Identity & Access mit der Blockchain

Transkript

1 Identity & Access mit der Blockchain Einige nennen sie die nächste große Sache nach dem Internet : Blockchain. Was ist dran an diesen aneinandergeketteten Datenblöcken: überzogene Erwartungen oder berechtigter Hype? Kommt mit der Blockchain die nächste digitale Revolution? Fakt ist: Keiner will den Anschluss verpassen, keiner die Revolution verschlafen. Von Dr. André Kudra, esatus, Leiter der -AG Blockchain it-sa 2016 Was ist wirklich dran? Ohne ein zumindest elementares Verständnis, wie die Blockchain funktioniert, ist die Meinungsbildung müßig und kann kaum qualifiziert gelingen. Zunächst zur geschichtlichen Entstehung: Das bekannteste Anwendungsszenario der Blockchain sind Bitcoins. Satoshi Nakamoto veröffentlichte 2008 ein Whitepaper, in dem er oder sie? eine kryptografische Währung vorstellte. Vermutlich ist der Name ein Pseudonym, bis heute ist nicht geklärt, wer sich wirklich dahinter verbirgt. Die Zielsetzung war, eine Währung zu erschaffen, in der es explizit nicht erforderlich ist, dass deren Nutzer Vertrauen in Banken aufbringen müssen Nakamoto sah darin das grundlegende Problem aller konventionellen Währungen. Globalität und Dezentralität Anfang 2009 wurden schließlich die ersten Bitcoins kreiert, das Kryptogeld war geboren: eine elektronische Währung, die auf einem kryptografischen Beweis von Transaktionen beruht und ohne Vertrauen in Mittelsmänner auskommt. Und hier kommt die Blockchain ins Spiel, ohne die Bitcoin nicht möglich wäre: Die Verbindung besteht darin, dass die Blockchain alle Bitcoin- Transaktionen speichert vereinfacht ausgedrückt ist die Blockchain die Datenbank hinter der kryptografischen Währung. Sie wird von global verteilten Clients verwaltet, die die Blockchain-Infrastruktur darstellen und alle Transaktionen verarbeiten und prüfen. Dabei speichert jeder Client, der sich am Bitcoin-Prozess beteiligt, eine vollständige Kopie der Blockchain (derzeit knapp 100 GB an Daten). Es handelt es sich also um ein gigantisches, weltweites Peer-to-Peer-Netzwerk ohne zentrale, steuernde Instanz mit inzwischen mehr als 5200 aktiven Knoten (vgl. Unanfechtbarkeit und Konsens Einzigartig ist, dass alle Clients des Blockchain- Netzwerks den Rechenergebnissen desjenigen Clients vertrauen, der den letzten Datenblock manifestiert hat. Diese Unanfechtbarkeit der Blockchain wird durch das zugrunde liegende kryptografische Verfahren, den so genannten konsensbildenden Mechanismus, erreicht: Mit dem Proof-of-Work-Algorithmus wird von einem Client in einem aufwändigen Hashverfahren auf Basis aller Daten des jeweiligen Blocks sowie dem Hashwert des vorherigen Blocks ein Wert erzeugt dieser kann von anderen Clients einfach nachvollzogen und überprüft werden. Der Schwierigkeitsgrad hierfür variiert und wird so justiert, dass circa alle zehn Minuten ein Client erfolgreich in der Berechnung sein kann. Aufgrund der geringen Erfolgswahrscheinlichkeit ist unvorhersehbar, welchem Client die Erzeugung des nächsten vertrauenswürdigen Blocks gelingen wird. Clients, die an diesem Prozess teilnehmen, werden auch Miner genannt: ein Miner erhält nach erfolgreicher Blockerstellung eine Belohnung in Form von Bitcoins und Transaktionsgebühren. 26

