Bundesamt für Sicherheit in der Informationstechnik
Koordinaten: 50° 42′ 16,4″ N, 7° 7′ 58,5″ O
Bundesamt für Sicherheit in der Informationstechnik | |
---|---|
Staatliche Ebene | Bund |
Stellung | Bundesoberbehörde |
Aufsichtsbehörde | Bundesministerium des Innern |
Gründung | 1. Januar 1991 |
Hauptsitz | Bonn |
Behördenleitung | Arne Schönbohm (Präsident)[1] |
Bedienstete | > 600 [2] |
Netzauftritt | www.bsi.bund.de |
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine in der Bundesstadt Bonn ansässige zivile obere Bundesbehörde im Geschäftsbereich des Bundesministeriums des Innern, die für Fragen der IT-Sicherheit zuständig ist. Im BSI sind zirka 600 Mitarbeiter beschäftigt (Stand 2016).
Geschichte
Das BSI wurde 1991 gegründet und ging aus der Zentralstelle für Sicherheit in der Informationstechnik (ZSI) hervor, deren Vorgängerbehörde die dem Bundesnachrichtendienst (BND) unterstellte Zentralstelle für das Chiffrierwesen (ZfCh) war.[3] Der Mathematiker Otto Leiberich, seit 1957 beim Bundesnachrichtendienst und dort zuletzt Leiter der Zentralstelle für das Chiffrierwesen, war erster Präsident des BSI.
Nach dem Ausscheiden von Otto Leiberich wurde Dirk Henze mit Wirkung zum 1. Januar 1993 zum neuen BSI-Präsidenten bestellt. Ihm folgte im März 2003 Udo Helmbrecht. Danach trat Michael Hange am 16. Oktober 2009 sein Amt als Präsident an und wurde am 11. Dezember 2015 in den Ruhestand entlassen.[4][5] Sein Nachfolger ist seit 18. Februar 2016 der ehemalige Präsident des Cyber-Sicherheitsrat Deutschland e.V. Arne Schönbohm.[6] Im Vorfeld seiner Ernennung wurde Kritik an seiner Berufung laut.[7][8]
Abteilungen und Aufgaben
Das BSI gliedert sich in fünf Abteilungen; vier davon sind Fachabteilungen und eine ist für Verwaltungsaufgaben (Abteilung Z) zuständig. Zusätzlich gibt es einen Leitungsstab. Die vier Fachabteilungen sind jeweils in zwei Fachbereiche unterteilt.[9]
Abteilung C – Cyber-Sicherheit
- Leitung: Hartmut Isselhorst
- FB C1 – Sicherheit in Netzen
- FB C2 – Operative Netzabwehr
Abteilung B – Beratung und Koordination
- Leitung: Horst Samsel
- FB B1 – Beratung und Unterstützung
- FB B2 – Koordination und Steuerung
- Abteilung KT – Krypto-Technologie
- Leitung: Gerhard Schabhüser
- FB KT1 – Vorgaben an und Zulassungen von Kryptosystemen
- FB KT2 – Evaluierung und Betrieb von Kryptosystemen
Abteilung S – Sichere elektronische Identitäten, Zertifizierung und Standardisierung
- Leitung: Bernd Kowalski
- FB S1 – Sichere elektronische Identitäten
- FB S2 – Zertifizierung und Standardisierung
Abteilung Z – Zentrale Aufgaben, CIO
- Leitung: Jörg Pieper
- Organisation
- Personal
- Haushalt
- Innerer Dienst
- Vergabe und Projektbegleitung
- Objekt- und Geheimschutz
- Informationstechnik
Das BSI gibt die IT-Grundschutz-Kataloge heraus, die Empfehlungen für Standardschutzmaßnahmen für typische IT-Systeme enthalten. In diesen Katalogen werden nicht nur technische, sondern auch organisatorische, personelle und infrastrukturelle Maßnahmen erörtert.
Das BSI ist die zentrale Zertifizierungsstelle für die Sicherheit von IT-Systemen in Deutschland (Computer- und Datensicherheit, Datenschutz). Prüfung und Zertifizierung ist möglich in Bezug auf die Standards des IT-Grundschutzhandbuch, dem Grünbuch, ITSEC und den Common Criteria.
