBLEME Supercomputer innerhalb seiner
In der Informatik bezeichnet man ein Schwierige Probleme aus der Mathe- Lebensdauer bewältigen kann.
Problem als NP-vollständig (vollstän- matik, wie das 3700 Jahre alte Zahlen-
dig für die Klasse der Probleme, die rätsel des "Pythagoreischen Tripels", Zur Lösung mit einem SAT-Solver
sich nichtdeterministisch in Poly- konnten von zwei Informatikern, muss die zur Prüfung stehende Frage-
nomialzeit lösen lassen), wenn es zu Marjin Heule und Oliver Kullmann, stellung erst in ein Erfüllbarkeitspro-
den schwierigsten Problemen in der mittels eines SAT-Solvers und eines blem transformiert werden. Diese
Klasse NP gehört, also sowohl in NP Supercomputers im Jahr 2016 gelöst Umsetzung ist keineswegs trivial, und
liegt als auch NP-schwer ist. Das werden. Die Fragestellung lautete: ihr Ergebnis kann unterschiedlich pa-
Erfüllbarkeitsproblem als zuerst aner- Kann man die natürlichen Zahlen rametrisiert werden. So kann ein und
kanntes NP-komplettes Problem ist von 1 bis n in zwei Gruppen auftei- dieselbe Fragestellung zu mehreren
auch der Kern einer großen Klasse len, sodass keine von beiden ein logischen Formeln übersetzt werden,
NP-kompletter Probleme und spielt pythagoreisches Tripel enthält? Es die sich in der Anzahl der binären
eine wichtige Rolle bei der Unter- dürfen also nicht alle drei Zahlen Variablen und der Länge und Anzahl
suchung von Systemen der Künstli- eines solchen Tripels zu derselben der Klauseln unterscheiden. Dabei
chen Intelligenz (KI). Die Mehrheit der Gruppe gehören. Mit wachsendem n spielt das Format der logischen
Entscheidungs- und Optimierungs- wird die Anzahl der Möglichkeiten Formel der Solver-Eingabe eineCYBER-SICHERHEIT | 13
nissen als Mittelwert und Varianz
darstellen. Hier ist anzumerken, dass
CMS, parallelisiert mit mehreren
Threads indeterministisch zu einer
Vergleich der Lösungszeiten zur Schlüsselwiederherstellung mittels empirisch bester Solver-Einstellung (sw4)
Lösung findet und bei gleichen Einga-
und automatisch ermittelter Einstellung (sw10, aac).
ben und identischen Solver-Einstel-
lungen unterschiedliche Laufzeiten
liefert.
Die Codeanalyse und eine anschlie-
ßende Machbarkeitsstudie motivieren
wesentliche Rolle für die Effizienz blem mit realistischem Aufwand lös- zur Steigerung der Effizienz von CMS
des Solvers, in Abhängigkeit von den bar wurde. Die empirisch ermittelten bei der Lösung von harten CNF-In-
Solver-Einstellungen. Solver-Parametereinstellungen wur- stanzen mithilfe von KI-Methoden.
den dabei mithilfe des Open-Source Es mag wie ein Zirkelschluss klingen,
LÖSUNG DES ERFÜLLBARKEITS- SW-Tools SMAC zur automatisierten wenn SAT-Solver-Methoden einerseits
PROBLEMS MIT DEM SAT-SOLVER Algorithmen-Konfiguration, das sich für das Maschinelle Lernen eingesetzt
CRYPTOMINISAT einer sogenannten sequentiellen und anderseits die SAT-Solver mittels
Im Rahmen eines Projekts, das vom Modell-basierten Optimierung, einer KI verbessert werden. Jedoch wird
BSI zusammen mit der inducto GmbH Reinforcement-Learning-Methode diese Richtung schon in der Infor-
durchgeführt wurde, ist der Source- der KI bedient, weiter verfeinert. Die matik verfolgt und hat bereits einige
Code des Open-Source-SAT-Solvers in diesem Projekt erzielten, sehr guten gute Ergebnisse hervorgebracht.
CryptoMiniSat (CMS) analysiert wor- Ergebnisse wurden auf der FLoC
den. Durch eine statistische Analyse (Federated Logic Conference) in Oxford
der Laufzeitergebnisse des Solvers bei im Juli 2018 präsentiert.
wiederholten Lösungsversuchen von
Instanzen, die einen kryptografischen Die statistische Laufzeitanalyse des
KPA-Angriff auf die Small AES-64 SAT-Solver (CMS) für Instanzen
Modell-Cipher SR (3, 4, 4, 4) imple- verschiedener Größen wurde mit
mentieren, wurden Kombinationen Boxplots visualisiert, da Median und
der Einstellungsparameter von CMS Quartile ein stabileres Maß für die
gefunden, mit denen dieses im allge- Streuung der wegen längerer Laufzei-
meinen als unlösbar betrachtete Pro- ten begrenzten Anzahl von Ergeb-
Weitere Informationen: https://easychair.org/publications/preprint/Q4kv? 14 | BSI-MAGAZIN 2019/01
CYBER-SICHERHEIT | 15
Wer macht
eigentlich
Cyber-Sicherheit
in Deutschland?