2 it-sa 2016 Kontinuität und Irreversibilität Es entsteht eine kontinuierliche Kette von vertrauenswürdigen Blöcken, da jeder Block automatisch den Hashwert des vorherigen Blocks enthält. Ein Block könnte also nur geändert werden, wenn derselbe Vorgängerblock zugrunde gelegt würde, aber auch alle nachfolgenden Blöcke mit entsprechendem Proof-of-Work-Aufwand neu berechnet würden. Diese systemischen Eigenschaften schützen die Blockchain vor Manipulationen und verschaffen ihr die berühmte Irreversibilität. Dies funktioniert am besten und so lange, wie sich die gesamte Arbeitsleistung des Netzwerks auf viele Clients verteilt. Bekanntestes Angriffsszenario ist daher die so genannte 51%-Attacke, bei der ein Miner oder ein Zusammenschluss von Minern (Mining-Pool) mit mindestens 51 % der gesamten Leistung die Blockchain manipulieren könnte auch rückwirkend seit der Kontrollübernahme. Dies ist im offenen Netzwerk der Blockchain theoretisch möglich, da keine zentrale Kontrollinstanz vorhanden ist, die dies verhindern könnte. Bei den derzeit vorhandenen Schwierigkeitsgraden der Berechnung wären hierzu jedoch enorme Investitionen in entsprechende MiningHardware erforderlich, deren Aufbringung hochgradig unwahrscheinlich erscheint. T ELE T RUS T Mehr als Münzen Diese Prinzipien und unumstößlichen Eigenschaften ermöglichten es Bitcoin zu erschaffen sie bilden aber auch die ideale Basis für mehr als nur die bekannte Krypto-Währung: Über diese Anwendung hinaus existieren bereits unzählige Publikationen, doch das enorme Potenzial der Blockchain-Technologie für weitere Anwendungsgebiete bietet noch viel Raum für Diskussion. Ein spezifischer, vielversprechender Bereich wird nachfolgend thematisiert: das Identity- und AccessManagement (IAM). IDs, Profile und Attestierung Mit speziellen Blockchain-Erweiterungen (bspw. Blockstack vgl. lässt sich eine ID erstellen und mit Informationen anreichern diese bezeichnet man als Profil. Die angehängten Attribute können durch den Benutzer, einen anderen ID-Eigentümer oder eine als Autorität anerkannte Stelle bestätigt werden (sog. Attestierung). IDs können nicht nur für Personen, sondern auch für Unternehmen, Webseiten oder Applikationen registriert werden. Der konkrete Anwendungsfall der Nutzung App Security Sind Ihre Apps so sicher, wie Sie glauben? it-sa 2016 Ein wesentlicher Erfolgsfaktor von Smartphones ist die Möglichkeit, Apps einfach über Stores zu erwerben, herunterzuladen und zu installieren. Mit den Chancen dieser Entwicklung gehen jedoch große Risiken für die Hersteller, wie auch für Anwender von Apps einher. Es gilt vor allem bei Smartphone Apps die Sensibilität für Datensicherheit und Datenschutz zu schärfen, das Rechtemanagement zu hinterfragen und Angriffsszenarien zu kennen. Wir unterstützen den Entwicklungsprozess in allen Phasen von der Konzeption, über die Realisierung bis hin zum Testing und der finalen Qualitätsabnahme. Desweiteren prüfen wir vorhandene Apps vertrauensvoll auf Qualitätsund Sicherheitsmängel und zeigen Optimierungspotential hinsichtlich Benutzerfreundlichkeit und Funktionalität auf. Auszug aus unserem Leitfaden: 9 Korrekte Implementierung von Verschlüsselungstechniken (SSL/TLS) 9 Prüfung auf Verwendung von Reflection in Third-Party-Komponenten 9 Datenschutzkonforme Behandlung von personenbezogenen