"Verbessern lässt sich alles". Behörden und Verwaltungen durchlaufen nicht unbedingt die schnellsten Innovationszyklen. Zumindest in Fragen der IT-Sicherheit bekommen sie Anschub vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Gespräch mit Sandra Gerbich liefert dessen Präsident, Udo Helmbrecht, handfeste Ergebnisse der Bemühungen.

"Verbessern lässt sich alles"

Udo Helnbrecht, Präsident BSI über PKI-Installationen in der öffentlichen Verwaltung: "Von Zurückrudern kann keine Rede sein."

Foto: BSI

Herr Dr. Helmbrecht, ist das Security-Level in deutschen Behörden und Verwaltungen ausreichend hoch?

Wir sagen immer: Verbessern lässt sich alles. Grundsätzlich ist in dieser Branche schon viel erreicht, was man von anderen Bereichen, etwa der mittelständischen Industrie, nicht uneingeschränkt sagen kann.

Bedurfte es erst eines Vorhabens wie Bund Online 2005, um etwas Schwung in die Bemühungen der öffentlichen Verwaltungen zu bringen, interne Sicherheitsinfrastrukturen zu verbessern?

Nicht ausschließlich. Es gibt eine ganze Reihe von Projekten, die in Bundesbehörden laufen, sei es das Auswärtige Amt, die Bundesregierung, der Bedarfsträger Bundeswehr, wo Sicherheit eine traditionelle Rolle spielt und wir seit jeher eine Menge dafür tun. Bund Online 2005 nun rückt insbesondere durch die Vielzahl an webbasierten Dienstleistungen, die ebenfalls abgesichert werden müssen, stärker in den Fokus öffentlichen Interesses.

Inwiefern steht das BSI den Behörden bei der Realisierung von Sicherheitsprojekten zur Seite?

Zunächst sind wir als Bundesbehörde mit unseren Beratungs-, Veranstaltungs-, Schulungsangeboten sowie weiteren Dienstleistungen für die Ministerien und anderen Bundesbehörden zuständig. Darüber hinaus begleiten wir konkrete Sicherheitsprojekte.

Bei all diesen Vorhaben setzt das BSI vorrangig auf deutsche Sicherheitsprodukte. Empfehlen oder fordern Sie den ausschließlichen Einsatz insbesondere deutscher Krypto-Produkte?

Es ist richtig, dass wir - und das unterstützt auch die Politik - die deutsche Krypto-Industrie fördern wollen - allein schon im Interesse der nationalen Souveränität. Besonders in Hochsicherheitsbereichen ist der Einsatz deutscher Produkte fast ein Muss. Wir empfehlen natürlich den Bundes- und Landesbehörden, gleiches zu tun.

Behörden und Verwaltungen galten und gelten als Vorreiter bei PKI und digitaler Signatur. Rudert man auch hier zurück, nachdem sich Ernüchterung eingestellt hat?

Von Zurückrudern kann keine Rede sein. Im letzten Jahr ist das Signaturbündnis noch einmal bekräftigt worden.

Wenn überhaupt, handelt es sich bei den PKI-Projekten jedoch vorrangig um interne Anwendungen?

Das ist vorläufig richtig. Wir haben bereits vielerorts den digitalen Dienstausweis eingeführt. Auch beim Berlin-Bonn-Verbund IVBB kommen PKI und digitale Signatur zur Anwen-dung. Für die Kommunikation mit den Bürgern hat das BSI darüber hinaus das Konzept der so genannten "Virtuellen Poststelle" entwickelt, bei dem Verschlüsselung basierend auf PKI und digitaler Signatur eingesetzt wird.

Müssen sich alle Länder und Kommunen bei der Absicherung ihrer Online-Kommunikation zu den Bürgern nach dem Konzept der "Virtuellen Poststelle" richten?

Wenn das alle tun würden, wäre das sicherlich sehr schön. Das Ziel der "Virtuellen Poststelle" ist, dass Behörden und Bürger sicher miteinander kommunizieren können. Sie soll eine vertrauliche und verbindliche elektronische Kommunikation über Web und E-Mail vereinfachen, die obendrein transparent für den Anwender ist. In Zusammenarbeit mit externen Firmen liefern wir eine Technologie, die die Basis dafür bietet. Der Bürger soll am Ende so wenig wie möglich davon merken. Und wenn sie in den Ländern und Kommunen eingesetzt wird, wäre das sehr wünschenswert.

Mit welchem Ergebnis?

Das Projekt "Virtuelle Poststelle" läuft ja noch in diesem Jahr. Ansonsten haben wir auf Bundesebene nur gewissen Einfluss auf das, was die einzelnen Länder und Kommunen entwickeln und anbieten. Wir können nur anregen und Hilfestellungen bieten.

Verpflichtend ist sie also für Länder und Kommunen nicht?

Die Länder wollen eigenverantwortlich arbeiten. Dann müssen sie auch diese Eigenverantwortung wahrnehmen. Wir bieten mit der "Virtuellen Poststelle" ein probates Produkt mit offenen Schnittstellen. Insofern täten die Länder und Kommunen gut daran, auf unser Modell aufzusetzen, zumal nur Standards Interoperabilität und Kommunikation untereinander ermöglichen. Zu seinem Glück kann man jedoch letztlich niemanden zwingen.

Das BSI stellt allen, die es wollen, ein so genanntes Unix-Sicherheitstool-Set bereit. Empfiehlt das BSI den Einsatz offener Betriebssysteme generell? Wenn ja, warum?

Wir wollen Software-Vielfalt und einen entsprechenden Wettbewerb. Wir halten Open-Source-Tools für eine gute Alternative zu proprietärer Software - speziell im Betriebssystemumfeld. Einige Pilotprojekte haben wir bereits umgesetzt. Aktuell bauen wir in einem Migrations-Projekt eine gemischte Umgebung mit Linux- und Microsoft-Clients auf, um exemplarisch dazustellen, dass gemischte Umgebungen gut zusammenspielen können.

Präferieren Sie auch den Einsatz von Open-Source-Sicherheitstools?

Auch den unterstützen wir, weil es hier ebenfalls um eine Wettbewerbsvielfalt geht. Im Umfeld von Linux macht es darüber hinaus eh Sinn, frei verfügbare Sicherheitsprodukte aufzusetzen.

Hilfe können die Anwender auch vom CERT-Bund erwarten. Was hat das BSI damit zu tun?

Wir betreiben das CERT. Dieses Lagezentrum stellt ein eigenes Referat innerhalb der Abteilung Internetsicherheit dar. Rund um die Uhr sammeln wir Informationen - etwa über kritische und dringliche Sicherheitslücken - und stellen sie jedem, der es möchte, zur Verfügung. Im Übrigen diskutieren wir gerade den Aufbau eines Bürger-CERTs, über das wir ausgewählte Sicherheitsinformationen den Bürgern zukommen lassen können.

Gibt es schon näheres?

Nur die Information, dass wir es tun wollen. Einen genauen Termin für den Start eines solchen CERTs kann ich aber noch nicht nennen.