„Wie können wir Technologien nutzen, um das Land sicherer zu machen, wie Technologien so sicher gestalten, dass diese nicht neue Risken heraufbeschwören?“ Das sind die Fragen, die den IT-Direktor im Bundesministerium des Innern Martin Schallbruch beschäftigen. Für beide Themen braucht man innovative Sicherheitstechniken.
Ein gutes Beispiel für die Arbeit der IT-Politik des Bundes ist die Einführung des neuen biometrischen Reisepasses zum 1.November 2005, der das bisherige Papierdokument auf ein elektronisch abgesichertes Niveau der Fälschungssicherheit hebt. „Wir haben bestimmte Sicherheitsziele“, erläutert Schallbruch, „dazu gehört es etwa, den Reiseverkehr sicherer zu machen und zu verhindern, dass Menschen ins Land kommen, die wir nicht haben wollen oder nach denen wir suchen.“
Die neuen deutschen Pässe sind mit einem Chip ausgestattet, auf dem die bislang nur eingedruckten Daten sowie als biometrisches Merkmal das Passfoto des Inhabers gespeichert sind. „Moderne Chiptechnologie und innovative biometrische Verfahren werden erstmals bei staatlichen Hochsicherheitsdokumenten verwendet“, sagt der Berliner IT-Manager Schallbruch, „der elektronische Pass ist die erste Massenanwendung der Biometrie im Sicherheitsbereich.“
E-Pass ist politischer Wille
Deutschland ist in dieser Hinsicht verglichen mit anderen Staaten Vorreiter und gehört zusammen mit Norwegen und Schweden zu den ersten EU-Ländern, die mit der Ausgabe der neuen Pässe begonnen haben. Österreich wird im Sommer 2006 folgen. Sicherheitsforschung und Sicherheitsprodukte „Made in Germany” sollen international konkurrenzfähig sein. „Das ist der politische Wille der Bundesregierung“, bemerkt Schallbruch. Dazu gehört es auch, innovative Anwendungen im eigenen Land zu forcieren.
Was Innovationen angeht, soll Deutschland durch enge Kooperationen zwischen Staat, Forschungseinrichtungen und Technologiefirmen weltweit vorne mitspielen. „Im Bereich Biometrie ist das sicherlich schon so. Wir haben hier sehr gute Forschungsinstitute wie etwa Fraunhofer, die an dem Thema arbeiten, und Unternehmen, die in der Entwicklung weit fortgeschritten sind“, sagt Schallbruch. Ein erfolgreiches Ergebnis dieser Zusammenarbeit ist das Produkt SINA (Sichere Inter-Netzwerk- Architektur), das gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Firma Secunet entwickelt wurde (siehe Grafik, Seite 39).
Es gilt auch die Vorgabe, eine europäische Innovationspolitik zu gestalten. „Die Amerikaner haben beim E-Pass zwar sehr stark aufs Tempo gedrückt, die Sicherheitsstandards für die Biometrie im Reisepass wurden aber in Europa entwickelt“, bemerkt Schallbruch. Diese Standards legen etwa fest, wie Daten gespeichert und verschlüsselt werden, dass die Kommunikation zwischen Lesegerät und dem Chip im Pass verschlüsselt wird und der Pass nur ausgelesen werden kann, wenn er vom Menschen an den Grenzbeamten ausgehändigt worden ist. Ein unbefugtes und unbemerktes Auslesen aus der Tasche heraus wird so verhindert.
Knackpunkt Sicherheit
Der Datenschutz sei dabei ein besonders wichtiges Kriterium für die Gestaltung der Systeme. „Die Menschen brauchen Vertrauen“, sagt Schallbruch, „wer mit seinem biometrischen Pass verreist, will diesem vertrauen können. Und wer über das Internet aus dem Ausland mit deutschen Behörden kommuniziert, der möchte sichergestellt wissen, das dabei niemand mitliest.“ Der IT-Direktor schaut in die Zukunft: Bald könnte es auch einen biometrischen Personalausweis geben, der zusätzlich Daten zur elektronischen Authentisierung und (optional) eine qualifizierte Signatur enthält. „In den Vereinigten Arabischen Emiraten, Estland und Belgien dient der Personalausweis bereits für alle möglichen Anwendungen als eine Plattform zur elektronischen Identifizierung“, sagt Schallbruch. „Je mehr Behördengänge, Einkäufe und geschäftliche Vorgänge im Internet erledigt werden, desto wichtiger wird eine sichere Identifizierung.“ Derzeit finden auf EU-Ebene Gespräche zur Standardisierung europäischer ID-Karten statt, an denen sich auch die Bundesregierung beteiligt.
Für das Biometrie-Modul böte sich ein kontaktloses Interface an, um die Kompatibilität zum elektronischen Reisepass zu gewährleisten. Die bei der E-Pass-Einführung auf EU-Ebene beschlossenen Konzepte zu Datenschutz und -sicherheit bildeten ebenfalls die Grundlage für die neuen Ausweise. Der neue, digitale Personalausweis soll aber nicht gleichzeitig neue Sicherheitsprobleme aufwerfen. „Die Sicherheit der im Chip gespeicherten Daten, eine vertrauenswürdige kryptografische Authentisierungsfunktion und die für die elektronische Signatur nötigen organisatorischen und technischen Vorkehrungen müssen gewährleistet sein“, sagt der IT-Direktor.