Die staatliche Cyber-Sicherheitsarchitektur
von Dr. Sven Herpig, Stiftung Neue Verantwortung
In den letzten Jahren hat die Anzahl der staatlichen Akteure
im Bereich Cyber-Sicherheit massiv zugenommen. Da kann
>>
man leicht den Überblick verlieren. Um Zuständigkeiten sinn-
voll zu verteilen oder um einen Ansprechpartner zu finden, ist
es wichtig, die aktuelle staatliche Cyber-Sicherheitsarchitektur
in Deutschland zu kennen.>>
16 | BSI-MAGAZIN 2019/01
Kurzprofil Dr. Sven Herpig
GENESE
Den Ausgangspunkt der institutionellen Struktur im Dr. Sven Herpig ist Leiter Internationale
Cyber-Sicherheitspolitik bei der Stiftung
Bereich Cyber-Sicherheit Deutschland kann man guten
Neue Verantwortung (SNV) und bringt
Gewissens auf den 1. Januar 1991 datieren. Dies war die dort die Expert:innen von beiden Seiten
Geburtsstunde des Bundesamtes für Sicherheit in der In- des Atlantiks zu allen Facetten der Innen-,
formationstechnik (BSI) mit seinem heutigen Charakter. Sicherheits- und Verteidigungspolitik im
Als Dreh- und Angelpunkt der IT-Sicherheit in Deutsch- Cyber-Raum zusammen. Im Rahmen des
EU-Cyber-Direct(EUCD)-Projekts analysiert
land dient es noch heute als zentrale Anlaufstelle. Die
er die Cyber-Resilienz-Politik der Euro-
Anzahl der staatlichen Akteure auf Bundes- und Landes-
päischen Union sowie die diplomatischen
ebene, die sich mit IT-Sicherheit beschäftigen, ist seitdem Beziehungen zwischen der EU und den USA
jedoch massiv angestiegen. Das liegt unter anderem daran, im Cyber-Raum.
dass aufgrund neuer Herausforderungen zusätzliche Behör-
den geschaffen worden sind. So wurde das Cyber-Abwehr-
zentrum (Cyber-AZ) im BSI zum Beispiel mit der Cyber-
Sicherheitsstrategie 2011 eingeführt oder die Zentrale Stelle
für Informationstechnik im Sicherheitsbereich (ZITiS)
erstmals in der Cyber-Sicherheitsstrategie 2016 erwähnt
und 2017 geschaffen. ministerium der Justiz und für Verbraucherschutz (BMJV)
oder die Bundesanstalt für Finanzdienstleistungsaufsicht
DIGITALISIERUNG (BaFin).
Ein weiterer Grund für den rasanten Anstieg der letzten
Jahre in der Teilhabe staatlicher Akteure ist die Digita- CYBER-SICHERHEITSARCHITEKTUR
lisierung selbst. Sicherheit ist ein zentrales Element der Die Gesamtheit aller Institutionen, die in Deutschland an
Digitalisierung. Wenn weite Teile des Allgemeinwesens Cyber-Sicherheit beteiligt sind, kann man als "Cyber-Sicher-
digitalisiert werden, bedeutet das, dass auch IT-Sicherheit heitsarchitektur" bezeichnen. Diese Architektur ist nicht
breiter gedacht werden muss. So diskutiert man auch bei am Reißbrett geplant worden. Die Entwicklung ähnelt wie
der Gesundheitskarte, bei den Betreibern kritischer Infra- beschrieben eher der einer typischen deutschen Stadt: Sie
strukturen, aber auch beim vernetzten Kühlschrank und ist über lange Zeit gewachsen und es wurde immer dort
der (Smart) City von morgen über IT-Sicherheit. Dadurch etwas gebaut, wo es gerade notwendig war. Während hinter
wurde aus der rein technischen IT-Sicherheit, also dem jeder einzelnen Institution in diesem Gebilde sicherlich
Erreichen der Schutzziele Vertraulichkeit, Integrität und eine Strategie steckt, gab es für die Architektur als solches
Verfügbarkeit, die sogenannte Cyber-Sicherheit. Von vielen keinen Masterplan. Das ist nicht verwunderlich, denn der
wird sie nur als neumodischer Begriff abgetan, aber Cyber- institutionelle Aufbau bewegte sich parallel zur Entwick-
Sicherheit umfasst viel mehr als nur technische Sicherheit. lung des Themas Cyber-Sicherheit.
