Hauptmenü öffnen

Wikipedia β

Bundesamt für Sicherheit in der Informationstechnik

zivile obere Bundesbehörde

Koordinaten: 50° 42′ 16″ N, 7° 7′ 59″ O

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine in der Bundesstadt Bonn ansässige zivile obere Bundesbehörde im Geschäftsbereich des Bundesministeriums des Innern, die für Fragen der IT-Sicherheit zuständig ist. Der Leitsatz des BSI lautet: „Das BSI als die nationale Cyber-Sicherheitsbehörde gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.“[3] Im BSI sind rund 660 Mitarbeiter beschäftigt (Stand 2016). Für 2017 sind dem BSI 180 neue Stellen zugesprochen worden.[4]

Bundesamt für Sicherheit in der Informationstechnik
– BSI –
Logo
Staatliche Ebene Bund
Stellung Bundesoberbehörde
Aufsichtsbehörde Bundesministerium des Innern
Gründung 1. Januar 1991
Hauptsitz Bonn
Behördenleitung Arne Schönbohm (Präsident)[1]
Bedienstete > 600[2]
Website www.bsi.bund.de
Sitz des BSI in Bonn, Godesberger Allee 185–189
Bonn, Bundesamt für Sicherheit in der Informationstechnik

Inhaltsverzeichnis

GeschichteBearbeiten

Das BSI wurde 1991 gegründet und ging aus der Zentralstelle für Sicherheit in der Informationstechnik (ZSI) hervor, deren Vorgängerbehörde die dem Bundesnachrichtendienst (BND) unterstellte Zentralstelle für das Chiffrierwesen (ZfCh) war.[5] Der Mathematiker Otto Leiberich, seit 1957 beim Bundesnachrichtendienst und dort zuletzt Leiter der Zentralstelle für das Chiffrierwesen, war erster Präsident des BSI.

Nach dem Ausscheiden von Otto Leiberich wurde Dirk Henze mit Wirkung zum 1. Januar 1993 zum neuen BSI-Präsidenten bestellt. Ihm folgte im März 2003 Udo Helmbrecht. Danach trat Michael Hange am 16. Oktober 2009 sein Amt als Präsident an und wurde am 11. Dezember 2015 in den Ruhestand entlassen.[6][7] Sein Nachfolger ist seit 18. Februar 2016 der ehemalige Präsident des Cyber-Sicherheitsrat Deutschland e. V. Arne Schönbohm.[8] Im Vorfeld seiner Ernennung wurde Kritik an seiner Berufung laut.[9][10]

Mit Wirkung zum 1. Januar 2017 wurde Gerhard Schabhüser zum Vizepräsident des BSI ernannt.

Aufgaben und AbteilungenBearbeiten

Der Aufgabenbereich des BSI wird durch das Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BSI-Gesetz) festgelegt.[11] Ziel des BSI ist die präventive Förderung der Informations- und Cyber-Sicherheit, um den sicheren Einsatz von Informations- und Kommunikationstechnik in Staat, Wirtschaft und Gesellschaft zu ermöglichen und voranzutreiben. So erarbeitet das BSI beispielsweise praxisorientierte Mindeststandards und zielgruppengerechte Handlungsempfehlungen zur IT- und Internet-Sicherheit, um Anwender bei der Vermeidung von Risiken zu unterstützen.

Das BSI ist auch für den Schutz der IT-Systeme des Bundes verantwortlich. Hierbei geht es um die Abwehr von Cyber-Angriffen und anderen technischen Bedrohungen gegen die IT-Systeme und Netze der Bundesverwaltung. Das BSI berichtet dem Innenausschuss des Deutschen Bundestages hierzu einmal jährlich.

