"Computer arbeiten fehlerhaft" - diese Binsenweisheit hat sich nach Jahren auch im Bonner Regierungsviertel herumgesprochen. Das vom BMFT herausgegebene "Zukunftskonzept Informationstechnik" der Bundesregierung weiß darauf als Antwort eine Lösung, die in den USA erprobt und wieder rückgängig gemacht wurde: die Computersicherheit von einer Behörde aus dem Geheimdienstumfeld verwalten zu lassen.
Wer Bonn den Rücken kehrt und es Richtung Süden verläßt, kommt hinter dem Bahnhof Mehlem unweigerlich an einem schlichten Funktionalbau vorbei: der Zentralstelle für das Chiffrierwesen (ZfCh), seit Mitte 1989 identisch mit der Zentralstelle für Sicherheit in der Informationstechnik (ZSI). Auf die Arbeit, die in diesem Gebäude geleistet wurde und werden soll, weisen nur der hohe Zaun und die Überwachungsanlagen hin. Die ZfCh ist eine Behörde des Sicherheitsbereichs.
Offiziell hat die ZfCh die Aufgabe, sich mit Fragen der Chiffrierung (Kryptologie) zu befassen, Chiffriersysteme für den amtlichen Gebrauch zuzulassen und Computer-Hardware auf die Einhaltung der Standards für elektromagnetische Abstrahlsicherheit zu prüfen. Damit enden die Auskünfte über die ZfCh zumeist. Auch die "Grünen" im Bundestag mußten sich Informationen durch Gutachter erarbeiten lassen. Doch wer sich mit den "Schwesterdiensten" der ZfCh in der NATO beschäftigt, wird nachvollziehen können, warum gerade die ZfCh als Behörde für die Sicherheit der Informationstechnik ausgewählt wurde.
Eine Behörde, die ebenfalls eine Zentralstelle für das Chiffrierwesen ist, ist die National Security Agency (NSA) der USA. Die NSA umgibt sich von allen Geheimdiensten der USA mit der größten Geheimhaltung, untersteht dem Pentagon und hört weltweit den Telefon- und Datenverkehr von Freund und Feind ab und wertet diesen aus. Die NSA entwickelt zwar auch Kryptosysteme für die US-Regierung, ihre Hauptaufgabe besteht jedoch darin, ihre Kryptologie-Experten für die Entschlüsselung abgehörter Kommunikationsdaten einzusetzen.
Mehlem Bau ist ein "Puzzle Palace"
Da es weltweit nur wenige Kryptologen gibt, fassen - soweit dies bekannt ist - alle Staaten ihre Fachleute in einer Institution zusammen. Das legt den Schluß nahe, daß auch die ZfCh das Ver- ebenso wie das Entshlüsseln betreibt. Hinzu kommt, daß sie "bisher eng an Bundeskanzleramt und Bundesnachrichtendienst angebunden war" (1). Das Bundeskanzleramt als Koordinierungsstelle der Geheimdienste erlaubt die Vermutung, daß die ZfCh nicht nur einem bundesdeutschen Geheimdienst zur Seite steht, sondern als Zentralstelle für alle anfallenden Chiffrieraufgaben eingesetzt wird. Es ist also anzunehmen, daß der Mehlemer Bau der deutsche "Puzzle Palace" - so der Name der NSA-Zentrale - , daß die ZfCh der vergessene bundesdeutsche Geheimdienst der Codeknacker ist.
Kriterien für Beratung und Prüfung
Eine weitere Parallele zwischen ZfCh und NSA ist, auch die zivile Computersicherheit gerade diesen Diensten anzuvertrauen. Laut "Zukunftskonzept Informationstechnik" wurde der ZfCh "in Ergänzung der bisher wahrgenommenen einschlägigen Arbeiten der Aufgabenbereich Computersicherheit" übertragen (2) und die Umbenennung in ZSI bereits Mitte 1989 vorgenommen. Die ZfCh/ZSI soll Kriterien zur Bewertung und Prüfung "sicherer" Software entwickeln und diese Wirtschaft und Verwaltung zur Verfügung stellen. Ein erstes Rahmenkonzept dazu im "Kontext internationaler Zusammenarbeit vor allem im Rahmen der NATO und der Europäischen Gemeinschaft" (3) hat ein "Interministerieller Ausschuß für die Sicherheit in der Informationstechnik (ISIT)" entwickelt. "Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (IT) - IT-Sicherheitskriterien" hat sich die ZSI von der zu 70 Prozent im Besitz des Bundes befindlichen Industrie Anlagen Betriebsgesellschaft (IABG) erarbeiten lassen und im Bundesanzeiger vom l. Juni 1989 veröffentlicht. Das Erscheinen eines ersten Evaluationshandbuches der ZSI mußte mehrfach verschoben werden.