Zusätzlich zur Erreichung der Schutzziele beinhaltet sie
auch politische, rechtliche, soziale und kulturelle Dimen- Gewachsene Strukturen führen oft zu Friktionen wie
sionen. Die Digitalisierung zusammen mit der Evolution Zuständigkeitsproblemen und Mehraufwand, zum Beispiel
von IT-Sicherheit hin zu Cyber-Sicherheit sorgt nicht nur bei der Ressourcenverteilung. Bisher behilft man sich da
für neue Behörden, sondern ist auch ein Grund dafür, dass in Deutschland mit einem einfachen, aber recht wirkungs-
zunehmend Behörden am Cyber-Sicherheitsdiskurs teil- vollen Trick. Sowohl auf strategischer Ebene als auch auf
nehmen, die vorher keine oder nur wenige Berührungs- operativer Ebene gibt es jeweils einen zentralen Akteur
punkte mit IT-Sicherheit hatten. Dazu zählen das Bundes- („Spinne im Netz“), welcher viele Institutionen verbindetCYBER-SICHERHEIT | 17
STAATLICHE CYBER-SICHERHEITSARCHITEKTUR
STAATLICHE CYBERSICHERHEITSARCHITEKTUR
Cyber-SR
BMG AA BMVI BMI BMJV BMVg BKAmt BMBF BMWi BMZ BMF
BAMAD BAAINBw “DIIS” BPol BKA BfV BBK Bw BND BfDI BNetzA ZKA BaFin ITZ Bund
BWI CIH ADIC ZITiS BAKS UniBw SWP DsiN GIZ
Cyber Sec. Telematikin-
G4C UP Initiative
Wirtschafts- GMLZ CODE
Kompetenz- &
Forschungszentren
Initiative IT-
Sicherheit i.d.
Trusted CERT-
ITSMIG
Cluster Bonn frastruktur KRITIS schutz für IT-Sicherheit Wirtschaft Cloud Verbund
Af
AZ
CS
BSI
NC
RT
LZ
CE
Cybercrime- BSI Verbin- Länder
ZAC Zentren VCV dungsbüros CERTs LSI
https://creativecommons.org/licenses/by-sa/4.0/
Stand: Februar 2019
Stand: Februar 2019
und den Informationsaustausch sowie die Koordination Digitalisierung jedoch noch nicht abgeschlossen ist und
gewährleisten soll. Auf strategischer Ebene ist das der kritische Entwicklungen wie die Vermengung von zivilen
Cyber-Sicherheitsrat (Cyber-SR) und auf operativer Ebene und militärischen Aspekten in Deutschland (u. a. durch die
ist es das BSI, unter anderem mit seinem Cyber-AZ. „Cyber-Agentur“) zunehmen, sollte man spätestens jetzt
systematisch eine konkrete Strategie für die Cyber-Sicher-
SCHLUSSFOLGERUNG heitsarchitektur in Deutschland erarbeiten. Mit dem Papier
Die Entwicklung der deutschen Cyber-Sicherheitsarchi- „Zuständigkeiten und Aufgaben in der deutschen Cyber-
tektur ist noch nicht abgeschlossen. Es ist auch nicht Sicherheitspolitik“ hat die Stiftung Neue Verantwortung
verwerflich, dass es bisher dafür kein Gesamtkonzept gab, einen nicht abgeschlossenen Erstentwurf zum Status quo
auch wenn das sicherlich hilfreich gewesen wäre. Da die der Architektur und der Zuständigkeiten vorgelegt.
Weitere Informationen:
https://www.stiftung-nv.de/de/publikation/zustaendigkeiten-und-aufgaben-der-deutschen-cyber-sicherheitspolitik18 | BSI-MAGAZIN 2019/01 Diebstahl und unerlaubte Veröffentlichung persönlicher Politikerdaten von Christoph Berlich, Referat IT-Sicherheits-Lagebild Am 3. Januar 2019 wurde bekannt, dass seit Anfang Dezember 2018 unerlaubt große Mengen privater Informationen von deutschen Politikern und Personen des öffentlichen Lebens im Internet publiziert wurden. WAS WAR PASSIERT? Twitter neue private Daten unter na- stellte persönliche Informationen zu Der mutmaßliche Täter hatte unter mentlicher Nennung der betroffenen diesen Personen ins Internet. Direkt den Pseudonymen @_0rbit und Person an. betroffen waren Mitglieder der Par- @_0rbiter auf dem Kurznachrichten- teien CDU/CSU (425 Personen), SPD dienst Twitter Verlinkungen Neben bekannten Personen des (318), Bündnis 90/die Grünen (111), zum Herunterladen größerer Daten- öffentlichen Lebens waren vor allem Die Linke (112) und der FDP (28). sammlungen veröffentlicht. Die deutsche Politikerinnen und Politi- Die Zahl der indirekt Betroffenen, Veröffentlichungen wurden wie ein ker – sowohl aktive als auch ehema- deren Kontaktdaten beispielsweise Adventskalender inszeniert. Bis zum lige auf EU-, Bundes-, Landes- und in gestohlenen Telefonbüchern der 24. Dezember öffnete er täglich ein Kommunalebene – von den Veröf- direkt Betroffenen enthalten waren, weiteres „Türchen“ und preiste über fentlichungen betroffen. Der Täter ist derzeit nicht genau bezifferbar.