Zu den Aufgaben des BSI gehören weiterhin:[12]

  • Schutz der Netze des Bundes, Erkennung und Abwehr von Angriffen auf die Regierungsnetze
  • Prüfung, Zertifizierung und Akkreditierung von IT-Produkten und -Dienstleistungen
  • Warnung vor Schadprogrammen oder Sicherheitslücken in IT-Produkten und -Dienstleistungen
  • IT-Sicherheitsberatung für die Bundesverwaltung und andere Zielgruppen
  • Information und Sensibilisierung der Bürger für das Thema IT- und Internet-Sicherheit
  • Entwicklung einheitlicher und verbindlicher IT-Sicherheitsstandards
  • Entwicklung von Kryptosystemen für die IT des Bundes

Das BSI gliedert sich in fünf Abteilungen; vier davon sind Fachabteilungen und eine ist für Verwaltungsaufgaben (Abteilung Z) zuständig. Zusätzlich gibt es einen Leitungsstab und einen unmittelbar der Amtsleitung unterstellten Bereich „Kommunikationsstrategie und Presse“. Die vier Fachabteilungen sind jeweils in drei Fachbereiche unterteilt.[13]

Abteilung CK – Cyber-Sicherheit und Kritische InfrastrukturenBearbeiten

Leitung: Hartmut Isselhorst

  • FB CK 1 – Cyber-Sicherheit in Netzen und IT-Systemen
  • FB CK 2 – Operative Cyber-Sicherheit
  • FB CK 3 – Präventive Cyber-Sicherheit und Kritische Infrastrukturen

Abteilung B – Beratung für Staat, Wirtschaft und GesellschaftBearbeiten

Leitung: Horst Samsel

  • FB B 1 – Beratung und Unterstützung
  • FB B 2 – Cyber-Sicherheit für Wirtschaft und Gesellschaft
  • FB B 3 – Informationssicherheit in der IT der Bundesverwaltung

Abteilung D – Cyber-Sicherheit in der Digitalisierung, Zertifizierung und StandardisierungBearbeiten

Leitung: Bernd Kowalski

  • FB D 1 – Cyber-Sicherheit für elektronische Identitäten
  • FB D 2 – Zertifizierung und Standardisierung
  • FB D 3 – Cyber-Sicherheit in der Digitalisierung

Abteilung KT – Krypto-Technologie und IT-Management für erhöhten SicherheitsbedarfBearbeiten

Leitung: Günther Welsch

  • FB KT 1 – Vorgaben an und Zulassungen von Kryptosystemen
  • FB KT 2 – Evaluierung und Betrieb von Kryptosystemen
  • FB KT 3 – Management für IT- Fachverfahren mit erhöhtem Sicherheitsbedarf

Abteilung Z – Zentrale AufgabenBearbeiten

Leitung: Jörg Pieper

  • Organisation
  • Personalgewinnung und -entwicklung
  • Personalbetreuung
  • Haushalt
  • Innerer Dienst
  • Vergabe und Projektbegleitung
  • Objekt- und Geheimschutz

Das BSI gibt die IT-Grundschutz-Kataloge heraus, die Empfehlungen für Standardschutzmaßnahmen für typische IT-Systeme enthalten. In diesen Katalogen werden nicht nur technische, sondern auch organisatorische, personelle und infrastrukturelle Maßnahmen erörtert.

Das BSI ist die zentrale Zertifizierungsstelle für die Sicherheit von IT-Systemen in Deutschland (Computer- und Datensicherheit, Datenschutz). Prüfung und Zertifizierung ist möglich in Bezug auf die Standards des IT-Grundschutzhandbuch, dem Grünbuch, ITSEC und den Common Criteria.

Um Alternativen zu proprietären Produkten zu fördern, setzt sich das BSI verstärkt für den Einsatz und die Fortentwicklung von Freier Software ein.[14]

Nach dem Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes[15] vom August 2009 speichert die Behörde als zentrale Meldestelle für IT-Sicherheit alle Protokolldaten, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallen.[16]

