Bundesamt für Sicherheit in der Informationstechnik

Bundesamt für Sicherheit in der Informationstechnik (BSI) - Obere Bundesbehörde für Fragen der IT-Sicherheit

Geschäftsbereich

Bundesministeriums des Innern

BSI-Gesetz - Das deutsche BSI-Gesetz (BSIG) enthält Regelungen in Bezug auf das Bundesamt für Sicherheit in der Informationstechnik

Bundesoberbehörde

Gemäß § 1 unterhält der Bund ein Bundesamt für Sicherheit in der Informationstechnik als Bundesoberbehörde

Zuständigkeit

Es ist zuständig für die Informationssicherheit auf nationaler Ebene

• Es untersteht dem Bundesministerium des Innern, für Bau und Heimat (BMI)
• Mit der Neufassung des Gesetzes 2009 wurde der Aufgabenkatalog des BSI erheblich erweitert
• dem wurden BSI eigene Befugnisse eingeräumt, ohne auf Amtshilfe­ersuchen angewiesen zu sein
• Vorrangige Aufgabe des BSI ist die Förderung der Sicherheit in der Informationstechnik

§ 3 Abs. 1 BSIG

Wobei letzteres alle technischen Mittel zur Verarbeitung und Übertragung von Informationen sind (§ 2 Abs. 1 BSIG)

Zu den Aufgaben zählen

Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes

• Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen
• Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik
• Entwicklung von Sicherheitsvorkehrungen
• Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen
• Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen
• Herstellung von Schlüsseldaten und Betrieb von Krypto­- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes

Das BSI kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen (§ 3 Abs. 2 BSIG)

• Soweit es personenbezogene Daten erhoben hat, sind diese unverzüglich zu löschen, wenn diese nicht mehr benötigt werden (§ 6 Abs. 1 BSIG).

Das BSI kann vor Sicherheitslücken und Schadprogrammen warnen und den Einsatz bestimmter Sicherheitsprodukte empfehlen (§ 7 Abs. 1 BSIG)

Es erarbeitet ferner Mindest­standards für die Sicherheit der Informationstechnik des Bundes(§ 8 Abs. 1 BSIG)

• Das BSI ist die nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit
• Das Bundesamt unterrichtet das BMI über seine Tätigkeit (§ 13 Abs. 1 BSIG)

Das BMI bestimmt durch Rechtsverordnung

• welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen gelten (§ 10 Abs. 1 Satz 1 BSIG)

Betreiber sind verpflichtet,

• unter Berücksichtigung des Standes der Technik
• angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen
  • Verfügbarkeit
  • Integrität
  • Authentizität
  • Vertraulichkeit

ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen (§ 8 Abs. 1 Satz 1, 2 BSIG)

Geldbußen können bis zu 50.000 Euro betragen (§ 14 BSIG)

Wer vorsätzlich oder fahrlässig solche Vorkehrungen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft, handelt ordnungswidrig

Nach dem Zitiergebot legt § 11 BSIG fest, dass durch die §§ 5 und 5a BSIG das Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) eingeschränkt wird

Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik

Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten (§ 5 Abs. 1 Satz 1 BSIG)

• Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Stelle des Bundes oder eines Betreibers einer Kritischen Infrastruktur um einen herausgehobenen Fall, so kann das Bundesamt die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich sind (§ 5a Abs. 1 Satz 1 BSIG)
• Dazu darf es personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten (§ 5a Abs. 3 Satz 1 BSIG)

Das BSI unterstützt Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben

Es unterstützt ferner

• das Bundesamt für Verfassungsschutz (BfV)
• den Militärischen Abschirmdienst (MAD)
• die Landesbehörden für Verfassungsschutz

bei der Auswertung und Bewertung von Informationen

• die bei der Beobachtung terroristischer Bestrebungen
• nachrichtendienstlicher Tätigkeiten anfallen
• sowie den Bundesnachrichtendienst bei der Wahrnehmung seiner gesetzlichen Aufgaben.

Unterstützung darf nur gewährt werden

• soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen (§ 3 Abs. 1 Satz 2 Nr. 13 BSIG).
• Es darf personenbezogene Daten unter den Voraussetzungen des § 5 BSIG an diese Behörden übermitteln.

Das BSI gab bis 2017 die IT-Grundschutz-Kataloge heraus, die Empfehlungen für Standardschutzmaßnahmen für typische IT-Systeme enthielten.

• Die früheren IT-Grundschutz-Kataloge wurden im Zuge der Modernisierung des IT-Grundschutzes auf das neue IT-Grundschutz/Kompendium umgestellt.
• Die Modernisierung des IT-Grundschutzes ist seit Oktober 2017 abgeschlossen.
• Nach der grundlegenden Überarbeitung der gesamten Methodik bietet der neue IT-Grundschutz Einsteigern und Fortgeschrittenen eine modulare und flexible Methode zur Erhöhung der Informationssicherheit in Behörden und Unternehmen.
• Neue Angebote adressieren speziell kleine und mittelständische Unternehmen und Behörden.
• Der IT-Grundschutz ist Methode, Handlungsanweisung, Empfehlung und Standard in einem.
• Er ist anwendbar für alle Institutionen, die in Zeiten der Digitalisierung ihre IT-Systeme und Datennetze und damit ihre Geschäfts- oder Verwaltungsprozesse nach dem Stand der Technik absichern wollen. 1994 hat das BSI erstmals IT-Sicherheitsempfehlungen unter dem Namen IT-Grundschutz veröffentlicht.

