BSI: Kein Beitrag zur Verringerung der Verletzlichkeit

23.03.1990

Professor Alexander Roßnagel, Wissenschaftlicher Leiter der Projektgruppe verfassungsverträgliche Technikgestaltung (Provet), Darmstadt

Viele Bereiche von Wirtschaft und Verwaltung sind bereits heute von dem einwandfreien Funktionieren der Informationstechnik abhängig. Mit dem zunehmenden Einsatz der Informationstechnik steigen auch die damit verbundenen Risiken durch unrichtige, unbefugt gesteuerte, fehlende oder rechtsgutgefährdende Informationen. Mit diesen Worten leitet die Bundesregierung ihre Begründung für den Entwurf eines "Gesetzes über die Errichtung des Bundesamts für die Sicherheit in der Informationstechnik" (BSI) ein. Knapp und zutreffend beschreibt sie die "Verletzlichkeit der modernen Informationsgesellschaft" und damit das zentrale Problem. Doch was ist die Antwort? Ein Amt, das Zertifikate erteilt: Bürokratie und Papier.

Ein Amt zu schaffen und durch die institutionelle Verfestigung die politische Verantwortung für dieses Problem zu übernehmen, kann die Sicherheit in der Informationstechnik erhöhen - wenn der Markt sie nachfragt. Dies soll hier nicht verkannt werden. Doch lösen solche Maßnahmen noch nicht das Problem der Verletzlichkeit. Die Errichtung eines Bundesamts ist ein Schritt in die richtige Richtung - nur ein viel zu kurzer.

Dem Gesetzentwurf tut man sicher kein Unrecht, wenn man ihn an seiner eigenen Zielsetzung mißt, die Verletzlichkeit der Informationsgesellschaft zu begrenzen. Die Verletzlichkeit, die Möglichkeit großer Schäden, wird geprägt durch die Wahrscheinlichkeit von Schadensereignissen und das Ausmaß der zu erwartenden Schäden. Die vorgesehenen Maßnahmen beschränken sich jedoch weitgehend auf die Reduzierung nur eines Aspekts der Verletzlichkeit, nämlich der Wahrscheinlichkeit. Und auch dies nur beschränkt und bürokratisch.

Beschränkt ist der Sicherheitsbegriff des Gesetzentwurfs, weil er Sicherheit nur technisch versteht. Sicherheit wird hergestellt durch Sicherheitstechnik. Bürokratisch ist sein Begriff von Sicherheit, weil er ihn expressis verbis definiert als "die Einhaltung bestimmter Sicherheitsstandards". Sicher ist die Technik dann, wenn ein Beamter abstrakt festgestellt hat, daß sie einer Beschaffenheitsnorm entspricht.

Entscheidend für die Verletzlichkeit der Gesellschaft ist aber nicht nur die Technik, sondern auch die soziale Funktion, die sie im Rahmen einer konkreten Anwendung erfüllen soll.

Nur wer Informations- und Kommunikationssysteme auch in Sicherheitsanalysen als sozio-technische Systeme betrachtet, kann mögliche Motive für Computermißbrauch beeinflussen, Gründe für Fehlbedienungen beseitigen oder die immer begrenzte Verläßlichkeit von Sicherungsmaßnahmen verstärken. Ins Auge zu fassen sind daher nicht nur die Risiken, die aus Sicherheitsmängeln technischer Produkte entstehen, sondern auch die Risiken, die von den sozialen Bedingungen und Folgen der Technik + Nutzung und -Sicherung im betrieblichen und gesellschaftlichen Kontext hervorgerufen werden.

Problematischer noch ist jedoch, daß die Fixierung auf Sicherheitstechnik von dem wichtigsten Grund für die Verletzlichkeit ablenkt, nämlich von der Abhängigkeit des einzelnen und der Gesellschaft vom einwandfreien Funktionieren der Informations- und Kommunikationstechnik. Allein die Zuverlässigkeit der Technik zu verbessern kann sogar die Abhängigkeit von der Technik und damit deren Schadenspotential im Ernstfall erhöhen, wenn im Vertrauen auf diese Fortschritte immer riskantere Anwendungen gewagt werden. Die Verletzlichkeit der Informationsgesellschaft kann dagegen nur begrenzt werden, wenn nicht nur die Wahrscheinlichkeit, sondern auch das Ausmaß der Schadenspotentiale verringert werden. Dies aber setzt neben technischen Maßnahmen zur Gewährleistung von Redundanz vor allem voraus, die Abhängigkeit der Gesellschaft von einem Techniksystem etwa durch Substitutionsalternativen oder Dezentralisierung zu verringern.

Die technische Entwicklung selbst bleibt jedoch außerhalb des Blickfeldes. Ein steuernder oder auch nur korrigierender Eingriff aus Sicherheitsgesichtspunkten ist nicht vorgesehen. Weder im staatlichen noch im nichtstaatlichen Bereich soll die zunehmende Abhängigkeit der Gesellschaft und das Entstehen großer Schadenspotentiale in irgendeiner Weise beeinflußt, noch sollen gar gezielt sozio-technische Alternativen entwickelt werden.

Der Gesetzentwurf erscheint daher als ein halbherziger Versuch der Bundesregierung, einem von ihr mitverursachten Dilemma zu entgehen. Auf der einen Seite forciert sie den Wettlauf in die "Informationsgesellschaft", auf der anderen Seite muß sie aber die Sicherheitsgefahren und Sicherungszwänge erkennen, die sie damit setzt. Die Risiken gefährden nun die Akzeptanz des eingeschlagenen Weges in die "Informationsgesellschaft" und zwingen zum Handeln. Da die Bundesregierung aber offensichtlich nicht bereit ist, ihre Politik zu verändern, versucht sie, diese Risiken so zu definieren, daß sie durch die Errichtung eines Bundesamtes und seiner im wesentlichen auf die Verbesserungen der Sicherheitstechnik begrenzten Aufgabenstellung lösbar erscheinen.

