computerwoche.de

Archiv

Sicherheitsdienste erobern neues Aufgabengebiet

Mutation einer Geheimdienststelle

23.03.1990

"Nun, da die Gefahr der Bespitzelung aus dem früheren Ostblock gesunken ist, will sich die

Bundesregierung offenbar auf die Sicherheitslücken im Inland konzentrieren" (0. So

problematisch beschreibt eine Zeitung die Aufgaben der Zentralstelle für Sicherheit in der Informationstechnik (ZSI), die der Staatssekretär im Bundesinnenministerium (BMI), Hans Neusel, kürzlich auf der Wissenschafts-Pressekonferenz vorstellte.

Dabei bestätigte Neusel auch, daß die Bundesrepublik seit den fünfziger Jahren einen Chiffrier-Geheimdienst, die "Zentralstelle für das Chiffrierwesen (ZfCh) beim Bundesnachrichtendienst (BND)", hatte. Dieser Zentralstelle der "Code-breaker und Code-maker" (Neusel) wurde bereits 1987 der "Aufgabenbereich Computersicherheit übertragen". Mit Wirkung vom 1. Juni 1989 ist die ZfCh in die ZSI umgewandelt worden.

Die aus ihrer Herkunft resultierende organisatorische Verbindung der ZSI zum BND soll mit einem am 21. 2.1990 vom Bundeskabinett verabschiedeten "Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSI)" (siehe Seite 41 - 43), das noch vor der Sommerpause durch den Bundestag gebracht werden soll, beendet werden. Aus der ZSI soll dann zum 1.1.1991 eine Bundesoberbehörde unter der Aufsicht des BMI werden. Doch auch mit dem weiteren Namenswechsel - von ZSI in BSI - endet die Verbindung zu den Geheimdiensten keineswegs, die ZSI wechselt nur den Partner der Zusammenarbeit. Im BMI hat die Abteilung IS 4 (Innere Sicherheit 4), zuständig für Geheimschutz und Sabotageschutz, Geheimschutzbeauftragter, nationale Sicherheitsbehörde (sprich: Bundesamt für Verfassungsschutz) die Fachaufsicht über die ZSI übernommen. Wegen ihrer Bedeutung wird die BSI ein eigenes Referat im BMI erhalten, was jedoch im gleichen Zuständigkeitsbereich liegen wird.

Grundlage des BSI-Gesetzes ist das "Rahmenkonzept zur Gewährleistung der Sicherheit bei Anwendung der Informationstechnik (IT) - IT-Sicherheitsrahmenkonzept, das vom Bundeskabinett am 23.11.1989 beschlossen wurde. Dieses Rahmenkonzept wurde vom "Interministeriellen Ausschuß für die Sicherheit in der Informationstechnik (ISIT)" entwickelt und vom darin federführenden BMI vorgelegt. Die im BSI- Gesetz genannten Oberbegriffe gehen auf dieses Rahmenkonzept zurück; das Rahmenkonzept ist der eigentliche und ausführliche Leitfaden der Arbeit der ZSI und späteren BSI.

Das IT-Sicherheitsrahmenkonzept der Bundesregierung hat als Ziel, Bedingungen festzulegen, um

- IT-Anwender in die Lage zu versetzen, system- und anwenderbezogen Risikoanalysen zu erstellen und angemessene Sicherheitskonzepte zu entwickeln und zu realisieren,

- IT-Systeme/-Komponenten mit einem ausreichenden Sicherheitsstandard zur Verfügung zu stellen,

- die internationale Wettbewerbsfähigkeit deutscher/europäischer IT-Hersteller unter dem Aspekt eines hohen Sicherheitsstandards zu stärken.

Die Sicherheitskriterien des Rahmenkonzepts

Ausgerichtet sind die Sicherheitskriterien des Rahmenkonzepts am sogenannten Sicherheitsinteresse, das definiert wird als Sicherheitsaspekte

- des Datenschutzes nach dem Bundesdatenschutzgesetz,

- der Wirtschaft und Wissenschaft

- des staatlichen Geheimschutzes und

- der Verteidigung.

Die Frage, welche Sicherheitsaspekte hier Vorrang haben, läßt sich ohne große Mühen ableiten.