Daten 9 Identifizierung der Angriffsmöglichkeiten durch Trojaner oder Phishing-Programme 9 Wertvolle Tipps und Tricks zum Schutz Ihres geistigen Eigentums OTARIS Interactive Services GmbH ist unabhängiger Softwarehersteller (ISV) mit Sitz im Technologiepark an der Universität Bremen. SecuMedia Verlags-GmbH Ingelheim <kes> 2016 # 5OTARIS innovative Methoden und Tools zur In enger Kooperation mit Forschungseinrichtungen realisiert Optimierung der App-Sicherheit. OTARIS repräsentiert die Regionalstelle Bremen vom - Bundesverband IT-Sicherheit e.v (Teletrust-Teil it-sa 2016*5)*.indd 27 OTARIS Interactive Services GmbH Fahrenheitstr Bremen :46

3 it-sa 2016 einer Applikation durch eine Person kann somit vollständig durch interagierende IDs abgebildet werden: Die ID einer Applikation kann der ID einer Person attestieren, dass sie diese kennt und als legitimen Nutzer betrachtet. So kann ein Benutzer über die verfügbaren Mechanismen sowohl authentifiziert als auch autorisiert werden. Souveräne Identität Dabei zeigen sich offenkundig verschiedene Vorteile: Derartige digitale Identitäten werden nur noch einmal, in einer dezentralen Datenbank verwaltet. Der Eigentümer einer digitalen Identität ist wirklich Herr über diese und verwaltet sie selbst man könnte dies als souveräne Identität bezeichnen. Eine Applikation muss selbst keine Berechtigungen verwalten die Berechtigungsadministration erfolgt für alle Applikationen an nur einer Stelle. Und es ist kein Vertrauen in eine zentrale Instanz erforderlich weder für Identitäten noch für Berechtigungen. Mangel an Systemvertrauen hindert Adaption Trotz der genannten Vorteile wird dieses Verfahren in der Praxis kaum angewandt etablierte Systeme sind bisher eher als Proof-of-Concept anzusehen. Woran liegt das? Grundsätzlich können alle Clients in die Blockchain schauen und die Transaktionen einsehen. Für den Aufbau und Betrieb eines Blockchain-Clients gibt es keine Beschränkungen der Vorgang ist permissionless, jeder kann sich beteiligen, es handelt sich um ein dezentrales Peer-to-Peer-Netzwerk ohne zentrale autoritäre Instanz. Deswegen wird es auch als Distributed Public Ledger, als verteiltes öffentliches Kassenbuch bezeichnet. Das sind fundamentale Eigenschaften der klassischen Blockchain, die wichtig für den Betrieb einer Krypto-Währung sind. Aufgrund des öffentlichen Charakters können jedoch Langzeitverlässlichkeit und -stabilität des Systems nicht garantiert werden. Weiterhin benötigt man zur Konsensbildung den Proof-of-Work, der erhebliche Mengen Energie verbraucht. All dies sind zentrale Kritikpunkte an der klassischen Blockchain, die Vertrauen und Adaption im professionellen Enterprise-Umfeld negativ beeinträchtigen. Vertrauensbildung im Konsortium Abhilfe kann ein Permissioned Distributed Ledger bewirken, das nur bekannten und genehmigten Teilnehmern den Betrieb eines Clients erlaubt das Ergebnis wird dann als Consortium-Chain bezeichnet. Für die Beteiligten und Nutzer bedeutet dies zunächst einmal größere Transparenz; diese wiederum schafft ein besseres Gefühl für die Kontrollierbarkeit und Verlässlichkeit, was für manche Anwendungsbereiche, gar ganze Industrien unerlässlich ist. Wesentlicher Punkt: Auch weiterhin benötigt man keine zentrale Kontrollinstanz und keinen Intermediär. Das