CYBER-SICHERHEIT | 19
sowohl öffentlich zugängliche Infor- der Parteien der Betroffenen wurden
mationen, zum Beispiel die dienstli- bereits am 4. Januar vom BSI benach-
che Partei-E-Mail-Adresse, wie auch richtigt. Seitdem stand das BSI in dau-
private, nicht öffentlich einsehbare erhaftem Kontakt zu den Parteien und
Daten. In Einzelfällen wurden private Abgeordneten und beriet, wo gewünscht
Kommunikationsinhalte, wie zum und möglich, individuell.
Beispiel Familienchats und -bilder,
zum Download bereitgestellt. Die Datenpakete wurden vom Täter
auf einer Vielzahl von Downloadpor-
Bislang ist nicht bekannt, aus welchen talen hinterlegt. Über 50 dieser soge-
Quellen diese Datensätze stammten nannten Hoster, teilweise aus dem
und ob die Daten aus einem ein- Ausland, ersuchte das BSI umgehend
zelnen Angriff auf einen zentralen um Löschung der Daten und er-
Dienst oder aus mehreren Angriffen schwerte damit deren Weiterverbrei-
auf unterschiedliche Dienstleister tung. Ebenfalls wurde die Sperrung
stammten. Vieles deutet darauf hin, der verwendeten Twitteraccounts
dass der Täter eine Vielzahl der In- beantragt und von Twitter zeitnah
formationen aus öffentlich zugäng- durchgeführt.
lichen Quellen zusammengetragen
hatte, sogenanntes Doxing, und sich EINORDNUNG DES VORFALLS
nur in wenigen Fällen tatsächlich Persönliche Daten und insbesondere
illegal Zugriff auf persönliche Daten Zugangsdaten zu Onlinekonten von
verschaffte. Inwieweit die veröffent- Funktionsträgern und Personen des
lichten Dokumente authentisch sind, öffentlichen Lebens sind hochinte-
unterliegt der fortlaufenden Analyse. ressante Ziele für Cyber-Angriffe. Je
Ein erfolgreicher Cyber-Angriff auf mehr sich das private Leben im Inter-
die Regierungsnetze ist bislang nicht net abspielt, desto begehrter werden
bekannt. solche Daten.
WELCHE AUFGABEN HAT DAS BSI Der beschriebene Vorfall veranschau-
ÜBERNOMMEN? licht zweierlei Dinge. Er zeigt, dass
In der Nacht vom 3. auf den 4. Januar unterschiedliche Motivationslagen
2019 erlangte das BSI dann Kenntnis für eine solche Tat infrage kommen.
über die massenhafte Veröffentlichung Nicht immer muss ein fremder Staat
privater Informationen deutscher hinter umfangreichen und aufsehen-
Politikerinnen und Politiker sowie erregenden Cyber-Angriffen stehen.
Bei 80 % der 994 Betroffenen wurden Personen des öffentlichen Lebens. Das Auch Einzeltäter mit persönlichen
die Telefonnummer, postalische BSI leitete umgehend Maßnahmen ein. Motiven können großen Schaden an-
Anschrift und/oder E-Mail-Adresse So wurde am Morgen des 4. Januars richten. Des Weiteren wird bewusst,
veröffentlicht. Knapp 60 Politikerin- ein Krisenstab eingerichtet. Zur Auf- wie umfangreich die Menge an frei
nen und Politiker wurden unmittel- klärung der Betroffenheit und des einsehbaren persönlichen Daten im
bar Opfer von Identitätsdiebstahl, das Gefahrenpotenzials wurde eine erste Netz ist. Auch das Zusammentragen
heißt, bei ihnen wurden zusätzlich Sichtung der veröffentlichten Daten von öffentlich verfügbaren Informa-
Zugangsdaten wie Passwörter und durchgeführt. Das Nationale Cyber- tionen und deren gezielte Aufberei-
Benutzernamen für bestimmte Inter- Abwehrzentrum koordinierte zentral tung hinterlässt bereits ein mulmiges
netseiten bekannt gemacht. Die ver- die Fallbearbeitung der beteiligten Gefühl bei den Betroffenen.
öffentlichten Datensätze enthielten Bundesbehörden. Die Geschäftsstellen20 | BSI-MAGAZIN 2019/01 DAS BSI Informationssicherheit gestalten Das BSI als Kompetenzzentrum und Dienstleister von Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik Als Kompetenzzentrum des Bundes für Cyber-Sicherheit ist das BSI zugleich der zentrale Dienstleister für alle anderen Bereiche: die Länder und die Kommunen, große und kleine Unternehmen, die Forschung, die Hersteller und die privaten Anwender. Und es muss agieren wie eine Drehscheibe: Je höher die Innovationsgeschwindigkeit der Digitalisie- rung wird, desto schneller muss das BSI reagieren, muss seine Kompetenzen aktuell halten und für die Übertragbarkeit der gefundenen Lösungen sorgen.