Computersicherheit - das ist zur Chefsache geworden, seitdem auch hier in der Bundesrepublik eine wachsende Zahl von Firmen und Verwaltungen vom Funktionieren der Computer abhängig geworden ist und sich gleichzeitig die Manipulationsmöglichkeiten dank der Nachlässigkeit der Hersteller und Anwender genauso vermehrt haben, wie Kritiker immer befürchtet haben. Nachdem Hacker (4) und Risikoanalysen den Anwendermarkt verängstigen, versucht nun der Gesetzgeber möglichst schnell, dem Problem fehlerhafter Software durch weitere Verordnungen und Ankündigungen beizukommen.
Diese Eile machte sich darin bemerkbar, daß zwar auch über die anderen Punkte des Zukunftskonzepts Informationstechnik in Hearings diskutiert und beraten wird, nachdem das Konzept bereits abgesegnet ist, das aber schon vor seiner Veröffentlichung mit ISIT und ZSI Fakten geschaffen wurden.
Ziel: Exportchancen zu verbessern
Mit dem Ziel, nicht nur die Sicherheit der eigenen Computersysteme bewerten und verbessern zu können, sondern auch die Exportchancen von Produkten aus bundesdeutscher Produktion durch eigene Sicherheitszertifikate nach US- und NATO-Standards zu verbessern, gab die ISIT die Vorgabe, daß die ZSI ihre "IT-Sicherheitskriterien" als "Fortentwicklung des in Fachkreisen bekannten ,Orange BookÆ (...) des US amerikanischen Department of Defense (DoD)" (5) anlegt. Ein weiteres Ziel der ISIT ist die "Einflußnahme in der NATO" auf die NATO weite Anerkennung der bundesdeutschen Bewertungs- und Prüfkriterien und die Kooperation mit der in der NATO für diese Bewertung und Prüfung zuständige SECAN (6).
Um diese NATO-weite Anerkennung zu erreichen, hat sich die Bundesregierung bei der Auswahl der verantwortlichen Behörde vom Modell der USA leiten lassen.
Dort stand die Computerszene schon 1985 vor denselben Problemen, wie sie jetzt die Bundesregierung erkannt hat. Zur Verbesserung der Computersicherheit und deren sicherer Kommunikation erließ Präsident Reagan im September 1984 - auf Drängen des NSA-Direktors Inman (7) - die National Security Decision Directive (NSDD) 145.
Damit sollte die Sicherung von Informations- und Kommunikationssystemen vor "feindlicher Ausnutzung" und die Herstellung von politischen und bürokratischen Strukturen dazu erreicht werden (8). Dies bedeutete die "Zuweisung von Verantwortungsbereichen für die Sicherheit der Daten, sowohl geheimer, wie nichtgeheimer, deren ungewollte Veröffentlichung das nationale Wohlergehen negativ beeinflussen könnte" (9). Zur Vertretung ihrer Sicherheitsinteressen entsandten das Pentagon und seine Untergliederungen, die CIA und das FBI ebenso wie das Wirtschaftsministerium Vertreter in einen dem bundesdeutschen ISIT nicht unähnlichen Ausschuß. Zum "nationalen Manager zur Implementation von Politik-Direktiven" wurde der Direktor der NSA gemacht (10). Aus dem größten Datenlauscher und Codeknacker der Welt, der NSA, wurde nun die für die Sicherheit ziviler und nichtziviler Daten verantwortliche Behörde.
Kontrolle über Verbreitung der Daten
Mit Vollmachten zur Erreichung von Computersicherheit vor allem für Pentagon und NSA, ging die Ausweitung des zu schützenden Gutes einher: Die Einrichtung einer Geheimhaltungsstufe für Daten von Regierung und Privaten unterhalb der üblichen amtlichen Stufen. Zu "sensitive data" wurden eine Vielzahl nichtgeheimer Daten deklariert, die in der Folge der Kontrolle des Pentagon unterlagen Datensicherheit implizierte für Pentagon und NSA eben auch die Kontrolle über die Verbreitung dieser Daten (11).