Mit Inkrafttreten des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) im Juli 2015 wurden die Aufgaben und Befugnisse des BSI ausgeweitet (BGBl. I S. 1324). Nach § 8a BSIG müssen Betreiber Kritischer Infrastrukturen IT-Sicherheit nach dem „Stand der Technik“ umsetzen und deren Einhaltung regelmäßig gegenüber dem BSI nachweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen. Zudem wird das BSI nach § 8b BSIG die zentrale Meldestelle für die IT-Sicherheit Kritischer Infrastrukturen. Die Betreiber müssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Sofern bei einem KRITIS-Betreiber meldepflichtige Störungen der IT auftreten, darf das BSI falls erforderlich auch die Hersteller der entsprechenden IT-Produkte und -Systeme zur Mitwirkung verpflichten. Dem BSI wird darüber hinaus nach § 7a die Befugnis eingeräumt, zur Wahrnehmung seiner Aufgaben IT-Produkte auf ihre Sicherheit hin zu untersuchen.[17]

Nationales Cyber-AbwehrzentrumBearbeiten

Beim federführenden BSI angesiedelt ist das zum 1. April 2011 gestartete Nationale Cyber-Abwehrzentrum (Cyber-AZ), eine Kooperationseinrichtung der Sicherheitsorgane des Bundes zur Abwehr elektronischer Angriffe auf IT-Infrastrukturen des Bundes und der Wirtschaft. Das Cyber-Abwehrzentrum (Cyber-AZ) ist ein Kernelement der 2011 von der Bundesregierung verabschiedeten Cyber-Sicherheitsstrategie. Das Cyber-AZ soll die operative Zusammenarbeit optimieren und Schutz- und Abwehrmaßnahmen koordinieren. Dies geschieht auf Basis eines ganzheitlichen Ansatzes, der die verschiedenen Gefährdungen im Cyberraum zusammenführt: Cyber-Spionage, Cyber-Ausspähung, Cyber-Terrorismus und Cyber-Crime. Das Ziel: Schneller Informationsaustausch, schnelle Bewertungen und daraus abgeleitete konkrete Handlungsempfehlungen. So wie die Gefährdungslage sich seit 2011 verändert hat, hat sich auch das Cyber-AZ gewandelt. Es entwickelte sich von einer reinen Informationsdrehscheibe hin zur zentralen Kooperationsplattform der IT-Sicherheitsbehörden.[18] Vom Bundesrechnungshof gab es Kritik an dem Zentrum,[19] der Rechnungshof meint, die Cyber-AZ sei „nicht geeignet, die über die Behördenlandschaft verteilten Zuständigkeiten und Fähigkeiten bei der Abwehr von Angriffen aus dem Cyberraum zu bündeln.“[20]

Allianz für Cyber-SicherheitBearbeiten

Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik, die 2012 in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) gegründet wurde. Als Zusammenschluss aller wichtigen Akteure im Bereich der Cyber-Sicherheit in Deutschland hat die Allianz das Ziel, aktuelle und valide Informationen zu Gefährdungen im Cyber-Raum bereitzustellen. Die Initiative unterstützt zudem den Informations- und Erfahrungsaustausch zwischen den Teilnehmern. Der Allianz für Cyber-Sicherheit gehören inzwischen mehr als 2.000 Institutionen an, davon knapp 100 Partner-Unternehmen und 45 Multiplikatoren. Die Teilnahme ist kostenlos und kann grundsätzlich durch jede deutsche Institution beantragt werden. Die Allianz adressiert insbesondere kleine und mittlere Unternehmen (KMU) und unterstützt diese dabei, die Cyber- und IT-Sicherheit des Unternehmens zu verbessern.[21]

UP KRITISBearbeiten

Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen wie dem BSI. Er adressiert acht der neun Sektoren Kritischer Infrastrukturen. Der Sektor „Staat und Verwaltung“ wird durch den UP BUND und Aktivitäten auf Länder- und Kommunalebene abgedeckt. Ziel der Kooperation UP KRITIS ist es, die Versorgung mit Dienstleistungen Kritischer Infrastrukturen in Deutschland aufrechtzuerhalten. Am UP KRITIS teilnehmen können auf Antrag alle Organisationen mit Sitz in Deutschland, die Kritische Infrastrukturen in Deutschland betreiben, nationale Fach- und Branchenverbände aus den KRITIS-Sektoren sowie die zuständigen Behörden.[22]