DAS BSI | 21
NICHTS GEHT OHNE DIGITALISIERUNG Cyber-Sicherheit, die von der Cyber-Abwehr über die Be-
Die Digitalisierung hat mittlerweile fast alle Bereiche unse- ratung und Entwicklung sicherheitstechnischer Lösungen
res Lebens erreicht. Weder Politik, noch Wirtschaft, noch und Handlungsempfehlungen bis hin zur Standardisie-
Verwaltung kommen ohne zuverlässige und sichere Kom- rung und Zertifizierung von IT-Produkten reicht. Jeden
munikationssysteme aus. Industrie 4.0 umschreibt die Tag aufs Neue setzt es sich mit neuen Angriffsmethoden,
grundlegenden Veränderungen im Produktionsbereich, neuen Abwehrmechanismen und neuen Technologien
eGovernment ist das Schlagwort für eine digitalisierte und auseinander. Doch die Bemühungen um eine stabile und
transparente Verwaltung. Smart Home, mobile Work, erfolgreiche Cyber-Abwehr müssen weiterhin gesteigert
eHealth und selbstfahrende Autos sind weitere Beispiele für werden. Dies verlangt eine kontinuierliche Auseinander-
die rasant fortschreitende Digitalisierung des politischen, setzung mit dem großen innovativen Potenzial von IT-
wirtschaftlichen und privaten Lebens auf allen Ebenen. Lösungen. Denn ohne Cyber-Sicherheit wird die Digitali-
Ein Abschluss ist nicht in Sicht. Im Gegenteil: Technolo- sierung keine Erfolgsgeschichte schreiben können.
gischer Fortschritt steht nicht still, sondern beschleunigt
sich im Zeitablauf. Neue Technologien kommen in immer DAS BSI GESTALTET DIE DIGITALISIERUNG
kürzeren Zeitabständen auf den Markt, werden immer Als nationale Cyber-Sicherheitsbehörde gestaltet das BSI
schneller aufgenommen und in den Alltag integriert. auf der Basis seines gesetzlichen Auftrags die Digitalisie-
rung in Verwaltung, Wirtschaft und Gesellschaft. Um eine
Damit Anwenderinnen und Anwender von diesen neuen systematische Unterstützung seiner Zielgruppen durch
Technologien profitieren können, muss parallel dazu – zielgerichtete Informationen, technische Produkte und
oder besser: immer einen Schritt voraus – auch die Cyber- Leistungen sicherzustellen und der digitalen Durchdrin-
Sicherheit in der immer weiter fortschreitenden Digitali- gung Rechnung zu tragen, hat das BSI sein Leistungsan-
sierung in allen Bereichen und auf allen Ebenen des poli- gebot in einem Produkt- und Dienstleistungsportfolio
tischen, wirtschaftlichen und gesellschaftlichen Lebens zusammengestellt. Es richtet sich
kontinuierlich betrachtet und beachtet werden. Denn auch
die Bedrohungslage hat sich – wie der aktuelle Lagebericht • an alle Einrichtungen auf Bundesebene (Ministerien,
des BSI und zahlreiche Sicherheitsvorfälle demonstrieren – Behörden), die Digitalisierungsprojekte vorantreiben
weiter verschärft und ist zudem vielschichtiger geworden. oder bearbeiten,
Es gibt nach wie vor eine hohe Dynamik der Angreifer • im Bereich Staat/Politik an den Bund, die Länder, die
bei der Weiterentwicklung von Schadprogrammen und Kommunen und international an bilaterale und multi-
Angriffswegen. Es gibt mit den entdeckten Hardware- laterale Partner (EU, NATO),
schwachstellen eine neue Qualität der Bedrohung. Und es • vom Staat ausgehend im Bereich Wirtschaft an
muss damit gerechnet werden, dass auch das Innovations- Betreiber Kritischer Infrastrukturen (KRITIS),
tempo der Angreifer zumindest nicht nachlässt. IT-Hersteller, IT-Dienstleister und Unternehmen aller
Branchen und Größen sowie im Bereich Gesellschaft an
In den letzten Jahren hat die Bundesregierung mit der politische Parteien und parteinahe Stiftungen sowie
Cyber-Sicherheitsstrategie, dem IT-Sicherheitsgesetz, der alle Bürgerinnen und Bürger,
NIS-Richtlinie und der Digitalen Agenda die gesetzlichen • von der Prävention und Detektion bis hin zur Abwehr
und strategischen Rahmenbedingungen geschaffen, um von Angriffen auf die Cyber-Sicherheit und von der
der Bedrohungslage umfassend zu begegnen. Ihr zentraler Entwicklung sicherheitstechnischer Lösungen bis hin
Dienstleister für Cyber-Sicherheit ist das BSI. Es ist (auf-) zur Standardisierung und Zertifizierung.