für das Identity- und Access-Management benötigte Vertrauen wäre somit im Konsortium gemeinschaftlich hergestellt und könnte im professionellen Anwendungsumfeld zu einer Schlüsselapplikation werden. Die Implikationen sind vielfältig und durchschlagend: Im öffentlichen Bereich und im Unternehmenskontext könnte ein echtes Bring-Your-Own-Identity einziehen. Teilnehmer werden nur noch einmal angelegt und nehmen dann ihre eigene digitale Identität einfach mit. Konkret: Ein Unternehmen muss seinem Mitarbeiter lediglich die Organisationszugehörigkeit bestätigen und die erforderlichen Zugriffsberechtigungen gewähren und im Falle des Ausscheidens aus der Organisation sind innerhalb von Minuten alle Berechtigungen wieder entzogen. Fazit Ist Blockchain-IAM nun eine große Sache? Sein Potenzial ist jedenfalls nicht von der Hand zu weisen. Ob sich Unternehmen auf diese neue Art des Identitäts- und Berechtigungsmanagements einlassen werden, dürfte an einige Bedingungen geknüpft sein: voraussichtlich nur unter den Prämissen, die ein Permissioned Distributed Ledger bietet. Dessen Erfolg ist wiederum stark davon abhängig, wie viele Mitglieder eine etablierte Consortium- Chain hat, die das System tragen. Eine kritische Masse ist zwingend erforderlich, damit das Konstrukt funktioniert. Finanzindustrie und öffentlicher Sektor könnten ein solches Blockchainbasiertes Identity- und Access-Management voranbringen und auch einen unmittelbaren Nutzen daraus ziehen: Einmal angelegt, würde die Glaubwürdigkeit einer digitalen Identität mit entsprechenden Attestierungen quasi automatisch untermauert es entsteht ein Web of Trust für IDs. Die Blockchain ist ein bahnbrechendes Verfahren möglicherweise ist im gewählten Kontext jedoch bereits eine Konzentration auf den Begriff Distributed Ledger sinnvoller. Generell lassen sich aber sehr wohl Grundzüge einer disruptiven Innovation erkennen: Sie fängt erst klein an und überflügelt dann die etablierte Welt vergleichbar ist das mit einem SSD-Speicher, der jetzt auch im Massenmarkt die klassische Festplatte überholt und auf den auch keiner mehr verzichten mag. Sicherlich bedarf es noch etwas Geduld, bis es soweit ist und die richtigen wertschöpfenden Anwendungsszenarien für die Blockchain herausgearbeitet werden IAM auf der Basis eines Permissioned Distributed Ledgers könnte ein solches sein. 28

4 Sie haben Ihre Daten im Griff? Sicher? Search Server Discovery Unternehmensdaten NetworkLock DeviceLock ContentLock Network Channel Removable Media Local Syncs Printing Channel Wer Was Wann Wie Wohin Welcher Inhalt Datensicherheit wird immer wichtiger. Daten können verloren gehen, entwendet oder manipuliert werden. Schützen Sie sich mit DeviceLock! State of the Art DLP für hochsensible IT-Security Schutz vor unerkannten Datenabflüssen durch Unachtsamkeit oder Vorsatz Kontrolle von lokalen Schnittstellen, Web- und Netzwerkkommunikation, SMB, MAPI, IBM Notes, Webmail, sozialen Netzwerken, Cloud-Diensten, Instant Messenger, Skype, etc. Kontext- und Inhalts-Prüfung - Dateitypen auf binärer Ebene, reguläre Ausdrücke, Wortlisten, Texterkennung mit OCR - Auditing & Shadowing, Volltextsuche Mac OS X Unterstützung BYOD durch virtuelle DLP Modular skalierbar für jede Unternehmens- und Netzwerkgröße DeviceLock Discovery findet ruhende Daten mit unternehmenskritischem Inhalt Über 7 Mio. Installationen weltweit Internationale Referenzen in vielen Branchen DeviceLock Europe GmbH Halskestr Ratingen Tel.: (02102) [ Lock Proactive Endpoint Security