Der Paragraph 6 des Bundesdatenschutzgesetzes (BDSG) verpflichtet den Bund wie auch die Wirtschaft, bei der Verarbeitung personenbezogener Daten Sicherheitsmaßnahmen zu ergreifen, die dem technischen Standard entsprechen jedoch weitgehend dem heute gebräuchlichen Stand der Technik. Nichtpersonenbezogene Daten aus Kosten- oder aus anderen Gründen nicht dem Stand der Technik entsprechend zu schützen, ist eine Anwenderentscheidung.

Schäden, die durch solche Sparmaßnahmen entstehen, werden auch nicht vom Gesetzgeber anerkannt: Die Hackerparagraphen gehen beim Hacken vom Eindringen in hinreichend geschützte Systeme aus. Ungeschützte Systeme kann man nach juristischer Lehrmeinung nicht erhacken (2), und auch die Versicherungen, die gegen Computersabotage angeboten werden, ersetzen Schäden bei ungeschützten Systemen nicht

In Wirtschaft und Wissenschaft ist der Aufwand der Datensicherheit eine Anwenderentscheidung, der Datenschutz schreibt den Stand der Technik als Maß für Sicherheitssysteme vor. Übrig bleibt vom "öffentlichen Sicherheitsinteresse", das das Rahmenkonzept in Anspruch nimmt, also der staatliche Geheimschutz und die Verteidigung.

Der Referatsleiter für Informationstechnik beim Bundesdatenschutzbeauftragten, Schmidt, bedauert, "daß die Beteiligung der nachrichtendienstlichen Zentralstelle für das Chiffrierwesen dann doch viel intensiver war als zunächst gewollt" Dies, so Schmidt, "liegt wie so vieles am Geld, das für die Aufgabe der Datensicherung zunächst nicht locker zu machen war, und am Fehlen anderweitig verfügbarer Experten". Unter diesen Umständen hält Schmidt das Konzept für "noch das beste, das erreichbar war".

Die Lage bei DV-Einführung und -Nutzung und damit auch der Sicherheit in den Bundesministerien, die vor allem vom preisgünstigen Einsatz von PCs ausgehen, bewertete der Haushaltsausschuß des Bundestages 1988 so, daß er eine vorübergehende 20prozentige Mittelsperre "wegen deren Konzeptionslosigkeit in der DV verhängte" (4). Die ZSI soll nun das Auswärtige Amt als Pilotprojekt für ein sicheres Inhouse-Netz unterstützen, das zu einem Maßstab für die Umsetzung der "Richtlinien für den Einsatz der IT in der Bundesverwaltung" werden soll. Die Sicherheitsinteressen der Verteidigung schließlich nimmt das Militär bereits selbst in die Hand.

Trägt man alle Punkte zusammen, so hat die ZSI/BSI folgende Aufgaben.

- Analyse und Darstellung der Risiken bei der IT-Anwendung.

- Beratung in IT-Sicherheitsfragen.

- Entwicklung und Herausgabe von IT-Sicherheitskriterien.

- Prüfung von IT-Komponenten von Herstellern und - auf Antrag - bei und für Behörden.

- Zulassung von Systemen und Komponenten für den Einsatz in Behörden.

- Entwicklung technischer Verfahren zur Sicherung der IT.

- Einwirkung auf und Begleitung von IT-Forschungsprogrammen.

- Einwirkung im Bereich nationale/internationale Normung.

- Zusammenarbeit im internationalen Bereich (EG, NATO).

- Beratung bei Verbreitung beziehungsweise Export von Sicherheitssystemen.

- Zusammenarbeit mit den Sicherheitsbehörden.

In der Aufklärung über Sicherheitsrisiken ist die ZSI bereits tätig geworden. Am 1. Juni 1989 veröffentlichte sie die IT-Sicherheitskriterien, eine "Fortentwicklung des in Fachkreisen bekannten, Orange Book des US-amerikanischen Department of Defense (DoD)" (6). Damit werden auch in der Bundesrepublik die Sicherheitsvorstellungen des Militärs zum Sicherheitsmaßstab im zivilen Bereich. Was für eine Organisation wie das Militär notwendig sein kann, ist in anderen Bereichen nicht ohne weiteres sinnvoll. Hierarchische Kommandostrukturen, die sich in der Datenweitergabe nach dem "need to know"-Prinzip (7) niederschlagen, können kein Vorbild in einem demokratischen Rechtsstaat sein. Statt einer weiteren Militarisierung ziviler Bereiche wäre eine Trennung zwischen zivilen und militärischen Sicherheitsanforderungen notwendig.

