5 min

Veröffentlicht am 13 Apr, 2023

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Kontext von e-Signaturen

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Mona Gottlob

Mona Gottlob

Content Manager DACH@Yousign

Illustration: Romain Grandmougin

Übersicht

Unser tägliches Geschäfts- und Privatleben findet heutzutage immer mehr online statt: Das Bügeleisen kann mit der Smart Home App auch vom Restaurant aus abgeschaltet werden, das Taxi zum Geschäftstermin ruft man über sein Handy und der nächste Urlaub wird auch digital geplant. Die Nutzung solcher digitaler Tools wirft allerdings auch rechtliche Fragen auf: Wer ist zum Beispiel schuld, wenn ein autonom fahrendes Auto einen Unfall baut? Das Auto? Der Beifahrer? Die Autofirma? 

Aus diesem Grund ist es wichtig, dass entsprechende Gesetze für den Umgang mit digitalen Produkten entworfen werden und Institutionen die Einhaltung dieser Vorschriften kontrollieren. Anbieter digitaler Tools und Softwares, wie z.B. Vertrauensdiensteanbieter wie Yousign, müssen in Europa beispielsweise strengen rechtlichen Anforderungen für Datenschutz und -sicherheit folgen. 

Zertifizierungen für Ihre Produkte erhalten diese Anbieter in Deutschland von dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Worum es sich bei dem BSI handelt, welche Aufgaben es als Behörde hat und welche Rolle es im Kontext von digitalen Signaturen spielt, finden Sie in diesem Artikel heraus.

Was ist das BSI?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine deutsche Bundesoberbehörde, die dem Bundesministerium des Innern, für Bau und Heimat unterstellt ist und ihren Sitz in der Stadt Bonn hat.

Hauptaufgabe des BSI ist es, die Informationssicherheit des Bundes zu gewährleisten und zu verbessern. Hierfür legt das BSI Standards und Vorschriften fest, berät die Bundesregierung, Firmen und Bürger:innen und betreibt eigene Forschung. Außerdem kümmert sich das BSI um die Zertifizierung von IT-Produkten und -Dienstleistungen und prüft, ob diese den jeweiligen Sicherheitsanforderungen entsprechen.

Der Leitsatz des BSI lautet: „Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.”

Das versteht man unter Sicherheit in der Informationstechnik

Möchte man definieren, was unter dem Begriff “Sicherheit in der Informationstechnik” verstanden wird, sollte man diesen zunächst von dem Wort “Informationssicherheit”, mit dem es fälschlicherweise häufig verwechselt wird, abgrenzen. Informationssicherheit ist ein deutlich breiter gefasster Themenbereich, da es auch die Sicherung von Vertraulichkeit, Verfügbarkeit und Integrität von Daten auf analogen Medien umfasst. 

IT-Sicherheit beschäftigt sich hingegen nur mit Informationen, die in elektronischer Form vorliegen. Es geht also darum, Risiken, die durch die Nutzung von Informationstechnik aufgrund äußerer Einflüsse oder Fehlerquellen entstehen, durch gezielte Maßnahmen auf ein striktes Minimum zu reduzieren.

Was macht das Bundesamt für Sicherheit in der Informationstechnik?

Die Verantwortungsbereiche des BSI werden in dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) geregelt. Primäres Ziel des BSI besteht darin, den Umgang mit Informations- und Kommunikationstechnologie in Staat, Wirtschaft und Gesellschaft so sicher wie möglich zu gestalten, diesen weiter auszubauen und zu fördern. Daraus ergeben sich verschiedene Kompetenzbereiche, die wir im Folgenden näher erläutern werden.

Schutz der IT-Infrastruktur der Bundesregierung

Eine sehr wichtige Verantwortung des Bundesamts für Sicherheit in der Informationstechnik liegt darin, die IT-Infrastruktur der Bundesregierung zu schützen. Dabei geht es vor allem darum, sensible Daten zu sichern, damit sie nicht in falsche Hände geraten. So ist es von essenzieller Bedeutung, dass kritische, vertrauliche Informationen, beispielsweise über Militäreinsätze oder Ähnliches, zu schützen, da deren Veröffentlichung einen großen, gesamtgesellschaftlichen Schaden anrichten könnte.

Nationales Cyber-Abwehrzentrum

Beim Nationalen Cyber-Abwehrzentrum (Cyber-AZ) handelt es sich um eine kooperative, behördenübergreifende Einrichtung, die sich die Verbesserung der Koordination von Schutz- und Abwehrmechanismen gegen elektronische Angriffe auf IT-Infrastrukturen des Bundes zur Aufgabe gemacht hat. Das Cyber-AZ ist im Zuge der Cyber-Sicherheitsstrategie entstanden, die 2011 von der Bundesregierung ins Leben gerufen wurde. Ziel ist es, Cyber-Spionage, -Ausspähung, -Terrorismus und -Kriminalität zu verringern. Das Cyber-AZ soll dafür sorgen, dass Informationen schneller ausgetauscht und Angriffe schneller identifiziert, bewertet sowie richtig eingeschätzt werden. Auf diese Weise soll schneller auf Bedrohungen reagiert werden können. 