gefordert, die immer wieder neu erwachsenden Aufgaben
zu antizipieren und zu bewältigen, Ressourcen bereitzu- Im Produkt- und Dienstleistungsportfolio des BSI wurden
stellen und einzusetzen, gesetzliche Vorgaben zu opera- sechs Kategorien einheitlich festgelegt. Ausgehend von
tionalisieren und auszugestalten sowie den Einsatz aller der Kategorie „Information“, die u. a. Standards wie den
relevanten Akteure so zu koordinieren, dass die bestmögli- IT-Grundschutz, aber auch Lageberichte und Warnungen
che Aufgabenerfüllung gelingt. umfasst, nimmt der Bereitstellungsaufwand mit jeder
Kategorie zu. Neben „Aus- und Fortbildungsangeboten“
Das BSI verfügt auf Basis seiner technisch tief gehenden im Bereich IT-Sicherheit und „Kooperationsplattformen“
Expertise über eine integrierte Wertschöpfungskette der wie z. B. der Allianz für Cyber-Sicherheit bietet das BSI22 | BSI-MAGAZIN 2019/01
„Das BSI verfügt über eine
integrierte Wertschöpfungs-
kette der Cyber-Sicherheit.“
tente Umsetzung der Cyber-Sicherheitsstrategie und des
IT-Sicherheitsgesetzes. Das Nationale Verbindungswesen
des BSI gestaltet dabei die Beziehungen zu nationalen
Partnern in den Bereichen Staat, Wirtschaft und Gesellschaft.
auch Beratungsleistungen zu verschiedenen Fragestellun- Es berät diese Zielgruppen zu den einzelnen Produkten
gen der Umsetzung von IT-Sicherheit. Der Zugriff auf die und Dienstleistungen des BSI und nimmt entsprechenden
Expertise des BSI wird über diese klare Zusammenstellung Bedarf auf. Ein besonderes Merkmal des Verbindungs-
im Portfolio erleichtert. wesens ist die Präsenz in den Regionen. Dadurch wird
der unmittelbare Austausch erleichtert und eine konkrete
VON AUTOMOTIVE BIS SMART METER Erreichbarkeit des BSI vor Ort geschaffen.
Das BSI hat unter anderem durch die Verantwortung
für den Schutz der Netze des Bundes über Jahre hinweg VON BUND BIS KOMMUNE
Kompetenzen bei der Prävention, Detektion und Reaktion Bei der Zusammenarbeit mit staatlichen Partnern steht
auf komplexe Cyber-Angriffe und IT-Sicherheitsvorfälle die Kooperation mit den Bundesländern im Fokus. Über-
aufgebaut und unter Beweis gestellt. Es begleitet nicht nur geordnetes Ziel dieser Zusammenarbeit ist es, ein einheit-
die Konsolidierung der IT des Bundes und bringt dort sei- liches IT-Sicherheitsniveau zu schaffen, das angesichts der
ne Beratungskompetenz zu strategischen und operativen fortschreitenden Digitalisierung der Verwaltung und einer
Fragen der Informationssicherheit ein. Das BSI gestaltet zunehmenden Vernetzung von IT-Strukturen zwischen
auch gemeinsam mit den jeweils fachlich zuständigen Bund und Ländern stetig an Bedeutung gewinnt.
Bundesministerien die Informationssicherheit in den
großen Digitalisierungsprojekten unserer Zeit, um die Die operative Zusammenarbeit ist über den Verwaltungs-
Funktionsfähigkeit und Wertschöpfung der künftig stark CERT-Verbund (VCV) etabliert. Darüber können die CERTs
digitalisierten Gesellschaft zu gewährleisten. Das Spektrum des Bundes und der Länder Informationen austauschen,
reicht dabei von der Telematik-Infrastruktur im Gesund- um effektiver und schneller auf IT-Angriffe reagieren zu
heitsbereich/„eHealth“ (BMG), intelligenten Verkehrs- können. Der IT-Planungsrat hat 2018 ein verbindliches
systemen zu Lande und auf dem Wasser (BMVI), über die Meldeverfahren zum Informationsaustausch über Cyber-
Digitalisierung der Energiewende (BMWi) und das Smart Angriffe beschlossen und somit eine Meldeverpflichtung
Home (BMWi, BMJV, BMUB) bis zum Internet der Dinge zwischen Bund und Ländern geschaffen. Das BSI stellt
(BMI, BMWi, BMJV). Zertifizierungen sind dabei in vielen über CERT-Bund Warnungen, Lageberichte sowie Gefähr-
Fällen ein geeignetes Vorgehen, um die Cyber-Sicherheit dungsindikatoren bereit, die sich aus den unterschiedlichs-
der technischen Lösungen zu gewährleisten, wie es beim ten im BSI-Lagezentrum verarbeiteten Quellen speisen. Die
Smart Meter Gateway im Rahmen der Digitalisierung der Länder leisten durch Beiträge zum Lagebild und Vorfalls-
Energiewende bereits geschehen ist. Eine Zertifizierung meldungen ihren Beitrag, der für ein ganzheitliches Bild
durch das BSI selbst ist dabei als höchste Stufe anzusehen. von elementarer Bedeutung ist.
