Das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Kontext von e-Signaturen

Unser tägliches Geschäfts- und Privatleben findet heutzutage immer mehr online statt: Das Bügeleisen kann mit der Smart Home App auch vom Restaurant aus abgeschaltet werden, das Taxi zum Geschäftstermin ruft man über sein Handy und der nächste Urlaub wird auch digital geplant. Die Nutzung solcher digitaler Tools wirft allerdings auch rechtliche Fragen auf: Wer ist zum Beispiel schuld, wenn ein autonom fahrendes Auto einen Unfall baut? Das Auto? Der Beifahrer? Die Autofirma? 

Aus diesem Grund ist es wichtig, dass entsprechende Gesetze für den Umgang mit digitalen Produkten entworfen werden und Institutionen die Einhaltung dieser Vorschriften kontrollieren. Anbieter digitaler Tools und Softwares, wie z.B. Vertrauensdiensteanbieter wie Yousign, müssen in Europa beispielsweise strengen rechtlichen Anforderungen für Datenschutz und -sicherheit folgen. 

Zertifizierungen für Ihre Produkte erhalten diese Anbieter in Deutschland von dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Worum es sich bei dem BSI handelt, welche Aufgaben es als Behörde hat und welche Rolle es im Kontext von digitalen Signaturen spielt, finden Sie in diesem Artikel heraus.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine deutsche Bundesoberbehörde, die dem Bundesministerium des Innern, für Bau und Heimat unterstellt ist und ihren Sitz in der Stadt Bonn hat.

Hauptaufgabe des BSI ist es, die Informationssicherheit des Bundes zu gewährleisten und zu verbessern. Hierfür legt das BSI Standards und Vorschriften fest, berät die Bundesregierung, Firmen und Bürger:innen und betreibt eigene Forschung. Außerdem kümmert sich das BSI um die Zertifizierung von IT-Produkten und -Dienstleistungen und prüft, ob diese den jeweiligen Sicherheitsanforderungen entsprechen.

Der Leitsatz des BSI lautet: „Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.”

Möchte man definieren, was unter dem Begriff “Sicherheit in der Informationstechnik” verstanden wird, sollte man diesen zunächst von dem Wort “Informationssicherheit”, mit dem es fälschlicherweise häufig verwechselt wird, abgrenzen. Informationssicherheit ist ein deutlich breiter gefasster Themenbereich, da es auch die Sicherung von Vertraulichkeit, Verfügbarkeit und Integrität von Daten auf analogen Medien umfasst. 

IT-Sicherheit beschäftigt sich hingegen nur mit Informationen, die in elektronischer Form vorliegen. Es geht also darum, Risiken, die durch die Nutzung von Informationstechnik aufgrund äußerer Einflüsse oder Fehlerquellen entstehen, durch gezielte Maßnahmen auf ein striktes Minimum zu reduzieren.

Die Verantwortungsbereiche des BSI werden in dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) geregelt. Primäres Ziel des BSI besteht darin, den Umgang mit Informations- und Kommunikationstechnologie in Staat, Wirtschaft und Gesellschaft so sicher wie möglich zu gestalten, diesen weiter auszubauen und zu fördern. Daraus ergeben sich verschiedene Kompetenzbereiche, die wir im Folgenden näher erläutern werden.

Eine sehr wichtige Verantwortung des Bundesamts für Sicherheit in der Informationstechnik liegt darin, die IT-Infrastruktur der Bundesregierung zu schützen. Dabei geht es vor allem darum, sensible Daten zu sichern, damit sie nicht in falsche Hände geraten. So ist es von essenzieller Bedeutung, dass kritische, vertrauliche Informationen, beispielsweise über Militäreinsätze oder Ähnliches, zu schützen, da deren Veröffentlichung einen großen, gesamtgesellschaftlichen Schaden anrichten könnte.

Beim Nationalen Cyber-Abwehrzentrum (Cyber-AZ) handelt es sich um eine kooperative, behördenübergreifende Einrichtung, die sich die Verbesserung der Koordination von Schutz- und Abwehrmechanismen gegen elektronische Angriffe auf IT-Infrastrukturen des Bundes zur Aufgabe gemacht hat. Das Cyber-AZ ist im Zuge der Cyber-Sicherheitsstrategie entstanden, die 2011 von der Bundesregierung ins Leben gerufen wurde. Ziel ist es, Cyber-Spionage, -Ausspähung, -Terrorismus und -Kriminalität zu verringern. Das Cyber-AZ soll dafür sorgen, dass Informationen schneller ausgetauscht und Angriffe schneller identifiziert, bewertet sowie richtig eingeschätzt werden. Auf diese Weise soll schneller auf Bedrohungen reagiert werden können. 

Die Allianz für Cyber-Sicherheit (ACS) ist eine 2012 gestartete Initiative zwischen dem BSI und dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom). Bei der ACS handelt es sich um einen Zusammenschluss aller bedeutenden Akteure der Cyber-Sicherheit in Deutschland. Dazu gehören Unternehmen, Behörden, Partner und Multiplikatoren. Diese Expert:innen tauschen sich im Rahmen des Netzwerks auf Veranstaltungen zu aktuellen Frage- und Problemstellungen im Bereich IT-Sicherheit aus und teilen ihr Know-how. Besonders kleine und mittelständische Unternehmen (KMU) sind hier gefragt, da sie verstärkt über wertvolles, fachspezifisches Wissen verfügen. Grundsätzlich kann aber jede Institution kostenlos Teil der ACS werden. 