Allianz für Cyber-Sicherheit

Die Allianz für Cyber-Sicherheit (ACS) ist eine 2012 gestartete Initiative zwischen dem BSI und dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom). Bei der ACS handelt es sich um einen Zusammenschluss aller bedeutenden Akteure der Cyber-Sicherheit in Deutschland. Dazu gehören Unternehmen, Behörden, Partner und Multiplikatoren. Diese Expert:innen tauschen sich im Rahmen des Netzwerks auf Veranstaltungen zu aktuellen Frage- und Problemstellungen im Bereich IT-Sicherheit aus und teilen ihr Know-how. Besonders kleine und mittelständische Unternehmen (KMU) sind hier gefragt, da sie verstärkt über wertvolles, fachspezifisches Wissen verfügen. Grundsätzlich kann aber jede Institution kostenlos Teil der ACS werden. 

UP KRITIS

Ein weiterer Aufgabenbereich des BSI ist der Umsetzungsplan Kritischer Infrastrukturen (UP KRITIS). Dies ist eine öffentlich-private Kooperation zwischen Betreibern kritischer Infrastrukturen, ihren Verbänden und zuständigen staatlichen Stellen, wie dem Bundesamt für Sicherheit in der Informationstechnik. 

Doch was genau versteht man eigentlich unter “Kritischen Infrastrukturen”? 

Das BSI definiert KRITIS als “Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden”. Darunter zählt das BSI folgende Sektoren: Staat und Verwaltung, Energie, IT und TK, Transport und Verkehr, Gesundheit, Medien und Kultur, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung.

Im Fokus des UP KRITIS steht es, den Bund mit allen nötigen Dienstleistungen kritischer Infrastrukturen zu versorgen und diese so robust wie möglich zu gestalten. Um dieses Ziel umzusetzen, gibt es innerhalb des UP KRITIS verschiedenen Gremien, Abteilungen und Arbeitsgruppen, die sich mit individuellen Unterthemen der Cyber-Sicherheit beschäftigen. Alle wichtigen Lageinformationen und Warnmeldungen erhalten die Mitglieder des UP KRITIS vom BSI.

BSI für Bürger

Mit der Plattform “BSI für Bürger” sorgt das Bundesamt für Sicherheit in der Informationstechnik dafür, dass auch Privatverbraucher:innen einen sicheren Umgang mit digitalen Tools und dem Internet erlernen. Dafür informiert das BSI via verschiedener Kommunikationskanäle (Webseite, Telefon- und E-Mail-Service, etc.), über die informative Ratgeber und konkrete Handlungsempfehlungen bereitgestellt werden. Beispielsweise klärt das BSI über Warnmeldungen zu kritischen Sicherheitslücken in Betriebssystemen und Programmen auf Computern oder mobilen Endgeräten auf. Auch zu den Themen E-Mail-Verschlüsselung, Smartphone-Sicherheit, Online-Banking, Cloud-Computing oder Soziale Medien stellt das BSI hilfreiche Informationen zur Verfügung.

BSI als IT-Kompetenzzentrum

Das BSI hat sich außerdem zu einer Organisation mit Beraterfunktion für Bund, Länder und verschiedene Verwaltungsstrukturen entwickelt. Nicht nur die öffentliche Hand, sondern auch private Firmen nutzen diesen Service und profitieren dabei von nützlichen Tipps zum Betrieb und Schutz der eigenen Cyber-Infrastruktur. Das BSI arbeitet Standards sowie verbindlich geltende Richtlinien aus, teilt Best-Practices und begleitet so größen- und branchenunabhängig Institutionen in ihrem Prozess zur Entwicklung einer gelungen und sicheren Digitalisierungsstrategie.

Aufgabenbereiche des Bundesamts für Sicherheit in der Informationstechnik (BSI)
Aufgabenbereiche des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Das BSI im Kontext von digitalen Signaturen

Ein weiterer großer Aufgabenbereich des Bundesamts für Sicherheit in der Informationstechnik ist zudem die Durchführung von Zulassungen sowie Zertifizierungen von Vertrauensdiensteanbietern, die in Europa elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel oder andere digitale Dienstleistungen vertreiben möchten. 