Andere Optionen sind die Herstellererklärung, sich an die
Vorgaben des BSI zu halten, und eine Zertifizierung durch Zentrale Anlaufstelle für Beratungsanfragen aus den Bun-
Drittanbieter. des- und Landesverwaltungen ist die Sicherheitsberatung
des BSI. Sie ist der zentrale Point of Contact für die Infor-
Als unabhängiges Kompetenzzentrum für IT- und Cyber- mationssicherheitsbeauftragten der jeweiligen Behörden.
Sicherheit sorgt das BSI für eine ganzheitliche und konsis- Die Mitarbeiterinnen und Mitarbeiter des Bereichs Sicher-DAS BSI | 23
heitsberatung erhalten durch Gremienarbeit, enge Behör- Unternehmen über Schwachstellen, Sicherheitslücken
denkontakte und über einen effizienten Austausch von und andere Risiken informiert und konkret Hilfestellungen
IT-sicherheitsrelevanten Informationen einen guten Ein- leistet. Außerdem können sich Bürgerinnen und Bürger mit
blick in die Lage der Informationssicherheit vor Ort. Fragen an die kostenlose Hotline 0800 274 1000 wenden.
Im Verbraucherschutz wird das BSI über die Risikobewer-
Auch die Kommunen werden bei der Stärkung der Bund- tung von Technologien, Produkten, Dienstleistungen und
Länder-Zusammenarbeit mit einbezogen. Aufgrund der Medienangeboten die Verbraucher unterstützen.
hohen Anzahl an Kommunen müssen dabei zwingend
Multiplikatoren gebündelt werden. Kommunale Spitzen- VON PRÄVENTION BIS REAKTION
verbände und gebietskörperschaftsübergreifende Rechen- Als herstellerunabhängige und kompetente technische
zentren sind hier die Partner des BSI. Das BSI ermöglicht Stelle gestaltet das BSI für sämtliche Akteure in allen
zudem eine direkte Anbindung aller Kommunen an die Bereichen die Informationssicherheit in der Digitalisierung
Allianz für Cyber-Sicherheit. durch Prävention, Detektion und Reaktion. Es trägt als
kompetenter Vordenker, übergreifender Impulsgeber und
VON BEHÖRDE BIS BÜRGER zentrale Schnittstelle zu den Fragestellungen der Infor-
Im Bereich Wirtschaft und Gesellschaft unterstützt die mations- und Cyber-Sicherheit entscheidend zur digitalen
Allianz für Cyber-Sicherheit (ACS) des BSI unter dem Motto Souveränität Deutschlands bei.
„Netzwerke schützen Netzwerke“ Unternehmen mit praxis-
nahen Hilfestellungen für die Analyse von Cyber-Risiken Diese Fähigkeit liegt in seiner Arbeitsweise, seinem Netz-
und die Umsetzung geeigneter Schutzmaßnahmen. Dabei werkdenken sowie in der tief gehenden technischen Exper-
arbeitet sie eng mit Partnern aus Wirtschaft und Forschung tise des BSI begründet. Durch seine integrierte Wertschöp-
sowie Multiplikatoren zusammen. Inzwischen gehören der fungskette der Cyber-Sicherheit findet das BSI mittels
Initiative rund 3.500 (Stand: März 2019) Unternehmen, intensiver Recherche Bedrohungen oder Lücken in beste-
Behörden, Vereine und Verbände, Forschungsinstitute und henden Systemen, warnt davor, entwickelt neue Lösungen
andere Institutionen aus ganz Deutschland an. und identifiziert gleichzeitig weitere Bedrohungen. Durch
die Kooperation von Bund und Ländern, aber auch insge-
Für alle Organisationen mit Sitz in Deutschland, die Kritische samt von Staat, Wirtschaft und Gesellschaft werden diese
Infrastrukturen (KRITIS) in Deutschland betreiben, natio- Lösungen auch anderen Institutionen nutzbar gemacht.
nale Fach- und Branchenverbände, anerkannte Single
Points of Contact (SPOC) aus den KRITIS-Sektoren sowie Das BSI nimmt aktiv teil an neuen Entwicklungen in der
die zuständigen Behörden steht die öffentlich-private digitalisierten Gesellschaft, von der Künstlichen Intelli-
Kooperation UP KRITIS als Fach- und Austauschforum genz (KI) über den Quantencomputer bis zur neuesten
zur Verfügung. IT-Sicherheitsanalysen und der fachliche Generation der Mobilfunkkommunikation (5G) und kann
Diskurs der Cyber-Sicherheitsexperten des BSI mit den durch intensive Kooperationen seine Erkenntnisse und
Experten aus Industrie, Fachorganisationen und Verbän- Forderungen zur Cyber-Sicherheit direkt und frühzeitig
den sind dabei ein wesentliches Handlungsfeld. in den Entwicklungsprozess einspielen. Auf dem Gebiet
der Kryptografie erstellt es Empfehlungen und technische
Zum Bereich Wirtschaft und Gesellschaft zählt auch das Richtlinien zu kryptografischen Verfahren und ist an der
Informations- und Beratungsangebot des BSI für die Bür- Entwicklung internationaler Kryptostandards beteiligt.