Ein weiterer Aufgabenbereich des BSI ist der Umsetzungsplan Kritischer Infrastrukturen (UP KRITIS). Dies ist eine öffentlich-private Kooperation zwischen Betreibern kritischer Infrastrukturen, ihren Verbänden und zuständigen staatlichen Stellen, wie dem Bundesamt für Sicherheit in der Informationstechnik. 

Doch was genau versteht man eigentlich unter “Kritischen Infrastrukturen”? 

Das BSI definiert KRITIS als “Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden”. Darunter zählt das BSI folgende Sektoren: Staat und Verwaltung, Energie, IT und TK, Transport und Verkehr, Gesundheit, Medien und Kultur, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung.

Im Fokus des UP KRITIS steht es, den Bund mit allen nötigen Dienstleistungen kritischer Infrastrukturen zu versorgen und diese so robust wie möglich zu gestalten. Um dieses Ziel umzusetzen, gibt es innerhalb des UP KRITIS verschiedenen Gremien, Abteilungen und Arbeitsgruppen, die sich mit individuellen Unterthemen der Cyber-Sicherheit beschäftigen. Alle wichtigen Lageinformationen und Warnmeldungen erhalten die Mitglieder des UP KRITIS vom BSI.

Mit der Plattform “BSI für Bürger” sorgt das Bundesamt für Sicherheit in der Informationstechnik dafür, dass auch Privatverbraucher:innen einen sicheren Umgang mit digitalen Tools und dem Internet erlernen. Dafür informiert das BSI via verschiedener Kommunikationskanäle (Webseite, Telefon- und E-Mail-Service, etc.), über die informative Ratgeber und konkrete Handlungsempfehlungen bereitgestellt werden. Beispielsweise klärt das BSI über Warnmeldungen zu kritischen Sicherheitslücken in Betriebssystemen und Programmen auf Computern oder mobilen Endgeräten auf. Auch zu den Themen E-Mail-Verschlüsselung, Smartphone-Sicherheit, Online-Banking, Cloud-Computing oder Soziale Medien stellt das BSI hilfreiche Informationen zur Verfügung.

Das BSI hat sich außerdem zu einer Organisation mit Beraterfunktion für Bund, Länder und verschiedene Verwaltungsstrukturen entwickelt. Nicht nur die öffentliche Hand, sondern auch private Firmen nutzen diesen Service und profitieren dabei von nützlichen Tipps zum Betrieb und Schutz der eigenen Cyber-Infrastruktur. Das BSI arbeitet Standards sowie verbindlich geltende Richtlinien aus, teilt Best-Practices und begleitet so größen- und branchenunabhängig Institutionen in ihrem Prozess zur Entwicklung einer gelungen und sicheren Digitalisierungsstrategie.

Ein weiterer großer Aufgabenbereich des Bundesamts für Sicherheit in der Informationstechnik ist zudem die Durchführung von Zulassungen sowie Zertifizierungen von Vertrauensdiensteanbietern, die in Europa elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel oder andere digitale Dienstleistungen vertreiben möchten. 

Behörden wie das BSI gibt es in jedem Land in Europa. Alle Länder zertifizieren nach einem gemeinsamen rechtlichen Referenzrahmen, damit EU-weit einheitliche Standards herrschen und die angebotenen Vertrauensdienste in technischer und rechtlicher Hinsicht vergleichbar sind. Wurde man als Vertrauensdiensteanbieter also von der zuständigen Behörde eines EU-Landes zertifiziert, gilt diese Zertifizierung für die gesamte EU. Es ist also nicht nötig, noch in allen weiteren Mitgliedsstaaten zugelassen zu werden. Das Stichwort ist hier EU-Binnenmarkt, der einen freien Personen-, Waren-, Dienstleistungs- und Kapitalverkehr in Europa ermöglicht. Ähnlich wie Vertrauensdiensteanbieter müssen auch Banken zum Beispiel nur in einem der EU-Mitgliedsländer eine Banklizenz erwerben, um ihren finanziellen Aktivitäten nachgehen zu können.

Yousign erhält seine Zertifizierungen als Vertrauensdiensteanbieter mit französischem Ursprung von der Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Hierbei handelt es sich um das französische Äquivalent zum deutschen BSI. Alle Softwarelösungen und Produkte, die Yousign anbietet, werden also regelmäßig von der ANSSI geprüft und neu zertifiziert. Diese Zertifikate sind dann, wie oben bereits erklärt, nicht nur in Frankreich, sondern auch in Deutschland und allen anderen EU-Ländern gültig. Ein Hoch auf den EU-Binnenmarkt! Auf der European Trusted List können Sie alle EU-zertifizierten Vertrauensdiensteanbieter finden.

In der Welt der IT, des Internets und moderner Technologien ist das Thema Sicherheit von essenzieller Bedeutung. Es bedarf verbindlicher und länderübergreifender Standards und Richtlinien, die in der EU den sicheren Umgang mit digitalen Tools regeln. Behörden wie das BSI oder die ANSSI sorgen dafür, dass Sicherheit in der Informationstechnik EU-weit gewährleistet wird und entsprechende Regularien eingehalten werden.

Bei Yousign steht Sicherheit an erster Stelle. Deshalb sind alle Produkte von Yousign eIDAS-zertifiziert sowie DSGVO-konform und entsprechen den erforderlichen rechtlichen EU-Anforderungen. Machen Sie IT-Sicherheit mit Yousign zu Ihrer Priorität und testen Sie unsere Lösung 14 Tage lang kostenlos. 👇🏼

_

Dieses Dokument wird nur zu Informationszwecken zur Verfügung gestellt. Wir übernehmen weder eine Garantie für deren Vollständigkeit noch für deren Aktualität im Hinblick auf die geltenden Vorschriften. Schließlich ist dieses kein Ersatz für eine Rechtsberatung.