BSI für BürgerBearbeiten

Zu den Aufgaben des BSI gehört die Information und Sensibilisierung von Bürgern für einen sicheren Umgang mit Informationstechnologie, mobilen Kommunikationsmitteln und Internet. Das BSI bietet daher ein speziell für die Bürger zugeschnittenes Internetangebot. Auf der Webseite werden die Themen und Informationen rund um das Thema IT- und Internet-Sicherheit so behandelt, dass sie auch für technische Laien verständlich sind. Neben der reinen Information bietet das BSI dort auch konkrete und umsetzbare Handlungsempfehlungen an, beispielsweise zu Themen wie E-Mail-Verschlüsselung, Smartphone-Sicherheit, Online Banking, Cloud Computing oder Soziale Netzwerke. Auch telefonisch oder per E-Mail können sich Privatanwender mit ihren Fragen zu Themen der IT- und Internetsicherheit an das BSI wenden.[23] Darüber hinaus bietet das BSI mit dem „Bürger-CERT“ einen kostenlosen Warn- und Informationsdienst, der Bürger und kleine Unternehmen schnell und kompetent über Schwachstellen, Sicherheitslücken und anderen Risiken informiert und konkrete Hilfestellungen gibt.[24]

ProdukteBearbeiten

  • Chiasmus, Verschlüsselungssoftware für Windows und Linux

Kostenfreie Tools/Produkte:

Sicherheitsempfehlungen für den öffentlichen Dienst:

Sicherheitsempfehlungen für Privatanwender:

  • Webseite BSI für Bürger

VeröffentlichungenBearbeiten

 
Messestand auf der CeBIT 2015

Das BSI veröffentlicht regelmäßig Studien, Richtlinien, Infoblätter und Broschüren zum Thema IT-Sicherheit. Diese Dokumente werden teilweise zum kostenlosen Download angeboten.[25] Neben diesen allgemeinen Veröffentlichungen nutzt das BSI seit 1993 die Zeitschrift <kes> als offizielles Organ.

Mitte Januar 2014 gab es Berichte über den millionenfachen Diebstahl von Internet-Nutzerdaten in Deutschland. Dem Bundesamt war dieser Vorfall bereits seit Dezember 2013 bekannt.[26] Das BSI richtete eine Webseite ein, nach deren Angaben es etwaige Betroffenheiten überprüfte.[27] Anfang April 2014 wurde ein erneuter Datendiebstahl bekannt, bei dem 21 Millionen E-Mail-Adressen ausgespäht wurden, von denen in Deutschland zirka drei Millionen betroffen waren. Die betroffenen E-Mail-Adressen konnten erneut auf einer Webseite des Bundesamts überprüft werden.[28]

Das BSI veröffentlicht jährlich den Bericht zur Lage der IT-Sicherheit in Deutschland.[29] Der Lagebericht des BSI beschreibt und analysiert die aktuelle IT-Sicherheitslage, die Ursachen von Cyber-Angriffen sowie die verwendeten Angriffsmittel und -methoden, auch anhand konkreter Beispiele und Vorfälle. Daraus abgeleitet thematisiert der Lagebericht Lösungsansätze zur Verbesserung der IT-Sicherheit in Deutschland. Der Lagebericht für 2016 wurde am 9. November 2016 im Rahmen der Bundespressekonferenz von Bundesinnenminister Thomas de Maizière und BSI-Präsident Arne Schönbohm der Öffentlichkeit vorgestellt.[30]

Zweimal jährlich publiziert das BSI das BSI-Magazin, das aktuelle Themen der Digitalisierung und der Cyber-Sicherheit auch für Laien verständlich aufbereitet und darstellt.[31]