Nach den IT-Sicherheitskriterien wird die ZSI/BSI Prüfungen von Produkten vornehmen und Sicherheitszertifikate vergeben. Die von ausländischen Anbietern geäußerten Befürchtungen, der Marktzugang werde über Sicherheitsfragen gesteuert, lassen sich nach Paragraph 4 des BSI-Gesetzes nicht von der Hand weisen. Die dort angeführten Vergaberegelungen, die vom "öffentlichen Interesse" und "sicherheitspolitischen Belangen der Bundesrepublik Deutschland" abhängen, geben dem BSI ein neues marktpolitisches Instrumentarium. Geprüfte Produkte sollen nach Möglichkeit allen Anwendern zur Verfügung stehen, um so bei standardisierten Sicherheitssystemen die Voraussetzungen für hohe Stückzahlen und damit kostengünstige Lösungen zu schaffen.

Die mit den Prüfungen für Sicherheitszertifikate verbundenen Erwartungen dürfen allerdings nicht zu hoch angesetzt werden. Erstens gibt die ZSI zu, selbst mittelfristig nur beschränkte Kapazitäten zu Prüfungen verfügbar zu haben. Zweitens muß nach den bisher bekannt gewordenen Kriterien das einem Stand-alone-System erteilte Sicherheitszertifikat dann wieder aberkannt werden, wenn dieses System vernetzt wird. Drittens ist die Umsetzung der Sicherheitskriterien der ZSI auf die gebräuchlichsten Betriebssysteme nicht vor dem Jahr 2010 zur erwarten: "... bei Betriebssystemen wie MVS (siehe CW Nr. 5/90, Seite 30) zum Beispiel, das auf die Mitte der sechziger Jahre zurückgeht, sowie bei BS2000 oder Unix die Ende der sechziger Jahre entstanden sind, ist so ein Modell allenfalls mit einem Aufwand von 12 bis 15 Jahren zu implementieren" (8). Damit dürften auch die mit diesen Betriebssystemen arbeitenden Rechner von BKA und Verfassungsschutz kein Sicherheitszertifikat erhalten. Trotz dieser Schwierigkeiten, die Grundlage der Sicherheit, das Betriebssystem in den Griff zu kriegen, weitet die ZSI ihre Sicherheitsanalysen schon auf "die Sicherheit in Datenbanken und Expertensystemen" (9) aus.

Maßnahmen: Den Bock zum Gärtner machen

Als Sicherheitsmaßnahmen sieht das Rahmenkonzept neben solchen Selbstverständlichkeiten wie Closed-Shop-Betrieb mit Brandschutz-, Notstrom- und Wasserschutzmaßnahmen und zusätzlicher Backup-Kapazität auch Zutrittskontrollen, Verwendung vertrauenswürdiger Software, Maßnahmen gegen Diebstahl und Sicherheitsüberprüfungen von DV-Personal vor. Mit Kryptierverfahren für Software soll diese gegen Manipulation gesichert werden, zwangsweise automatische Kryptierung von Datenübermittlungen soll diese gegen unerlaubten Zugriff schützen. Passwordschutz, zum Teil mit Fingerabdruck als Authentisierung, sowie die Protokollierung der Aktionen der DV-Benutzerinnen und - Benutzer sind ebenfalls vorgesehen. Alle im Rahmenkonzept vorgestellten Sicherheitsmaßnahmen sind nicht neu, sondern zumeist auf dem Markt verfügbar.

Nach Paragraph 3 BSI-Gesetz soll die BSI nicht nur Kryptisiersysteme entwickeln, sondern auch die Schlüssel für diese Systeme an deren Benutzer vergeben. Wie schon in den USA mit der National Security Agency (NSA) geschehen, sollen auch hier die ehemaligen Code-Knacker die Verwalter der "sicheren" Codes werden. Diese Kontrolle über Codes und Schlüssel muß der ehemaligen ZfCh die Entschlüsselungsarbeit doch sehr erleichtern.

Kontrolle über Forschungssubventionen

Eine weitere Aufgabe, die schon Innenminister Schäuble vorstellte, ist die Entwicklung "bestimmter technischer Sicherheitskomponenten". Die ZSI/ BSI trägt die Kosten für Forschung und Entwicklung von Sicherheitskomponenten, deren Entwicklung im "öffentlichen Interesse" liegt.