Diesen Einschränkungen gegenüber stand ein Mißtrauen in die Redlichkeit der NSA. Die NSA verschwieg Fehler in einem seit 1977 benutzen Public-Key-Kryptosystem (12) und seit 1976 kritisierten nichtstaatliche Kryptologen die Politik der NSA zum damals von der IBM in Abstimmung mit der NSA herausgebrachten Data Encryption Standard (DES) (13). Alternative Entwicklungen versuchte die NSA in den USA zu kontrollieren oder zu unterdrücken.
Die Einführung einer staatlichen Kontrolle über ein großes Gebiet von Daten auch im Privatsektor und die umstrittene Rolle der NSA beim nationalen Management der Computersicherheit brachte Industrie, Banken und den US-Kongreß ebenso wie wissenschaftliche Verbände wie IEEE, ACM und natürlich auch die CPSR gegen die NSDD 145 auf. Ihren dauerhaften Anstrengungen war es zu verdanken, daß die NSDD 145 1987 in ihrem Kern durch den Computer Security Act abgelöst wurde. Die Kontrolle über Maßnahmen zur Computersicherheit und deren Umsetzung wurden dem Pentagon und der NSA entzogen und dem National Bureau of Standards (NBS) überantwortet. Das NBS wurde umbenannt in National Institute of Standards and Technology (NIST). Wenn auch die Verteilungskämpfe um die Zuständigkeiten zwischen NSA und NIST noch im Gange sind, und die CPSR vor neuen Geländegewinnen der NSA warnt, so ist der Computer Security Act eine klare Schlappe für Pentagon und NSA.
Zwar hat das amerikanische Modell, die Computersicherheit auch für den zivilen Bereich in die Hände von Geheimdienstlern und Sabotageexperten, zu legen, im Ursprungsland versagt, doch das hält die Bundesregierung nicht davon ab, eine der NSDD 145 vergleichbare Regelung bei uns umzusetzen. Nicht nur wird die ISIT mit Beamten aus vergleichbaren Ministerien (unter anderem: Wirtschafts-, Innen- und Verteidigungsministerium) besetzt. Darüber hinaus ist die bundesdeutsche NSA, die ZfCh, nach ihrer Umwandlung in die ZSI nicht viel ziviler geworden.
Damit die Computersicherheit ihren gebührenden Rang erhält, soll die ZSI zu einer obersten Bundesbehörde werden, wie das Statistische Bundesamt oder das BKA. Diese Behörde soll den Namen "Bundesamt für Sicherheit in der Informationstechnik" erhalten. Das zur Einrichtung einer solchen Behörde notwendige Gesetz steht allerdings noch aus.
Welche Gefahr unseren persönlichen Freiheiten und unserer demokratischen Staatsverfassung droht, wenn wir uns weiterhin ungehemmt in die Abhängigkeit potentiell angreifbarer Computersysteme begeben, beschreiben Alexander Roßnagel und Andere in ihrem Buch "Die Verletzlichkeit der " Informationsgesellschaft" ( 15) sehr deutlich. Computersicherheit setzt verantwortliches Handeln voraus. Verantwortliches Handeln fängt mit der Herstellung gesicherter Produkte an, geht über die Analyse von Risiken und beinhaltet auch, Warner nicht mundtot zu machen. Verantwortlicher Computereinsatz setzt offene Diskussion und Aufklärung voraus. Verantwortliches Handeln bedeutet aber auch die Entscheidung, manche Probleme nicht Computern zu überantworten, manche Daten nicht zu erfassen und zu übermitteln.
Aber weil so viele Funktionen der öffentlichen Verwaltung und der Wirtschaft inzwischen von Computern abhängen, daß es kein Zurück mehr zu geben scheint, hat der Gesetzgeber einen Kriterienkatalog entwickelt und eine Prüfbehörde, einen Computersicherheits-TÜV. Nur: Welcher Informatiker wird sich schon auf eine Computersicherheits-TÜV-Plakette verlassen wollen? In den bald vierzig Jahren Computereinsatz hat sich bisher noch jedes System als fehlerhaft und manipulierbar erwiesen. Ein Mitarbeiter von Infodas wurde erst kürzlich mit dem Merksatz zitiert: "Absolute Sicherheit ist nur erreichbar, wenn das Computersystem stillsteht" (l 6). Was er damit zum Ausdruck bringt ist, daß sich kaum eine Firma leistet, seit Jahren laufende Uralt-Programme auf einen validierbaren, manchmal auch nur lesbaren Stand zu bringen.