5 auf der Die IT-Security Messe und Kongress The IT Security Expo and Congress Halle 12, Stand 641 -Partnerveranstaltung: QSkills Security Summit veranstaltet von -Mitglied QSkills am 17. Oktober 2015 in Nürnberg /FIDO-Panel 18. Oktober 2016, 16:15 bis 17:00 Uhr (Auditorium) Industrie 4.0 und IT-Sicherheit 19. Oktober 2016, 11:00 bis 12:00 Uhr (Auditorium) In der einstündigen Vortragsveranstaltung wird das Thema mit drei Impulsvorträgen und einer Podiumsdiskussion behandelt: Industrie 4.0 braucht Digitale Souveränität Pamela Krosta-Hartl, Director Corporate Communications & Affairs, LANCOM Systems GmbH Safety-Konvergenz Shop&Office-Floor, Welche Rolle spielt die Verlässlichkeit / Sicherheit der IT? Ramon Mörl, Geschäftsführer, itwatch GmbH Wie kann Industrie 4.0 starten, wenn IT-Sicherheit 3.0 noch nicht gelöst ist? Dr.-Ing. Thomas Sinnwell, CEO FuE, consistec Engineering & Consulting GmbH Podiumsdiskussion Moderation: Eric Schneider, Head of Solution Team, exceet Secure Solutions AG Nürnberg, Oktober 2016 Datenschutzfälle lösen Schritt für Schritt Gola/Reif Praxisfälle Datenschutzrecht Juristische Sachverhalte Schritt für Schritt prüfen, bewerten und lösen 30 Praxisfälle 2. Auflage 2016, 240 Seiten, Hardcover, 17 x 24 cm 39,99 ISBN inkl. E-Book (PDF) Die Umsetzung von Datenschutzvorschriften in die betriebliche Praxis wirft insbesondere für Nichtjuristen erhebliche Schwierigkeiten auf. Aus der Vielzahl der allgemeinen und speziellen Datenschutznormen ist zunächst die jeweils maßgebende Regelung zu finden. Das Gesetz bietet dann häufig keine konkrete Aussage, sondern unbestimmte Rechtsbegriffe, die zu einer eigenständigen Bewertung zwingen. Dieses Übungsbuch enthält 30 Praxisfälle zum Datenschutzrecht mit Lösungsskizzen für die Beurteilung eines datenschutzrechtlichen Sachverhalts. In die Neuauflage wurden 6 neue Fälle aufgenommen, die 24 Fälle der 1. Auflage wurden um aktuelle Urteile und weitere Praxistipps ergänzt. GmbH Tel / Fax 02234/ bestellung@datakontext.com

6 TELETRUST Bundesverband IT-Sicherheit e. V. Der IT-Sicherheitsverband Der Bundesverband IT-Sicherheit e.v. () ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst. Durch die breit gefächerte Mitgliederschaft und die Partnerorganisationen verkörpert den größten Kompetenzverbund für IT-Sicherheit in Deutschland und Europa. bietet Foren für Experten, organisiert Veranstaltungen bzw. Veranstaltungsbeteiligungen und äußert sich zu aktuellen Fragen der IT-Sicherheit. ist Träger der European Bridge CA (EBCA; PKI-Vertrauensverbund), der Expertenzertifikate Information Security Professional (T.I.S.P.) und Engineer for System Security (T.E.S.S.) und Certified Professional for Secure Software Engineering (CPSSE) sowie des Qualitätszeichens IT Security made in Germany. ist Mitglied des European Telecommunications Standards Institute (ETSI). Hauptsitz des Verbandes ist Berlin. Vorstand Geschäftsführung Vorsitzender Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule Neidenburger Straße Gelsenkirchen Dr. Holger Mühlbauer Chausseestraße