Das BSI ist die zentrale Zertifizierungsstelle für die Sicherheit von IT-Systemen in Deutschland (Computer- und Datensicherheit, Datenschutz).

• Prüfung und Zertifizierung ist möglich in Bezug auf die Standards des IT-Grundschutzhandbuch, dem Grünbuch, ITSEC und den Common Criteria.
• Die Gebühren des BSI nach BSI-Gesetz - zum Beispiel für die Zertifizierung nach Common Criteria sind in der Besonderen Gebührenverordnung des BMI

Das BSI ist nationaler Kompetenzträger auf dem Gebiet der Kryptografie, der Empfehlungen und technische Richtlinien zu kryptografischen Verfahren erstellt und an der Entwicklung internationaler Kryptostandards beteiligt ist.

Die IT-Strategie des Bundes sieht vor, die Vielfalt von Software zu erhöhen und so Software-Monokulturen zu reduzieren und damit das Angriffspotenzial zu verringern.

• Innerhalb des BSI wird FLOSS (Free/Libre Open Source Software) an verschiedensten Stellen eingesetzt, zum Beispiel im Bereich der Verarbeitung von Protokollierungsdaten, im Computer Emergency Response Team (CERT) und bei Penetrationstests.

Nach dem BSI-Gesetz speichert die Behörde als zentrale Meldestelle für IT-Sicherheit alle Protokolldaten, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallen.

Mit Inkrafttreten des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) im Juli 2015 wurden die Aufgaben und Befugnisse des BSI ausgeweitet

• Nach § 8 BSI-Gesetz müssen Betreiber Kritischer Infrastrukturen IT-Sicherheit nach dem "Stand der Technik" umsetzen und deren Einhaltung regelmäßig gegenüber dem BSI nachweisen.
• Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.
• Zudem wird das BSI nach § 8b BSIG die zentrale Meldestelle für die IT-Sicherheit Kritischer Infrastrukturen.
• Die Betreiber müssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können.
• Sofern bei einem KRITIS-Betreiber meldepflichtige Störungen der IT auftreten, darf das BSI, falls erforderlich, auch die Hersteller der entsprechenden IT-Produkte und -Systeme zur Mitwirkung verpflichten.
• Dem BSI wird darüber hinaus nach § 7a die Befugnis eingeräumt, zur Wahrnehmung seiner Aufgaben IT-Produkte auf ihre Sicherheit hin zu untersuchen.

Zur Unterstützung der Länder und Kommunen, Bundes- und EU-Behörden sowie Unternehmen, ThinkTanks und Entscheidungsträger in der Gesellschaft baut das BSI seit Anfang 2017 in einem Pilotverfahren das Verbindungswesen mit Verbindungspersonen an den Standorten Wiesbaden, Berlin, Stuttgart, Hamburg und Brüssel auf.

• Die Verbindungspersonen geben vor Ort einen Überblick über die Angebote des BSI und vermitteln bei Bedarf Beratung und Unterstützung.

Beim federführenden BSI angesiedelt ist das zum 1. April 2011 gestartete Nationale Cyber-Abwehrzentrum (Cyber-AZ), eine Kooperationseinrichtung deutscher Behörden auf Bundesebene zur Abwehr elektronischer Angriffe auf IT-Infrastrukturen der Bundesrepublik Deutschland und ihrer Wirtschaft.

• Das Cyber-Abwehrzentrum (Cyber-AZ) ist ein Kernelement der 2011 von der Bundesregierung verabschiedeten Cyber-Sicherheitsstrategie.
• Das Cyber-AZ soll die operative Zusammenarbeit optimieren und Schutz- und Abwehrmaßnahmen koordinieren.
• Dies geschieht auf Basis eines ganzheitlichen Ansatzes, der die verschiedenen Gefährdungen im Cyberraum zusammenführt: Cyber-Spionage, Cyber-Ausspähung, Cyber-Terrorismus und Cyber-Crime.
• Das Ziel: Schneller Informationsaustausch, schnelle Bewertungen und daraus abgeleitete konkrete Handlungsempfehlungen.
• So wie die Gefährdungslage sich seit 2011 verändert hat, hat sich auch das Cyber-AZ gewandelt.
• Es entwickelte sich von einer reinen Informationsdrehscheibe hin zur zentralen Kooperationsplattform der IT-Sicherheitsbehörden.

Mit der Verabschiedung einer neuen Geschäftsordnung des Cyber-AZ zum 1. September 2019, wurden wesentliche Änderungen wirksam.