WeblinksBearbeiten

EinzelnachweiseBearbeiten

  1. https://www.bsi.bund.de/DE/DasBSI/DerPraesident/derpraesident_node.html
  2. Selbstdarstellung des BSI mit Angabe der Mitarbeiteranzahl. Aufgerufen am 18. Februar 2016.
  3. BSI – Das Leitbild des Bundesamt für Sicherheit in der Informationstechnik. In: www.bsi.bund.de. Abgerufen am 9. Januar 2017.
  4. Bundeshaushalt 2017. In: bundeshaushalt-info.de. Abgerufen am 9. Januar 2017 (PDF).
  5. BSI-Jahresbericht 2003: Historie, abgerufen am 25. Juni 2016 (PDF, 6MB)
  6. Lebenslauf Michael Hange auf bsi.bund.de
  7. BSI-Präsident Hange in den Ruhestand verabschiedet auf bsi.bund.de 11. Dezember 2015
  8. Pressemitteilung BMI: Neuer Präsident des BSI tritt Dienst an 17. Dezember 2015
  9. IT-Sicherheit: Arne Schönbohms BSI-Antritt verzögert sich In: Welt Online. 15. Februar 2016.
  10. Bundesregierung ernennt Cyberclown Arne Schönbohm zum BSI-Präsidenten. In: Netzpolitik.org. 17. Februar 2016.
  11. BSIG - nichtamtliches Inhaltsverzeichnis. In: www.gesetze-im-internet.de. Abgerufen am 11. Januar 2017.
  12. BSI - Fragen und Antworten zu den Aufgaben und Themen des BSI. In: www.bsi.bund.de. Abgerufen am 11. Januar 2017.
  13. Organisation des BSI gem. §11 Informationsfreiheitsgesetz (IFG) Stand: 1. März 2017
  14. Strategische Position des BSI zu Freier Software. Abgerufen am 30. März 2017.
  15. Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes. 14. August 2009, abgerufen am 2. Juni 2010 (80 kB, pdf).
  16. Bundestag beschließt neues BSI-Gesetz, Heise online, 19. Juni 2009.
  17. BSI – Neuregelungen des IT-Sicherheitsgesetzes. 11. April 2016, abgerufen am 11. April 2016.
  18. BSI - Cyber-Abwehrzentrum - Cyber-Abwehrzentrum. In: www.bsi.bund.de. Abgerufen am 9. Januar 2017.
  19. Steuer-Millionen weg: Nationale Cyber-Abwehr ist eine Geister-Behörde. Deutsche Wirtschaftsnachrichten, 7. Juni 2014, abgerufen am 15. November 2014.
  20. Rechnungsprüfer halten Cyber-Abwehrzentrum für „nicht gerechtfertigt“. Süddeutsche Zeitung, 7. Juni 2014, abgerufen am 15. November 2014.
  21. ACS - Informationen zur Allianz für Cyber-Sicherheit. In: www.allianz-fuer-cybersicherheit.de. Abgerufen am 11. Januar 2017.
  22. Kritis - Startseite. In: www.kritis.bund.de. Abgerufen am 11. Januar 2017.
  23. BSI - Fragen und Antworten zu den Aufgaben und Themen des BSI. In: www.bsi.bund.de. Abgerufen am 11. Januar 2017.
  24. Bürger-CERT - Ins Internet - mit Sicherheit! In: www.buerger-cert.de. Abgerufen am 11. Januar 2017.
  25. BSI-Studien
  26. BR-Interview mit dem BSI-Präsidenten Michael Hange (Memento vom 1. Februar 2014 im Internet Archive), 22. Januar 2014.
  27. sicherheitstest.bsi.de/#email, 22. Januar 2014.
  28. Erneuter Datenklau – BSI warnt Internetnutzer. In: test.de. 7. April 2014, abgerufen am 9. April 2014.
  29. BSI-Lagebericht IT-Sicherheit. In: www.bsi.bund.de. Abgerufen am 9. Januar 2017.
  30. Immer mehr Cyberangriffe in Deutschland. In: tagesschau.de. Abgerufen am 9. Januar 2017.
  31. BSI-Magazin. In: www.bsi.bund.de. Abgerufen am 9. Januar 2017.