Berlin Tel.: Stellvertreter Dr. Rainer Baumgart secunet Security Networks AG Kronprinzenstraße Essen Beisitzer Ammar Alkassar Sirrix AG securities technologies / Rohde & Schwarz Cybersecurity GmbH Im Stadtwald, Geb. D Saarbrücken RA Karsten U. Bartels, LL.M. HK2 Rechtsanwälte Hausvogteiplatz 11A Berlin Bundesgeschäftsstelle Marion Gutsell Assistentin marion.gutsell@teletrust.de Marieke Petersohn Projektkoordinatorin marieke.petersohn@teletrust.de Martin Fuhrmann Projektkoordinator martin.fuhrmann@teletrust.de Vi Linh Tran-Graef Projektassistentin vilinh.tran-graef@teletrust.de Kommunikation Pressekontakt Dr. Holger Mühlbauer Chausseestraße Berlin Tel.: holger.muehlbauer@teletrust.de Ida Köhler Projektassistentin ida.koehler@teletrust.de Regionalstellen -Regionalstelle Hamburg c/o WMC GmbH Ellen Wüpper Zimmerstraße Hamburg Tel.: info@wmc-direkt.de Kommunikation it-sa

7 Regionalstellen (Fortsetzung) -Regionalstelle Kiel c/o 8ack GmbH Björn Christiansen Werftbahnstraße Kiel Tel.: office@8ack.de -Regionalstelle Bonn c/o tetraguard systems GmbH Beatrice Lange Roitzheimer Straße Euskirchen Tel.: blange@tetraguard.de it-sa Regionalstelle Bremen c/o OTARIS Interactive Services GmbH Mehmet Kus Fahrenheitstraße Bremen Tel.: teletrust@otaris.de -Regionalstelle Düsseldorf c/o exceet Secure Solutions AG Nadine Martin Rethelstraße Düsseldorf Tel.: nadine.martin@exceet.de -Regionalstelle Leipzig c/o gateprotect GmbH Augustusplatz Leipzig Tel.: info@gateprotect.com -Regionalstelle Dresden c/o T-Systems Multimedia Solutions GmbH Oliver Nyderle Riesaer Straße Dresden Tel.: oliver.nyderle@t-systems.com -Regionalstelle Chemnitz c/o digitronic computersysteme gmbh Matthias Kirchhoff Oberfrohnaer Straße Chemnitz Tel.: mk@digitronic.net -Regionalstelle Köln c/o FSP GmbH Ralf Bräutigam Albin-Köbis-Straße Köln Tel.: info@fsp-gmbh.com -Regionalstelle Frankfurt/Main c/o QGROUP GmbH Dirk Kopp Phoenix Haus Berner Straße Frankfurt/Main Tel.: d.kopp@qgroup.de -Regionalstelle Stuttgart c/o CenterTools Software SE Thomas Geiger Mörikestraße 28/ Ludwigsburg Tel.: thomas.geiger@centertools.de -Regionalstelle München c/o sys4 Patrick Ben Koetter Franziskaner Straße München Tel.: info@sys4.de -Regionalstelle Wien c/o AIT Austrian Institute of Technology GmbH Andrea Nowak Donau-City-Straße Wien Österreich Tel.: andrea.nowak@ait.ac.at Regionalkontakt Silicon Valley c/o Auconet Inc. San Francisco USA info@teletrust.de 32

8 TELETRUST -Gremien -AG Biometrie Prof. Dr. Christoph Busch Fraunhofer IGD -AG Mobile Security Leiterin der Arbeitsgruppe: Swenja Hintzen Secusmart Stellvertretende Alexander Nouak Fraunhofer IGD Georg Hasse secunet -AG Blockchain Dr. André Kudra esatus -AG Cloud Security Oliver Dehning Hornetsecurity -AG Forum elektronische Vertrauensdienste AK A Christian Seegebarth Bundesdruckerei Stellvertretender Clemens Wanko TÜV-IT -AG Gesundheitstelematik Dr. Christoph F. J. Goetz KVB -AG IT Security made in Germany Thorsten Urbanski GData -AG ISM Werner Wüpper WMC Wüpper Management Consulting -AG IT-Sicherheit in der Marktforschung Erich Wiegand ADM Arbeitskreis Deutscher Markt- und Sozialforschungsinstitute e.v. - AG Politik Oliver Dehning Hornetsecurity -AG Recht RA Karsten U. Bartels, LL.M. HK2 Rechtsanwälte Stellvertretender RA Dr. Axel von dem Bussche TaylorWessing Arbeitskreis Stand der Technik Leiter des Arbeitskreises: RA Karsten U. Bartels, LL.M. HK2 Rechtsanwälte Stellvertretender Leiter des Arbeitskreises: Tomasz Lawicki The Auditing Company, Sachverständigen-Sozietät Dr. Schwerhoff -AG Smart Grids/Industrial Security Steffen Heyde secunet -AG SOA Security Dr. Bruno Quint Corisecio -AG SICCT Jürgen Atrott TÜV-IT Arbeitsgruppe Technik der -EBCA Henrik Koy Deutsche Bank it-sa