• Erstmals haben sich alle beteiligten Behörden dazu verpflichtet, Verbindungspersonen vor Ort ins Cyber-AZ zu entsenden.
• Nunmehr orientiert sich das Cyber-AZ am Modell des Gemeinsamen Terrorismusabwehrzentrums (GTAZ).
• Die Funktion des Leiters des Cyber-AZ wurde durch die eines Koordinators ersetzt.
• Diese Aufgabe wird seit dem 16. Dezember 2019 für die nächsten zwei Jahre durch das BKA wahrgenommen.
• Unterstützt wird das BKA dabei durch stellvertretende Koordinatoren des BfV und der Bundeswehr bzw. dem KdoCIR. Räumlich bleibt das Cyber-AZ weiterhin im BSI und damit auch in unmittelbarer Nähe des Nationalen IT-Lagezentrums/IT-Krisenreaktionszentrums und des CERT-Bund.
• Das BSI stellt darüber hinaus wie bisher die IT-Infrastruktur und Mitarbeiter für die Geschäftsstelle des Cyber-AZ zur Verfügung.

Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik, die 2012 in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) gegründet wurde und somit 2017 ihr fünfjähriges Bestehen feiern konnte.

• Als Zusammenschluss aller wichtigen Akteure im Bereich der Cyber-Sicherheit in Deutschland hat die Allianz das Ziel, aktuelle und valide Informationen zu Gefährdungen im Cyber-Raum bereitzustellen.
• Die Initiative unterstützt zudem den Informations- und Erfahrungsaustausch zwischen den Teilnehmern.
• Der Allianz für Cyber-Sicherheit gehören inzwischen mehr als 5.000 Institutionen an, davon knapp 150 Partner-Unternehmen und 100 Multiplikatoren.

Über die Allianz für Cyber-Sicherheit bietet das BSI eigene Zertifizierungen an.

• Kostenfreie und für jeden deutschen Staatsbürger zu erlangen sind hierbei die Bezeichnungen "Digitaler Ersthelfer" und "Vorfall-Experte"; (siehe auch Liste von IT-Zertifikaten#Weitere Sicherheits-Zertifizierungen)

Der UP KRITIS (UP steht dabei für Umsetzungsplan)

Zu den Aufgaben des BSI gehört die Information und Sensibilisierung von Bürgern für einen sicheren Umgang mit Informationstechnologie, mobilen Kommunikationsmitteln und Internet.

• Das BSI bietet daher ein speziell für die Bürger zugeschnittenes Internetangebot.
• Auf der Webseite werden die Themen und Informationen rund um das Thema IT- und Internet-Sicherheit so behandelt, dass sie auch für technische Laien verständlich sind.
• Neben der reinen Information bietet das BSI dort auch konkrete und umsetzbare Handlungsempfehlungen an, beispielsweise zu Themen wie E-Mail-Verschlüsselung, Smartphone-Sicherheit, Online Banking, Cloud Computing oder Soziale Netzwerke.
• Auch telefonisch oder per E-Mail können sich Privatanwender mit ihren Fragen zu Themen der IT- und Internetsicherheit an das BSI wenden.

Ferner bietet das BSI mit dem "Bürger-CERT" einen kostenlosen Warn- und Informationsdienst, der Bürger und kleine Unternehmen schnell und kompetent über Schwachstellen, Sicherheitslücken und anderen Risiken informiert und konkrete Hilfestellungen gibt.

Durch das geplante IT-Sicherheitsgesetz 2.0 sollen dem BSI außerdem Verbraucherschutzkompetenzen zugeordnet werden.

Immer wieder wurde kritisiert

• Dass das BSI eigentlich für IT-Sicherheit zuständig sein soll, jedoch gleichzeitig aus einer ehemaligen BND-Dienststelle hervorging und dem Innenministerium nachgeordnet ist, das seinerseits für Polizei und Geheimdienste zuständig ist.
• Weiter kaufte das BSI über Jahre Informationen über IT-Sicherheitslücken und Exploits, wie sie sonst von Geheimdiensten und Strafverfolgungsbehörden beschafft werden.

Im April 2022 veröffentlichte die Frankfurter Allgemeine Zeitung einen Artikel zu zahlreichen Änderungen von Wikipedia-Artikeln von IP-Adressen aus, die auf das BSI zurückgeführt wurden, allerdings von mehreren Behörden verwendet werden.

Im Oktober 2022 deckte das ZDF Magazin Royale Verstrickungen von BSI-Präsident Arne Schönbohm mit Vereinen und Unternehmen auf, die in engem Austausch mit dem russischen Geheimdienst FSB stehen.

BSI-Affäre 2022

• BSI-Affäre 2022

• Bundesamt für Sicherheit in der Informationstechnik
• Bundesamt für Sicherheit in der Informationstechnik/Geschichte

1. https://www.bsi.bund.de
2. https://de.wikipedia.org/wiki/Bundesamt_f%C3%BCr_Sicherheit_in_der_Informationstechnik
3. https://www.allianz-fuer-cybersicherheit.de