gerinnen und Bürger – seit 2018 erweitert um den Aspekt Diese Bündelung und Vernetzung von Cyber-Sicherheits-
des digitalen Verbraucherschutzes. Auf der Webseite www. Expertise in einer Behörde gibt dem BSI seine in Deutsch-
bsi-fuer-buerger.de werden die Themen und Informationen land einzigartige Schlagkraft. Auch seine zusätzlichen
rund um das Thema IT- und Internet-Sicherheit so behan- Aufgaben im Bereich des digitalen Verbraucherschutzes
delt, dass sie auch für technische Laien verständlich sind. und als zentrale Zertifizierungs- und Standardisierungs-
Neben der reinen Information leistet das BIS dort auch stelle wird es in dieser Weise wahrnehmen: als zentraler
konkrete und umsetzbare Handlungshilfe. Darüber hin- und neutraler Dienstleister in Fragen der IT-Sicherheit für
aus bietet es mit dem „Bürger-CERT“ einen kostenlosen Bund, Länder und Kommunen, für Unternehmen sowie
Warn- und Informationsdienst, der Bürger und kleine für Bürgerinnen und Bürger.24 | BSI-MAGAZIN 2019/01
Gute Noten
Onlinekundenbefragung
von Aryan Tayefeh Noruzi, Referat Anerkennung sachverständiger Stellen und Qualitätsmanagement
Kundenanforderungen spielen für das Qualitätsmanagement eine entscheidende Rolle.
Auch das BSI verbessert bei der Zertifizierung und Anerkennung mithilfe von Kunden-
befragungen die Qualität seiner Arbeit.
D
ie Zertifizierung von IT-Produk- sierung“ des BSI hat Qualität einen BSI bereits nach der DIN ISO/IEC
ten und Managementsystemen hohen Stellenwert und ist daher in 17065:2013 bei der Deutschen Akkre-
leistet einen wesentlichen Bei- Strategie und Leitlinien fest verankert. ditierungsstelle DAkkS akkreditiert.
trag zur Informationssicherheit in der Das wirkungsvollste Mittel, den Kun-
Digitalisierung. Entscheidend dafür ist denanforderungen gerecht zu werden, Prozesse und Systeme zu optimieren
eine hohe Qualität der Zertifizierung ist, ein prozessorientiertes, integriertes ist Bestandteil des täglichen Denkens
und der Anerkennungsverfahren. Qualitätsmanagement (QM)-System zu und Handelns jedes einzelnen Mitar-
implementieren und zu betreiben. beiters. Denn nur so kann ein gutes,
QUALITÄT IM MITTELPUNKT Diese Notwendigkeit wurde im BSI aktives und lebendiges QM-System
Der Qualitätsgedanke ist heute auf- frühzeitig erkannt, sodass ein QM- aufgebaut werden, das eine ständige
grund der steigenden Kundenerwar- System bereits im Jahr 2005 etabliert Prozessoptimierung impliziert.
tungen aus behördlicher Sicht nicht wurde und seither stetig weiterent-
mehr wegzudenken. Auch in der Abtei- wickelt wird. Die Produktzertifizierung Bei einem bewusst gelebten QM-Pro-
lung „Cyber-Sicherheit in der Digitali- für den Bereich Common Criteria und zess spielen auch die Kundenanforde-
sierung, Zertifizierung und Standardi- diverse Technischen Richtlinien ist im rungen eine sehr entscheidende Rolle.
Für die Weiterentwicklung werden so-
mit nicht nur interne, sondern auch
externe Impulse aufgenommen, wo-
TEILNAHME NACH GELTUNGSBEREICHEN durch eine umfangreichere Betrach-
tung aus verschiedenen Blickwinkeln
ermöglicht wird.
Anerkennung als Prüfstelle/Zertifizierung
als IT-Sicherheitsdienstleister KUNDENFEEDBACK ERFASSEN
15% Auch im BSI prägt dieses Denken die
Managementsystemzertifizierung TR tägliche Arbeit. Gerade weil bei einem
4% bewusst gelebten Qualitätsmanagement
die Kundenanforderungen eine ent-
Produktzertifizierung TR 7% scheidende Rolle spielen, wurde im BSI
eine Umfrage in Form eines Online-
fragebogens zur Erfassung des Kun-
denfeedbacks erarbeitet.
Produktzertifizierung CC 74% Auf dieser Basis werden regelmäßige
Kundenzufriedenheitsbefragungen
durchgeführt und die hieraus gewon-
nenen Erkenntnisse analysiert. Die
Managementsystemzertifizierung IT-Grundschutz und Personenzertifizierung jeweils 0%
Befragungen erfolgen nach demSie können auch lesen