9 -Projekt European Bridge Certificate Authority (EBCA) Sprecher des Lenkungsgremiums: Markus Wichmann Siemens -Projekt Information Security Professional (T.I.S.P.) Sprecherin des Boards: Birgitte Baardseth isits AG International School of IT Security -Projekt Engineer for System Security (T.E.S.S.) Sprecherin des Boards: Saskia Mendler secorvo security consulting -Projekt Certified Professional for Secure Software Engineering (CPSSE) Sprecherin des Boards: Petra Barzin secorvo security consulting -Projekt Cyber Security Challenge Germany (CSCG) Projektkoordinatoren: Marieke Petersohn Martin Fuhrmann -Initiative IT Security made in Germany (ITSMIG) -Anbieterverzeichnis IT-Sicherheit Mitgliederverzeichnis Eine aktuelle Liste der -Mitglieder finden Sie online auf Bundesamt für Sicherheit in der Informationstechnik (BSI) Halle 12, Stand 736 Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde am 1. Januar 1991 gegründet und gehört zum Geschäftsbereich des Bundesministeriums des Innern. Das BSI ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Als Behörde ist sie damit im Vergleich zu sonstigen europäischen Einrichtungen einzigartig. Derzeit sind ca. 600 Mitarbeiter mit dem Schwerpunkt Informatik, Physik und Mathematik beschäftigt. Seinen Hauptsitz hat das BSI in Bonn. Mit der rasanten Fortentwicklung der Informationstechnik entstehen in fast allen Bereichen des Alltags neue IT- Anwendungen und damit auch immer neue Sicherheitslücken. Je abhängiger der Mensch von der Informationstechnik wird, desto mehr stellt sich die Frage nach deren Sicherheit. Unsere Gesellschaft ist stärker als zuvor durch Computerversagen, -missbrauch oder -sabotage bedroht. Bisher kann nicht ausreichend sichergestellt werden, dass die Informationstechnik das tut, was sie soll, und nichts tut, was sie nicht soll. Weil die Probleme in der Informationstechnik so vielschichtig sind, ist auch das Aufgabenspektrum des BSI sehr komplex: Das BSI untersucht Sicherheitsrisiken bei der Anwendung der Informationstechnik und entwickelt Sicherheitsvorkehrungen. Es informiert über Risiken und Gefahren beim Einsatz der Informationstechnik und versucht Lösungen dafür zu finden. Dies beinhaltet die Prüfung und Bewertung der IT-Sicherheit von IT-Systemen, einschließlich deren Entwicklung in Kooperation mit der Industrie. Auch bei technisch sicheren Infor- mations- und Telekommunikationssystemen können Risiken und Schäden durch unzureichende Administration und Anwendung entstehen. Um diese Risiken zu minimieren beziehungsweise zu vermeiden, wendet sich das BSI an eine Vielzahl von Zielgruppen: Es berät Hersteller, Vertreiber und Anwender von Informationstechnik. Darüber hinaus analysiert es Entwicklungen und Trends in der Informationstechnik. Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Telefon: Telefax: Homepage: