BSI: Keine Unterstützung ausländischer Nachrichtendienste

Internationale Zusammenarbeit im Rahmen der präventiven Aufgaben betont

[datensicherheit.de, 26.07.2013] Im Rahmen der Medienberichterstattung zu den Ausspähprogrammen amerikanischer und britischer Geheimdienste wurde auch über das Bundesamt für Sicherheit in der Informationstechnik (BSI) und dessen vermeintlich enge Zusammenarbeit mit dem US-Nachrichtendienst National Security Agency (NSA) berichtet. Dabei sei unter anderem suggeriert worden, dass das BSI die NSA aktiv mit Informationen versorge, die es der NSA erleichterten, in Deutschland Ausspähungen vorzunehmen und vorhandene Sicherheitsschranken zu umgehen. Hier sei insbesondere eine vermeintliche Zusammenarbeit zwischen BSI und ausländischen Diensten im Zusammenhang mit der Zertifizierung von IT-Produkten und -Dienstleistungen – einer Kernaufgabe des BSI zur Schaffung von mehr IT-Sicherheit – unterstellt worden. Zudem wurde die Frage aufgeworfen, ob das BSI die NSA dabei unterstützt habe, Kommunikationsvorgänge am Internetknoten De-CIX auszuspähen.

Hierzu erklärt das BSI: Eine Zusammenarbeit oder Unterstützung ausländischer Nachrichtendienste durch das Bundesamt für Sicherheit in der Informationstechnik im Zusammenhang mit den Ausspähprogrammen Prism und Tempora findet nicht statt. Das BSI hat weder die NSA noch andere ausländische Nachrichtendienste dabei unterstützt, Kommunikationsvorgänge oder sonstige Informationen am Internet-Knoten De-CIX oder an anderen Stellen in Deutschland auszuspähen. Das BSI verfügt zudem nicht über das Programm XKeyscore und setzt dieses nicht ein. Das BSI gibt überdies keinerlei Informationen über zertifizierte IT-Produkte und -Dienstleistungen oder im
Rahmen des Zertifizierungsprozesses gewonnene Erkenntnisse über diese Produkte und Dienstleistungen an andere Behörden, Nachrichtendienste oder sonstige Dritte weiter.

Internationale Zusammenarbeit im Rahmen der präventiven Aufgaben des BSI

Das BSI tausche sich im Rahmen seiner auf Prävention ausgerichteten Aufgaben regelmäßig mit anderen Behörden in der EU und außerhalb der EU zu technischen Fragestellungen der IT- und Internet-Sicherheit aus. Auch Behörden in Deutschland stelle das BSI auf Anfrage technische Expertise und Beratung zur Verfügung. Im Kontext der Bündnispartnerschaft NATO arbeitee das BSI auch mit der NSA zusammen. Diese Zusammenarbeit umfasse jedoch ausschließlich präventive Aspekte der IT- und Cyber-Sicherheit entsprechend den Aufgaben und Befugnissen des BSI gemäß des BSI-Gesetzes.

In Deutschland bestehe eine strukturelle und organisatorische Aufteilung in Behörden mit einerseits nachrichtendienstlichem bzw. polizeilichem Auftrag und dem BSI mit dem Auftrag zur Förderung der Informations- und Cyber-Sicherheit. In anderen westlichen Demokratien bestünden mitunter Aufstellungen, in denen diese Aufgaben und Befugnisse in anderem Zuschnitt zusammengefasst würden. Die Zusammenarbeit des BSI mit diesen Behörden finde stets im Rahmen der präventivenAufgabenwahrnehmung des BSI statt, unter anderem zur Abwehr von IT- und Cyber-Angriffen.

IT-Zertifizierung ist und bleibt vertraulich

Unabdingbare Voraussetzung für die Nutzung von IT und das Erschließen der damit verbundenen wirtschaftlichen und gesellschaftlichen Potenziale sei das Vertrauen in die Informationstechnik und die IT-Dienstleistungen. Vertrauen setze wiederum Sicherheit voraus, die das BSI zum Beispiel durch eine transparente und nachvollziehbare Darstellung der Sicherheitsanforderungen, der daraus resultierenden Sicherheitsniveaus und der Abläufe, wie Sicherheitsanforderungen entstehen, anstrebe. Die Zertifizierung sei ein bewährtes Verfahren zur Bewertung der Sicherheit von IT-Produkten, das international erfolgreich etabliert ist.

Die Objektivität und Einheitlichkeit der Prüfungen sowie die Unparteilichkeit wird dabei durch das BSI gewährleistet. Das BSI ist im Zertifizierungsverfahren maßgeblich an der Erarbeitung der Sicherheitsvorgaben (Security Targets) beteiligt. Nach der Beantragung der Zertifizierung beim BSI wird die technische Evaluierung eines Produktes im  Regelfall durch eine beim BSI anerkannte private Prüfstelle durchgeführt, die der Antragsteller frei wählen kann. Die Prüfstelle wird vom Antragsteller beauftragt und bezahlt. Das BSI begleitet das Prüfverfahren und erteilt nach dessen erfolgreichem Verlauf und entsprechender Prüfung das Zertifikat.

Anbieter von IT-Produkten und -Dienstleistungen können mit Hilfe der Zertifizierung das Sicherheitsniveau ihrer Angebote nachvollziehbar darstellen. Nutzer von zertifizierten IT-Produkten und -Lösungen können einschätzen, für welche Einsatzbereiche diese Produkte und Dienstleistungen geeignet sind und welchen Beitrag die Nutzer ggf. selbst leisten müssen, um beim Einsatz dieser Produkte und Lösungen das erforderliche Maß an Informationssicherheit zu erreichen. Weitere Informationen zur Zertifizierung sind auf der Webseite des BSI abrufbar.