Bestand

Bundesamt für Sicherheit in der Informationstechnik (Bestand)

Geschichte des Bestandsbildners: 1986 wurde der Vorgängerorganisation, der Zentralstelle für das Chiffrierwesen (ZfCh), zusätzlich der Aufgabenbereich "Computersicherheit" für die Bearbeitung von Verschlusssachen übertragen und dazu eine Arbeitsgruppe aufgebaut. Bis dahin hatte sich die ZfCh auf die zentrale Aufgabe Kommunikationssicherheit konzentriert. Die Arbeitsgruppe umfasste bald 70 Mitarbeiter. Sie befassten sich mit der Evaluierung und Zertifizierung von IT-Produkten und -systemen. Gerade die Zertifizierung und damit das Ziel, für Sicherheit in der Informationstechnologie zu sorgen, ließ die Gründung einer eigenständigen Behörde als notwendig erscheinen. 1989 wird die Zentralstelle für das Chiffrierwesen wegen der erweiterten Aufgabenstellungen in die Zentralstelle für die Sicherheit in der Informationstechnik umgewandelt.

Im "Rahmenkonzeptes zur Gewährung der Sicherheit bei Anwendung der Informationstechnik" - IT-Sicherheitsrahmenkonzept - von 1989 heißt es:

"1.) Die Sicherheit von IT-Systemen gewinnt sowohl für die Funktionsfähigkeit von Wirtschaft und Staat zunehmend an Bedeutung. Maßnahmen zur Schaffung und Erhöhung dieser Sicherheit sind deshalb dringend erforderlich.

2.) Die Verminderung der Bedrohung durch solche Maßnahmen ist eine staatliche Aufgabe.

3.) Zur Durchführung entsprechender Risikoanalysen und der Entwicklung darauf basierender Sicherheitskonzepte bedarf es einer selbständigen Bundesoberbehörde. Nur eine staatliche Stelle verfügt über die erforderlichen umfassenden Sicherheitsinformationen und bietet zudem Gewähr für ausreichende Neutralität. Nur sie kann für die angestrebte bundesweite Einheitlichkeit von Sicherheitskriterien sorgen und zugleich die internationale Vereinheitlichung (z. B. durch Zusammenarbeit mit entsprechenden Behörden anderer Staaten) fördern. …"

Mit dem BSI-Errichtungsgesetz vom 17. Dez. 1990 (BGBl I S. 2834 ff.) wird dem Rahmenkonzept Rechnung getragen. Das BSI nimmt am 1. Jan. 1991 seine Arbeit in Bonn auf. Gründungspräsident des BSI ist Dr. Otto Leiberich.

Das BSI ist dem Geschäftsbereich des Bundesministeriums des Innern zugeordnet.

Das BSI ist gemäß BSI-Errichtungsgesetz zuständig für die:

Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen,

Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten,

Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten,

Unterstützung der für die Sicherheit in der Informationstechnik zuständigen Stellen des Bundes,

Unterstützung der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben sowie der Verfassungsschutzbehörden bei der Auswertung und Bewertung von Informationen,

Beratung der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik,

Beratung auf dem Gebiet des materiellen Geheimschutzes,

Durchführung von Sicherheitsüberprüfungen von Fernmeldeanlagen einschl. der digitalen Telekommunikationsanlagen bei Bundesbehörden sowie von Unternehmen mit VS-Aufträgen des Bundes.

1998 erfolgt die Aufnahme der Geschäftsführung des Interministeriellen Ausschusses für Kritische Infrastrukturen und Beginn der Zukunftsforschung mit den Trendstudien.

Dem BSI wurden mit dem "Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes" vom 20. August 2009 weitergehende Aufgaben und Befugnisse eingeräumt, um der zunehmenden Bedeutung der Informations- und Kommunikationstechnologie in der heutigen Gesellschaft und der gewachsenen "IT-Bedrohung" Rechnung zu tragen.

Gemäß § 3 Abs. 1 BSIG fördert das Bundesamt die Sicherheit in der Informationstechnik.

"Hierzu nimmt es folgende Aufgaben wahr:

1. Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes;

2. Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnisse

für andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben oder zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;

3. Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheitsprodukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließlich der Forschung im Rahmen seiner gesetzlichen Aufgaben;

4. Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit;

5. Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten;

6. Prüfung und Bestätigung der Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundesamtes;

7. Prüfung, Bewertung und Zulassung von informationstechnischen Systemen oder Komponenten, die für die Verarbeitung oder Übertragung amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen;

8. Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Bereichen eingesetzt werden;

9. Unterstützung und Beratung bei organisatorischen und technischen Sicherheitsmaßnahmen sowie Durchführung von technischen Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Unbefugte;

10. Entwicklung von sicherheitstechnischen Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik mit besonderem Schutzbedarf;

11. Bereitstellung von IT-Sicherheitsprodukten für Stellen des Bundes;

12. Unterstützung der für Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben

wahrnehmen; dies gilt vorrangig für den Bundesbeauftragten für den Datenschutz, dessen Unterstützung im Rahmen der Unabhängigkeit erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach dem Bundesdatenschutzgesetz zusteht;

13. Unterstützung

a) der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben,

b) der Verfassungsschutzbehörden bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutzgesetzen des Bundes und der Länder anfallen,

c) des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufgaben.

Die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen. Die Unterstützungsersuchen sind durch das Bundesamt aktenkundig zu machen;

14. Beratung und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;

15. Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der kritischen Informationsinfrastrukturen im Verbund mit der Privatwirtschaft."

Gemäß Abs. 2 kann das Bundesamt die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen.

Aufgrund Abs. 4 fungiert das Bundesamt als die zentrale Meldestelle für die Zusammenarbeit der Bundesbehörden in Angelegenheiten der Sicherheit in der Informationstechnik.

Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist, und die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert

auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist. Das Bundesamt kann Mindeststandards für die Sicherung der Informationstechnik des Bundes festlegen, die vom Bundesministerium des Innern ganz oder teilweise als allgemeine Verwaltungsvorschriften für alle Stellen des Bundes erlassen werden können.

Das Bundesamt ist gemäß § 9 BSIG nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit. Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden. Die entsprechenden Prüfungen und Bewertungen können durch vom Bundesamt anerkannte sachverständige Stellen erfolgen.

Seit dem 1. April 2011 besteht beim BSI das Nationale Cyber-Abwehrzentrum, das eine eine Kooperationseinrichtung der Sicherheitsorgane des Bundes zur Abwehr elektronischer Angriffe auf IT-Infrastrukturen des Bundes und der Wirtschaft darstellt.

Nach dem Ausscheiden von Dr. Otto Leiberich Ende 1992 wird Dr. Dirk Henze am 1.1.1993 zum neuen Präsidenten bestellt. Henze scheidet im November 2002 aus. Ihm folgt Dr. Udo Helmbrecht im März 2003 als Präsident des BSI. Nach dem Ausscheiden von Dr. Udo Helmbrecht wird Michael Hange am 16. Oktober 2009 zum neuen Präsidenten des BSI bestellt.

Organisation (Stand 2009):

· Abteilung Z (Verwaltung)

· Abteilung 1 Sicherheit in Anwendungen, Kritischen Infrastrukturen und im Internet

· Abteilung 2 Kryptographie und Abhörsicherheit

· Abteilung 3 Zertifizierung, Zulassung und Konformitätsprüfung

Zitierweise: BArch B 466/...