Entwicklungsaufträge darf die ZSI/BSI auch an andere vergeben. Damit erhält die ZSI/BSI im Sicherheitsbereich die Kontrolle über neue Forschungssubventionen. Die Herstellung der "allgemein" einzusetzenden Sicherheitskomponenten soll ausgewählten und auf ihre Zuverlässigkeit geprüften Firmen überantwortet werden.

Die ZSI/BSI legt auch die Richtlinien fest, nach denen Sicherheitsprodukte dem Geheimschutz unterliegen und nach denen diese Produkte exportiert werden dürfen.

Diese Sicherheitskonzepte und -produkte sollen, so Neusel, der Begrenzung der "Verletzlichkeit der modernen Informationsgesellschaft" dienen, da "andernfalls die Akzeptanz für die Informationstechnik gefährdet sei". Das IT-Sicherheitsrahmenkonzept nennt noch unterschiedliche Ausfallrisiken:

- Defekte bei Hard- und Software beziehungsweise der Infrastruktur,

- "höhere Gewalt" wie Blitz und Feuer,

- menschliches Versagen (zum Beispiel Fehlbedienung, Eingabe falscher Daten),

- kriminelle Handlungen (zum Beispiel Computerkriminalität).

Der seit 1974 amtierende Amtsleiter der ZfCh und jetzige Amtsleiter der ZSI, Otto Leiberich, nennt den eigentlichen Grund für die Einrichtung der ZSI: "Wir haben es satt, uns immer von den Hackern überraschen zu lassen" (10). Deswegen will er Sicherheitslücken in IT-Systemen "ermitteln und aufdecken - bis hin zur Skizzierung von theoretischen Angriffsmodellen". (Hat denn Leiberich niemand gesagt, daß

Hacken nichts mit Militärmanövern zu tun hat, sondern auf der Nutzung reicher praktischer Erfahrung beruht?)

Während eine IBM-Studie die Häufigkeit des Eintretens von "Bedrohungen" der Informationstechnologie so beziffert, daß 54 Prozent von "normalen" Fehlern, 24 Prozent von Mitarbeitern, 17 Prozent von Feuer- und Wasserschäden und nur drei Prozent von Externen herrühren (10, sind die Aufgaben der ZSI/BSI ausschließlich an der sogenannten Computerkriminalität ausgerichtet. Die Aufzählung von potentiellen Tätern läßt kein Feindbild-Klischee von Sicherheitsbeamten aus. Aufgezählt werden neben "kriminellen Insidern" nur noch "gegnerische Nachrichtendienste", "extremistische/terroristische Gruppierungen" und sogar das "organisierte Verbrechen".

Das Unvermögen, sich im BMI und anderswo neue, aus den Möglichkeiten der Informationstechnologie erwachsende Verbrechensformen - wie etwa solche, die die Löschung der Tatspuren beinhalten (12) - vorzustellen, wird deutlich, wenn lediglich alte Verbrechensformen auf die Technologie übertragen werden. So wird etwa als neue Form der "Datenerpressung" das Bitnapping erwartet (13).

Diese fast ausschließlich auf Hacken als Grund eines DV-Ausfalls gerichtete Gewichtung der Risiken ist direkte Folge des inzwischen als "KGB-Hack" bekannt gewordenen Falles um vier Hacker, die Material an den KGB verkauft haben sollen, wobei nach Auffassung des Gerichts allerdings "kein nachweisbarer erheblicher Schaden für die Bundesrepublik und vermutlich auch nicht für die NATO-Partnerländer entstanden" ist (14).

Dieser Prozeß hat gezeigt, wie schwer die Beweisfindung in einem Hackerverfahren sein kann. Dies ist besonders für das BKA um so ärgerlicher, als dort parallel zur Einführung der "Hackerparagraphen" Kapazitäten für die Bekämpfung der "Computerkriminalität" aufgebaut werden sollten. Dafür seien nach Meinung eines BKA-Beamten "zentrale Spezialistenteams erforderlich, die die Ermittlungsarbeit vor Ort unterstützen" (15) - und mit dieser Zentrale war das BKA gemeint.

Um eine Wiederholung dieser und anderer Rückschläge der Sicherheitsbehörden zu vermeiden, soll mit der ZSI/BSI eine fachlich hinreichend qualifizierte Organisation geschaffen werden, die im Bedarfsfall allen Behörden des Sicherheitsbereichs - wie aus dem BMI zu hören war - zur "Bekämpfung von kriminellen oder verfassungsfeindlichen Aktivitäten, die gegen die Informationstechnik gerichtet sind oder unter deren Nutzung erfolgen" zur Verfügung steht. Damit soll die ZSI/BSI zur zentralen Anlaufstelle in Fragen der Computerkriminalität für Polizei und Verfassungsschutz werden.