Wege gegen Verwundbarkeit im Netz
Auch im Bereich Kryptografie, der Nutzung von Verschlüsselungstechniken zur Absicherung von Kommunikation, sieht Schallbruch Deutschland in der ersten Liga. Als zweites großes Beispiel, bei dem das Ministerium gezielt Innovationen ermöglicht, nennt Schallbruch die weltweiten Telekommunikations- und Datennetze, bei denen es um vertrauenswürdige und verlässliche Kommunikation geht.
Die Vernetzung von Informations-, Kommunikations-, Finanz- und Logistiksystemen über alle Grenzen hinweg habe neue Möglichkeiten geschaffen. Viele Verwaltungs- und Geschäftsabläufe finden heute im Internet oder in anderen digitalen Netzen statt. „Dadurch gibt es aber auch eine nie da gewesene Form der Verwundbarkeit“, ergänzt Schallbruch. Der CIO und seine Mitarbeiter sichern deswegen die Plattformen, mit denen die Behörden in Deutschland und weltweit miteinander kommunizieren, durch die Nutzung von Virtual Private Networks (VPNs) ab.
Austausch über Virtuelle Poststelle
Im Rahmen der Bund-Online-2005-Initiative haben die IT-Experten nach einer Lösung gesucht, um allen Partnern der Bundesbehörden eine Kommunikation mittels elektronischer Signatur und Verschlüsselung zu ermöglichen. Herausgekommen ist die „Virtuelle Poststelle“ (VPS) als „E-Government-Basiskomponente Datensicherheit“, die die IT-Mitarbeiter des Bundes zusammen mit der Privatwirtschaft entwickelt haben.
Ergänzend zur Ende-zu-Ende-Sicherheit stehen hier kryptografische Funktionen Server-basiert und einheitlich für alle Kommunikationskanäle und Backend- Anwendungen innerhalb der Behörde zur Verfügung. „Die VPS ist eine Sicherheitskomponente, die die Mitarbeiter von komplexen kryptografischen Abläufen entlastet und die einheitliche Nutzung kryptografischer Mechanismen in unterschiedlichen Systemen ermöglicht“, erläutert der IT-Verantwortliche Schallbruch.
Derzeit nutzen bereits sieben Bundesbehörden die VPS. Mit ihrer Hilfe wird beispielsweise das elektronische Gerichtspostfach beim Bundesgerichtshof organisiert, ebenso der Handel mit Emissionsrechten beim Umweltbundesamt; eine weitere Anwendung ist die Online-Beantragung der Altersrente bei der Deutschen Rentenversicherung. 15 weitere Bundesbehörden wollen das System demnächst einführen.
Tunneltechnik für den Datentransfer
Wie bei der Entwicklung der VPS arbeitet das Bundesinnenministerium auch bei anderen sicherheitsrelevanten IT-Projekten für E-Government und E-Business eng mit deutschen IT-Sicherheitsunternehmen zusammen. „Ein weiteres erfolgreiches Ergebnis dieser Partnerschaft ist das Produkt Sina – Sichere Inter-Netzwerk-Architektur“, ergänzt Schallbruch.
Zentraler Bestandteil der Lösung ist die „Sina-Box“. Sie erzeugt einen Datentunnel, durch den die Informationen verschlüsselt übertragen werden. Spezielle Technik wird dafür nicht benötigt, da ausschließlich Standardhardware eingesetzt wird. „Weil wir hierfür das Internet nutzen, ist die Lösung zudem sehr kostengünstig“, erläutert Schallbruch.
Neben Sina-Box und Sina-Thin-Client gibt es für den mobilen Bereich eine entsprechende Virtuelle Workstation (VW).Als Komponente der Gesamtarchitektur lässt sie eine lokale Verarbeitung und Speicherung von Verschlusssachen zu. Zusätzlich ist eine über „IP Security” verschlüsselte Datenkommunikation über beliebige Netze von GPRS und UMTS über WLAN bis zu DSL möglich. IP Security stellt eine Sicherheitsarchitektur für die Kommunikation über sämtliche Netzwerke zur Verfügung, die auf dem Internet Protokoll (IP) basieren. Das Telefonieren in Sina-Netzen über das Internet soll in Zukunft ebenfalls angeboten werden.
Sina: Einsatz im In- und Ausland
In Ergänzung dazu gibt es die neue Variante Sina Virtual Desktop für nicht so schützenswerte Bereiche. Im Gegensatz zur Virtuellen Workstation nutzt dieser ein kommerzielles Betriebssystem als Host-System für virtuelle Maschinen. Eine virtuelle Maschine wird hierbei als vertrauenswürdige Umgebung zur Verarbeitung vertraulicher Daten genutzt, eine weitere stellt eine Sinakompatible IPsec-Komponente und ein kryptografisches File-System zur verschlüsselten Datenspeicherung zur Verfügung. „Das BSI bietet diese und andere Sicherheitslösungen in unserem Auftrag für die gesamte Bundesregierung an“, sagt Schallbruch. „Sie werden bei vielen Regierungsstellen im In- und Ausland eingesetzt.“
Durch den Regierungswechsel in Berlin habe sich an den bisherigen Vorgaben nichts geändert. Die biometrischen Vorhaben hat der Bundestag 2002 beschlossen. „Die Koalitionsvereinbarung zwischen CDU/CSU und SPD hat das noch einmal bekräftigt“, sagt Schallbruch.
Einen großen Wunsch trägt der IT-Direktor jedoch mit sich herum: „Dass wir alle mehr Mut haben, Innovationen auch tatsächlich in Projekten auf die Straße zu bringen. Da sind wir Deutschen verglichen mit anderen Nationen bislang einfach noch zu risikoscheu.“
Johannes Klostermeier