Der Cyberspace, unendliche Weiten. Wir schreiben das Jahr 2021. Dies sind die Abenteuer des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das mit seiner über 1023 Mann und Frau starken Besatzung seit 30 Jahren unterwegs ist, um neue Cyberrisiken zu erforschen, neues künstliches Leben (KI) und neuen Schutz in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft. Nur 600 Erdkilometer von Berlin entfernt, dringt das BSI in Bonn mit seinem Präsidenten Arne Schönbohm in Cyberszenarien vor, die nie ein Mensch zuvor gesehen hat.

So oder so ähnlich könnte die Science-Fiction-angehauchte Geschichte des BSI lauten, das vor fast genau 30 Jahren, am 1.1.1991 gegründet wurde und das als Bundesoberbehörde dem Bundesministerium des Innern, für Bau und Heimat (BMI) unterstellt ist. Hervorgegangen ist die Behörde aus der Zentralstelle für Sicherheit in der Informationstechnik, deren Vorgängerbehörde wiederum die dem Bundesnachrichtendienst unterstellte Zentralstelle für das Chiffrierwesen war – was dem BSI noch viele Jahre Skepsis und Misstrauen beschert hat.

Der Umstand, dass das BSI durch die Anbindung an das BMI zwangsläufig eine starke organisatorische Nähe zu Nachrichtendiensten und Ermittlungsbehörden besitzt, führt naturgemäß dazu, dass Teile der Community immer wieder eine gewisse Distanz halten. Denn immer schwingt die Frage mit, ob diese Nähe zu Behörden – für die Sicherheitslücken eben nicht nur Risiko, sondern auch Chance sind – nicht für die IT-Security eher schädlich ist. In jedem Fall führt dies dazu, dass leider nicht immer alle mit vereinter Kraft an einem Strang ziehen.

Eine Behörde für alle

Die Ausrichtung nicht nur auf den Staat, sondern insbesondere auch auf die Wirtschaft und die Gesellschaft, ist bei vergleichbaren Behörden in anderen Ländern nicht immer selbstverständlich und daher eine positive Ausrichtung, wenn man die Digitalisierung und die Auswirkungen auf die deutsche Bevölkerung insgesamt im Auge hat. Sie war auch beim BSI nicht von Anfang an gegeben. In früheren Zeiten verstand sich die Behörde eher als zuständig für andere Behörden und die Verwaltung. Doch gerade bei IT-Sicherheit sind „sichere Inseln“ angesichts immer stärkerer Vernetzung nicht ausreichend.

Auch wenn das BSI im – für eine Behörde recht jungen – Alter von 30 Jahren noch immer dem BMI unterstellt ist und daher nicht so unabhängig agieren kann, kann es doch auf einige Errungenschaften zurückblicken. Vielleicht wäre jetzt auch ein guter Zeitpunkt für das BMI, der IT-Sicherheitsbehörde die Unabhängigkeit zuzugestehen, die sie benötigt, um die Cyberresilienz und die Cybersicherheit in Deutschland noch einmal deutlich zu stärken.

Zu den positiven Leistungen der Behörde gehört sicherlich der über die Jahre immer wieder aktualisierte und manchmal auch grundrenovierte BSI IT-Grundschutz, der mit vier BSI-Standards und dem Kompendium ein Rahmenwerk geschaffen hat, das beim Aufbau eines Informationssicherheitsmanagementsystems (ISMS) unterstützt und dabei sogar international kompatibel das zugehörige ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz abbildet.

Die Standards sowie das Kompendium mit konkreten Hilfestellungen und Sicherungsmaßnahmen für den methodischen Schutz von Prozessen, Personen und IT-Systemlandschaften wurden dabei zur Vorgabe für Behörden und Institutionen, blieben aber immer frei verfügbar für alle und wurden mit regelmäßigen Informationsveranstaltungen dazu versehen. Die Community, die sich um den Grundschutz herum gebildet hat, hat auch eigene Inhalte beigesteuert. So hat sich dieses Konstrukt seit vielen Jahren auch als Hilfestellung für die Wirtschaft und als Lern- und Wissensbasis für interessierte Privatmenschen etabliert und verbreitet.

Vorreiter in Sachen kritische Infrastrukturen

Für neue Technologien und IT-Infrastrukturmodelle wie Cloud Security oder künstliche Intelligenz hat das BSI initiale Feldforschung betrieben und sich auch seit vielen Jahren Gedanken um das Thema kritische Infrastrukturen gemacht – lange, bevor diese Gegenstand einer EU-weiten gesetzlichen Vorgabe wurden.

Der Vernetzungsgedanke im Sinne von Networking wurde unter anderem mit der Allianz für Cyber-Sicherheit realisiert, die dauerhaft als Austauschplattform dient. In ihr arbeiten IT-Dienstleistungs- und -Beratungsunternehmen, IT-Hersteller sowie Anwenderunternehmen aus allen Bereichen zusammen, um das erklärte Ziel zu erreichen: die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken. Dabei sollen nicht nur der Wissens- und Erfahrungsaustausch, sondern auch diverse Materialien und Angebote helfen.

Mit BSI für Bürger wurden auch Möglichkeiten geschaffen, die Gesellschaft als solches zu informieren und auf dem Laufenden zu halten. Ein weiteres Standbein der Prävention, aber auch der Hilfestellung bei sicherheitsrelevanten Vorfällen in Behörden und Unternehmen sind das CERT Bund sowie das „Mobile Incident Response Team“.

Umstrittene zukünftige Rolle

Gewürdigt werden diese Leistungen unter anderem im aktuellen Entwurf des IT-Sicherheitsgesetzes 2.0, bei dem die Behörde noch mehr weitreichende Aufgaben wie den digitalen Verbraucherschutz und eine umfangreiche Personalaufstockung erhalten soll. Damit wird das BSI auch stärker in offensive Themen eingebunden, statt wie bisher überwiegend defensiv zu agieren. Darauf zielen auch weitere Punkte des umstrittenen und viel diskutieren Gesetzesentwurfes ab: So soll die Behörde im Kampf gegen Botnetze und unsichere IoT-Geräte Befugnisse erhalten, auf die unsicheren Systeme zugreifen und Daten verändern beziehungsweise löschen zu dürfen. Der Ausbau zur "Hackerbehörde" wie auch die generell offensivere Ausrichtung der Cybersicherheit wird von Netzaktivisten, Sicherheitsexperten und vielen anderen kritisiert.

Gefeiert wird das 30-jährige Bestehen des BSI am 2.-3. Februar 2021 mit dem (coronabedingt digitalen) 17. Deutschen IT-Sicherheitskongress und weiteren Festakten.

(ur)