ZSI kann zentrale Aufgabe nicht lösen

Der Rekurs des BSI-Gesetzes auf den Paragraph drei Bundesverfassungsschutzgesetz ist äußerst aufschlußreich. Die ZSI/ BSI wird so unterstützendes Organ für alle Tätigkeiten des Verfassungsschutzes, bei denen Informationstechnik genutzt wird. Mangels fachlicher Kompetenz anderer Behörden ist die ZSI/ BSI von der Software-Raubkopie über Hacken zu verschiedenen Zwecken bis zur Spionage für alles zuständig, was mit unbefugter Computernutzung zu tun hat. Die ZSI/BSI wird zur Spezial-Eingreiftruppe für die Computersicherheit.

Zentrum der Aufgaben der ZSI und ab 1991 der BSI bilden die Sicherheitsinteressen der Organisationen des Bundes, insbesondere die der Geheimdienste, des Militärs und der Polizei. Während die Bundeswehr eigene Standards entwickelt, werden für Wirtschaft und Verwaltung die vom US-Militär entwickelten Sicherheitskriterien vorgeschrieben. Diese weitere Militarisierung von zivilen Bereichen ist weder sinnvoll noch hinnehmbar.

Das von der Bundesregierung für die ZSI definierte Ziel, mehr Sicherheit in der Informationstechnik zu schaffen, kann die ZSI auch mittelfristig nicht wirksam erfüllen. Die für die ZSI an zentraler Stelle stehende Aufgabe der Bekämpfung von Hackern und Computerkriminalität kann auch sie technisch kaum lösen. Um so wichtiger daher ihre Arbeit mit Polizei und Verfassungsschutz.

Die ZSI garantiert also nicht mehr Sicherheit, sondern mehr Sicherung im DV-Bereich. Zu- trittskontrollen und Sicherheitsüberprüfungen von DV-Fachleuten und -Benutzern müssen als Ersatz für die technisch und erst recht wirtschaftlich nicht herzustellende, aber gewünschte Sicherheit von DV-Systemen herhalten. Zutrittskontrollen gibt es mittlerweile an Uni-Rechenzentren (16), Sicherheitsüberwachungen nehmen ständig zu: Siemens will, wie zu hören war, bis vor das Bundesarbeitsgericht ziehen, um die Zulässigkeit derartiger Überprüfungen ihrer Mitarbeiterinnen und Mitarbeiter klären zu lassen. In einem derartigen Klima der Hackerfurcht wird jeder neue Hackerfall strengere Sicherheitsrichtlinien nach sich ziehen.

Wie unterschiedlich unser Staat die Schutzinteressen der Bürgerinnen und Bürger und seine eigenen bewertet, zeigt allein die Aufzählung der Anwendungsbereiche für Sicherheit in der Informationstechnik: Während die ZSI/BSI für sich in Anspruch nimmt, nicht nur Daten-, sondern auch Bild-, Sprach- und Textübermittlungen zu sichern, wird gerade dem Datenschutz mit dem Hinweis auf rechtssystematische Gründe (17) die Erweiterung auf Bild- und Sprachverarbeitung verweigert.

Die ZSI/BSI hat Aufgaben in der Forschung und Entwicklung, der Normung, in der Kooperation mit Polizei und Geheimdiensten, in der Zusammenarbeit mit dem Militär und selbst in der Kontrolle über Exporte von Sicherheitssystemen. Eine derartige Konzentration von Aufgaben bei einer Behörde, die von den Interessen des staatlichen Geheimschutzes angetrieben wird, erscheint als eine nicht hinnehmbare Machtzusammenballung in der Hand einer staatlichen Institution. Eine solche Behörde erst unter Ausschluß der Öffentlichkeit zu schaffen und dann bis zur Sommerpause das nötige Gesetz durch den Bundestag zu peitschen, erweckt kein Vertrauen in die mit der ZSI/BSI verfolgten Absichten.

"Das neue Bundesamt soll weder eine militärische noch eine nachrichtendienstliche, sondern eine zivile Behörde werden". Diese schönen Worte Neusels mögen formal korrekt sein. In der ZSI/BSI werden jedoch Beamte und Soldaten aus einem Geheimdienst Sicherheitsüberprüfungen und Sicherheitssysteme nach militärischen Kriterien entwickeln und durchführen - all dies in Zusammenarbeit mit Polizei und Verfassungsschutz.