Die Kehrseite des absehbaren Unvermögens, das selbstgesteckte Sicherheitsziel zu erreichen, ist der Sicherungszwang, der von dem Schadenspotential der Informations- und Kommunikationstechnik ausgeht. Er kommt im Rahmen des Gesetzentwurfs in einer widersprüchlichen Aufgabenstellung zum Ausdruck.

Das Bundesamt soll auf der einen Seite den Bundesbeauftragten für den Datenschutz unterstützen, also durch seine technische Kompetenz dazu beitragen, das Recht auf informationelle Selbstbestimmung besser zu schützen. Zugleich soll es auf der anderen Seite eine besonders schwierige "Kundschaft" des Datenschutzbeauftragten unterstützen, nämlich das Bundeskriminalamt, den Militärischen Abschirmdienst und den Verfassungschutz. Sein technischer Sachverstand soll mithelfen, als riskant definierte Verhaltensweisen und Absichten effektiver auszuforschen - und damit das Recht auf informationelle Selbstbestimmung zu beschneiden.

Andere zu schädigen, muß verhindert werden. Ziel des Gesetzentwurfs ist daher das "rechtzeitige Erkennen entsprechender Aktivitäten". Wie aber soll dies ohne Eingriff in das Recht auf informationelle Selbstbestimmung auch Unbeteiligter möglich sein? Bei klassischen Delikten - Körperverletzung, Einbruchdiebstahl, Raub - ist das Unrecht der Tat relativ leicht bereits an der Tathandlung zu erkennen.

Die Handlungskompetenz der Polizei kann daher einfach auf die Verhinderung solcher Taten und die Verfolgung von Tätern oder Verdächtigen begrenzt und dadurch ein Unschuldiger vor Polizeimaßnahmen bewahrt werden. Bei Computerdelikten ist dies nicht so.

Dem Tippen auf einem Terminal ist nicht anzusehen, ob harmlose Daten oder ein Computervirus eingegeben werden.Wenn die Grenze zwischen kriminogener Situation und harmlosem Alltag nicht mehr anhand eindeutiger Handlungen gezogen werden kann, muß die Situation nach "Unsicherheit" auch auf normales Verhalten ausgedehnt werden.Im polizeilichen Ausforschungsinteresse kann erst mal keine Grenze im Verhalten der Betroffenen gezogen werden. Sie sind alle verdächtig.

Dieses Ausforschungsinteresse zu unterstützen, wird aber immer dringender, je abhängiger die Gesellschaft von dem richtigen funktionieren der Informations- und Kommunikations-technik wird.Technische Sicherheit zu erhöhen, ist wichtig weil sie den Sicherungszwang reduziert. Aber sie wird nicht die notwendige Sicherheit bieten, die angesichts der hohen Schadenspotentiale erforderlich ist - vielmehr wird sie selbst wieder zu einer weiteren Erhöhung der Schadensmöglichkeiten führen.

Eine Gesellschaft, die - um mögliche Katastrophen auszuschließen - darauf angewiesen ist, Sicherheit gegenüber menschlicher Böswilligkeit zu gewährleisten, ist auf präventive gesellschaftliche Kontrolle angewiesen. Will die Gesellschaft im Interesse von Freiheit und Demokratie diesen Sicherungszwang vermeiden, muß sie ihre Abhängigkeit von Techniksystemen und damit deren Schadenspotential reduzieren.

Der Gesetzentwurf läßt jedoch in seiner Technikfixierung auch die negativen sozialen Folgen unberücksichtigt, die der Sicherungszwang verursacht. Statt ihn zu verringern, strebt der Entwurf an, ihn bestmöglich zu erfüllen.

Die Probleme der Verletzlichkeit der Gesellschaft liegen offen zutage, die erforderlichen Konsequenzen auf der Hand. Warum wird dann der Gesetzentwurf seiner eigenen Zielsetzung so wenig gerecht? Warum können die Aufgaben des Bundesamts für die Informationstechnik nicht dahin erweitert werden, auch die Abhängigkeit der Gesellschaft von Informations- und Kommunikationstechnik zu beobachten und zu bewerten? Warum können seine Beratungs- und Berichtspflichten nicht auf die sozialen Aspekte der Verletzlichkeit ausgedehnt werden? Und schließlich: Warum erhält das Bundesamt keine Möglichkeit, zur Begrenzung der Verletzlichkeit, gestaltend oder zumindest kontrollierend, in den Prozeß der Technikentwicklung und -anwendung einzugreifen?

Aktuelles Spotlight

Den Text des Gesetzentwurfs zur Errichtung eines Bundesamtes für Sicherheit in der Informationstechnik, BSI, finden Sie auf Seite 41 innerhalb einer ausführlichen Berichterstattung zum Thema IT-Sicherheit aus Anlaß des Bundestags-Hearings. Das aktuelle "Spotlight der COMPUTERWOCHE auf den Seiten 40 bis 50 läßt sowohl weitere Kritiker der Sicherheitsinitiative der Bundesregierung zu Wort kommen, als auch Insider der heutigen ZSI, die die künftige Aufgabe und Organisationsstruktur der geplanten Bundesbehörde knapp und sachlich skizzieren.