Um Alternativen zu proprietären Produkten zu fördern, setzt sich das BSI verstärkt für den Einsatz und die Fortentwicklung von Open-Source-Software ein. So wird z. B. das BitBox-Projekt unterstützt, das einen besonders sicheren Browser für Online-Banking und andere sensible Anwendungen bereitstellt.[10]
Nach dem Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes[11] vom August 2009 speichert die Behörde als zentrale Meldestelle für IT-Sicherheit alle Protokolldaten, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallen.[12]
Mit Inkrafttreten des „Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ im Juli 2015 wurden die Aufgaben und Befugnisse des BSI ausgeweitet (BGBl. I S. 1324). Nach § 8a BSIG müssen Betreiber Kritischer Infrastrukturen IT-Sicherheit nach dem „Stand der Technik“ umsetzen und deren Einhaltung regelmäßig gegenüber dem BSI nachweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen. Zudem wird das BSI wird nach § 8b BSIG die zentrale Meldestelle für die IT-Sicherheit Kritischer Infrastrukturen. Die Betreiber müssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Sofern bei einem KRITIS-Betreiber meldepflichtige Störungen der IT auftreten, darf das BSI falls erforderlich auch die Hersteller der entsprechenden IT-Produkte und -systeme zur Mitwirkung verpflichten. Dem BSI wird darüber hinaus nach § 7a die Befugnis eingeräumt, zur Wahrnehmung seiner Aufgaben IT-Produkte auf ihre Sicherheit hin zu untersuchen.[13]
Nationales Cyber-Abwehrzentrum
Beim federführenden BSI angesiedelt ist das zum 1. April 2011 gestartete Nationale Cyber-Abwehrzentrum (Cyber-AZ), eine Kooperationseinrichtung der Sicherheitsorgane des Bundes zur Abwehr elektronischer Angriffe auf IT-Infrastrukturen des Bundes und der Wirtschaft. Vom Bundesrechnungshof gab es Kritik an dem Zentrum,[14] der Rechnungshof meint, die Cyber-AZ sei „nicht geeignet, die über die Behördenlandschaft verteilten Zuständigkeiten und Fähigkeiten bei der Abwehr von Angriffen aus dem Cyberraum zu bündeln.“[15]
Produkte
Kommerzielle Produkte
- Chiasmus für Windows
- GSTOOL
- Kostenfreie Tools / Produkte
- BitBox zum sicheren Surfen im Internet (von der Sirrix AG im Auftrag entwickelt)
- BSI OSS Security Suite (BOSS)
- Gpg4win zum Verschlüsseln und fortgeschrittenen Signieren von E-Mails (von der Die Gpg4win-Initiative im Auftrag entwickelt)
- Sicherheitsempfehlungen für den öffentlichen Dienst
- Sicherheitsempfehlungen für Privatanwender
- Webseite BSI für Bürger
Veröffentlichungen
Das BSI veröffentlicht regelmäßig Studien, Richtlinien, Infoblätter und Broschüren zum Thema IT-Sicherheit. Diese Dokumente werden teilweise zum kostenlosen Download angeboten.[16] Neben diesen allgemeinen Veröffentlichungen nutzt das BSI seit 1993 die Zeitschrift <kes> als offizielles Organ.
Mitte Januar 2014 gab es Berichte über den millionenfachen Diebstahl von Internet-Nutzerdaten in Deutschland. Dem Bundesamt war dieser Vorfall bereits seit Dezember 2013 bekannt.[17] Das BSI richtete eine Webseite ein, nach deren Angaben es etwaige Betroffenheiten überprüfte.[18] Anfang April 2014 wurde ein erneuter Datendiebstahl bekannt, bei dem 21 Millionen E-Mail-Adressen ausgespäht wurden, von denen in Deutschland zirka drei Millionen betroffen waren. Die betroffenen E-Mail-Adressen konnten erneut auf einer Webseite des Bundesamts überprüft werden.[19]
Weblinks
Einzelnachweise
- ↑ https://www.bsi.bund.de/DE/DasBSI/DerPraesident/derpraesident_node.html
- ↑ Selbstdarstellung des BSI mit Angabe der Mitarbeiteranzahl. Aufgerufen am 18. Februar 2016.
- ↑ BSI-Jahresbericht 2003: Historie, abgerufen am 25. Juni 2016 (PDF, 6MB)
- ↑ Lebenslauf Michael Hange auf bsi.bund.de
- ↑ BSI-Präsident Hange in den Ruhestand verabschiedet auf bsi.bund.de 11. Dezember 2015
- ↑ Pressemitteilung BMI: Neuer Präsident des BSI tritt Dienst an 17. Dezember 2015
- ↑ IT-Sicherheit: Arne Schönbohms BSI-Antritt verzögert sich, Die Welt, 15. Februar 2016
- ↑ Bundesregierung ernennt Cyberclown Arne Schönbohm zum BSI-Präsidenten, Netzpolitik.org, 17. Februar 2016
- ↑ Organisation des BSI gem. §11 Informationsfreiheitsgesetz (IFG) Stand: September 2015
- ↑ Der Hochsicherheits-Browser des BSI, Netzwelt.de, abgerufen am 28. Juli 2011
- ↑ Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes. (80 kB) 14. August 2009, abgerufen am 2. Juni 2010 (pdf).
- ↑ Bundestag beschließt neues BSI-Gesetz, Heise online, 19. Juni 2009.
- ↑ BSI – Neuregelungen des IT-Sicherheitsgesetzes. 11. April 2016, abgerufen am 11. April 2016.
- ↑ Steuer-Millionen weg: Nationale Cyber-Abwehr ist eine Geister-Behörde. Deutsche Wirtschaftsnachrichten, 7. Juni 2014, abgerufen am 15. November 2014.
- ↑ Rechnungsprüfer halten Cyber-Abwehrzentrum für „nicht gerechtfertigt“. Süddeutsche Zeitung, 7. Juni 2014, abgerufen am 15. November 2014.
- ↑ BSI-Studien
- ↑ BR-Interview mit dem BSI-Präsidenten Michael Hange, 22. Januar 2014
- ↑ sicherheitstest.bsi.de/#email, 22. Januar 2014
- ↑ Erneuter Datenklau – BSI warnt Internetnutzer, test.de, 7. April 2014, abgerufen am 9. April 2014