Es ist bekannt, daß Geheimdienste das Hacken als neue Spionageform nutzen (18). Nach eigener Einschätzung ist die ZSI/BSI die einzige Stelle in der Bundesrepublik mit den dazu notwendigen Experten. Die von Leiberich angekündigten "theoretischen Angriffsmodelle" müssen nicht notwendigerweise nur der Hackerabwehr dienen.

Es ist nicht einzusehen, warum für die Sicherheit der Informationstechnik in der zivilen Verwaltung und Wirtschaft statt der ZSI/BSI keine zivile Behörde mit ausreichenden Forschungs-, Entwicklungs- und Beratungskapazitäten geschaffen wird. Computersicherheit darf Militär und Geheimdiensten nicht überlassen werden, sondern gehört in die Hände von zivilen und demokratisch kontrollierbaren Organisationen.

Literaturhinweise:

(1) Rhein-Sieg-Anzeiger vom 7.2.1990

(2) vgl.: Armin Leicht: Computersabotage - Die "besondere Sicherung gegen unberechtigten Zugang" (°202aStGB); in: Informatik und Recht, 2/87, S. 45-53

(3) Parlakom: Sicherheitsbedürfnis erst nach Beschaffung entdeckt; in Bonner Behörden Spiegel/Beschaffung Spezial, September, 1989

(4) ebd.

(5) Abteilung "Fernmeldetechnik und Elektronik (FE); in: Wehrtechnik, 1/90, S. 55-60, S. 58

(6) ZSI: IT-Sicherheitskriterien, 1. Fassung vom l. Januar 1989, im Bundesanzeiger vom l. Juni 1989

(7) Dieses Prinzip besagt, nur die Daten weiterzugeben, die der Empfänger für seine Aufgabenerfüllung unbedingt braucht. Dies entspricht nicht der Zweckbindung beim Datenschutz.

(8) Angelika Schrader: EDV- Sicherheit; in: Office Management, 7-8/89, S. 30-32, S. 31

(9) Bonner Behörden Spiegel/Beschaffung Spezial: Januar: taktische Einsatzsysteme, Mai: Sicherheitskonferenz; Heft Januar 1990, S. B IX

(10) Rhein-Sieg-Anzeiger vom 7.2.1990

(11) zitiert nach: Roßnagel, Wedde, Hammer: Die Verletzlichkeit der "Informationsgesellschaft", Opladen, 1989, S. 106

(12) der Ordnung halber sei hier angemerkt, daß derartiges Löschen nach den Hackerparagraphen natürlich verboten ist

(13) vgl. die Presseerklärung Neusels am 6.2.1990

(14) General Anzeiger vom 16.21990

(15) Manfred Klink, BKA: Computerkriminalität - Eine neue Herausforderung an die Polizei; in: Die Polizei Heft 2, 1987, S. 37-39, S. 39

(16) vgl. die FFF-Kommunikation 1/90 zum RZ der Uni Oldenburg

(17) BT-Drucksache 11/2108 vom 13.4. 1988

(18) Ingo Ruhmann: KGB-"Hacker" und CIA-Viren; in: FFF-Kommunikation, 3/89, S. 28-29

*Ute Bernhard und Ingo Ruhmann sind Mitglieder des Forums Informatikerinnen für Frieden und gesellschaftliche Verantwortung e.V. (FIFF), Reuterstraße 44, 5300 Bonn 1, Telefon 0228/21 95 48.

Kein Vertrauen

Die ZSI/BSI hat Aufgaben in der Forschung und Entwicklung, der Normung, in der Kooperation mit Polizei und Geheimdiensten, in der Zusammenarbeit mit dem Militär und selbst in der Kontrolle über Exporte von Sicherheitssystemen. Eine derartige Konzentration von Aufgaben bei einer Behörde, die von den Interessen des staatlichen Geheimschutzes angetrieben wird, ist eine nicht hinnehmbare Machtzusammenballung in der Hand einer staatlichen Institution. Eine solche Behörde erst unter Ausschluß der Öffentlichkeit zu schaffen und dann bis zur Sommerpause das nötige Gesetz durch den Bundestag zu peitschen, erweckt kein Vertrauen in die mit der ZSI/BSI verfolgten Absichten. (FIFF)