Behörden wie das BSI gibt es in jedem Land in Europa. Alle Länder zertifizieren nach einem gemeinsamen rechtlichen Referenzrahmen, damit EU-weit einheitliche Standards herrschen und die angebotenen Vertrauensdienste in technischer und rechtlicher Hinsicht vergleichbar sind. Wurde man als Vertrauensdiensteanbieter also von der zuständigen Behörde eines EU-Landes zertifiziert, gilt diese Zertifizierung für die gesamte EU. Es ist also nicht nötig, noch in allen weiteren Mitgliedsstaaten zugelassen zu werden. Das Stichwort ist hier EU-Binnenmarkt, der einen freien Personen-, Waren-, Dienstleistungs- und Kapitalverkehr in Europa ermöglicht. Ähnlich wie Vertrauensdiensteanbieter müssen auch Banken zum Beispiel nur in einem der EU-Mitgliedsländer eine Banklizenz erwerben, um ihren finanziellen Aktivitäten nachgehen zu können.

Yousign erhält seine Zertifizierungen als Vertrauensdiensteanbieter mit französischem Ursprung von der Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Hierbei handelt es sich um das französische Äquivalent zum deutschen BSI. Alle Softwarelösungen und Produkte, die Yousign anbietet, werden also regelmäßig von der ANSSI geprüft und neu zertifiziert. Diese Zertifikate sind dann, wie oben bereits erklärt, nicht nur in Frankreich, sondern auch in Deutschland und allen anderen EU-Ländern gültig. Ein Hoch auf den EU-Binnenmarkt! Auf der European Trusted List können Sie alle EU-zertifizierten Vertrauensdiensteanbieter finden.

Beim Thema IT-Sicherheit rechtlich auf der sicheren Seite sein

In der Welt der IT, des Internets und moderner Technologien ist das Thema Sicherheit von essenzieller Bedeutung. Es bedarf verbindlicher und länderübergreifender Standards und Richtlinien, die in der EU den sicheren Umgang mit digitalen Tools regeln. Behörden wie das BSI oder die ANSSI sorgen dafür, dass Sicherheit in der Informationstechnik EU-weit gewährleistet wird und entsprechende Regularien eingehalten werden.

Bei Yousign steht Sicherheit an erster Stelle. Deshalb sind alle Produkte von Yousign eIDAS-zertifiziert sowie DSGVO-konform und entsprechen den erforderlichen rechtlichen EU-Anforderungen. Machen Sie IT-Sicherheit mit Yousign zu Ihrer Priorität und testen Sie unsere Lösung 14 Tage lang kostenlos. 👇🏼

FAQ zum Thema “Bundesamt für Sicherheit in der Informationstechnik (BSI)"

  • Ist das BSI eine Behörde?

    Ja, bei dem Bundesamt für Sicherheit in der Informationstechnik (BSI) handelt es sich um eine deutsche Bundesoberbehörde mit Sitz in Bonn, die dem Bundesministerium des Innern, für Bau und Heimat untersteht. Die Hauptaufgabe des BSI besteht darin, den sicheren Umgang mit Informations- und Kommunikationstechnologie in Staat, Wirtschaft und Gesellschaft zu fördern.

  • Was ist BSI für Bürger?

    “BSI für Bürger” ist eine Initiative des BSI, die zum Ziel hat, Endverbraucher:innen in ihrem privaten Umfeld für eine sichere Nutzung von Internet und Informationstechnik zu sensibilisieren. Auf einer Webseite, per E-Mail sowie via Telefon stellen Expertenteams des BSI Bürger:innen nützliche Informationen, Empfehlungen und Leitfäden zum Thema Sicherheit in der Informationstechnik zur Verfügung. 

  • Ist BSI Grundschutz verpflichtend?

    Nein, die Verwendung vom BSI-Grundschutz ist in Deutschland keine Pflicht, aber dessen Nutzung wird empfohlen. Beim BSI-Grundschutz handelt es sich um eine praxisbezogene Anleitung für Organisationen aus dem privaten und öffentlichen Sektor zur Umsetzung von IT-Sicherheitsmaßnahmen. Der Einsatz des BSI-Grundschutzes ist nützlich, um ein gewisses Sicherheitsniveau zu erreichen und einen Schutz gegen Cyberangriffe aufzubauen.

  • Was bedeutet BSI Zertifizierung?

    Unter einer Zertifizierung, die von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgestellt wurde, versteht man die offizielle Bestätigung, dass ein Produkt, eine Softwarelösung oder ein IT-System den jeweils erforderlichen Sicherheitsansprüchen entspricht und einen entsprechenden Schutz gegen Angriffe und Bedrohungen bietet.

_

Dieses Dokument wird nur zu Informationszwecken zur Verfügung gestellt. Wir übernehmen weder eine Garantie für deren Vollständigkeit noch für deren Aktualität im Hinblick auf die geltenden Vorschriften. Schließlich ist dieses kein Ersatz für eine Rechtsberatung.

Testen Sie Yousign
14 Tage lang kostenlos

Wie mehr als 15.000 kleine und mittelständische Unternehmen können auch Sie sofort die Unterzeichnung aller Ihrer Dokumente vereinfachen

green arrow
cta illustration

Testen Sie Yousign kostenlos für 14 Tage