Aber das muß nicht notwendigerweise schlecht sein. Die NASA fliegt schließlich ihre Space Shuttles auch mit IBM 360-Computern und Software, die sie möglichst selten ändert. Die Fehler der über zwanzig Jahre alten 360er sind bekannt oder behoben und für die Softawrefehler gibt es ein Handbuch, das im Falle eines ersichtlichen Computerfehlers Korrekturschritte angibt. Die NASA hat gelernt, mit diesen Fehlern, zu leben, statt bei Änderungen neue einzubauen. Computersicherheit ist eben jahrelange Arbeit von Experten und weit mehr als nur ein zusätzlicher Programmschritt zwischen Benutzeroberfläche und Maschine.
Die meisten Informatiker kennen Konzepte zur Herstellung fehlertoleranter Hardware, validierbarer Software und Computer-Kommunikation mit einem höheren Maß an Sicher heit als bisher. Diesen Systemen ist bisher gemein gewesen, daß es für sie fast keinen Markt gibt und sie deshalb nur langsam entwickelt wurden. In vielen Bereichen dürfte die ZSI deshalb gar keine Systeme finden, denen sie den Stempel Q7 - höchste Sicherheit - aufdrücken kann (17). Von der Forschung sind auch keine Wunderdinge zu erwarten, auch, wenn zum Beispiel in der Gesellschaft für Mathematik und Datenverarbeitung (GMD) seit einigen Jahren Computersicherheit erforscht wird (l 8). Auch dort wurde festgestellt, daß "absolute Verläßlichkeit nie erreichbar sein wird" (19).
Computersicherheit - auch mit mehr Forschungsgeldern des BMFT - zu fördern, wie dies das Zukunftskonzept vorsieht, ist ein Anfang. Für die Bewertung sicherer Systeme und die Definition der Entwicklungsziele für solche Systeme statt eines unabhängigen Verbandes eine staatliche Behörde aus dem Geheimdienstumfeld einzusetzen, ist der falsche Weg. Dieser Weg führt nicht zu offener Diskussion und auch nicht zu einer rechtzeitigen Abschätzung von Gefahren.
Literaturhinweis
(1) Bonns Anti-Hacker; in: Der Spiegel, 46/1989, Seite 16
(2) Zukunftskonzept Informationstechnik, BMFT, 1989, Seite 146
(3) ebd.
(4) vergleiche: Ute Bernhardt, lngo Ruhmann: Das eigentliche Problem sind nicht die Hacker; in: Fiff-Kommunikation 3/89, Seiten 30 - 32
(5) ZSI: IT-Sicherheitskriterien, 1. Fassung vom 11. Januar 1989, im Bundesanzeiger vom 1. Juni 1989
(6) ISIT-Entwurf: Rahmenkonzept zur Gewährleistung der Sicherheit bei Anwendung der Informationstechnik, Stand 30. Dezember 1988, Seite 19 (7) NSA at a glance; in: Data Communications, March 1987, Seite 107
(8) The White House: NSDD 145, Unclassified Version, Washington, September 17, 1984
(9) Robert H. Courtney, Jr.: Another Perspective on Sensitive but Unclassified Data; in: Computers & Security, 7/1988 Seiten 19 - 23, Seite 19
(10) Mary Karen Dahl: "Sensitive", Not "Secret": A Case Study; CPSR, Jan. 1988 Seiten 1 - 4, Seite 2
(11) vergleiche: Ingo Ruhmann: Beeinträchtigung der wissenschaftlichen Freiheit durch die neue Wissenschaftspolitik der USA; in: Bickenbach, Genrich, Keil, Langenheder, Reisin: Informatiker für Frieden - Informatik für Krieg 1984, Seiten 61 - 66
(12) Gina Kolata: NSA knew of Flaw in "Knapsack" Code; in: Science, 24 December 1982, Seite 1290
(13) Whitfiled Diffie, Martin E. Hellmann: A Critique of the Proposed Data Encryption Standard; in: Communications of the ACM, March 1976, Seiten 164 - 165. Dagegen behauptet "NSA at a glance" (a.a.O.), die NSA wolle den DES untergraben, weil er für sie nicht (schnell genug) zu brechen sei. Die NSA schließlich behauptete über den DES, selbst sowjetische Kryptologen könnten ihn knacken.
(14) ISIT-Entwurf, a.a.O, Seite 18
(15) Alexander Roßnagel, Peter Wedde, Volker Hammer, Ulrich Pordesch: Die Verletzlichkeit der Informationsgesellschaft, Oplanden, 1989. Vgl. auch die Rezension in diesem Heft
(16) Angelika Schrader: EDV-Sicherheit; in: Office Management, 7-8/89, Seiten 30-32, Seite 30