Das Bundesamt für Sicherheit in der Informationstechnik (BSI) befasst sich mit allen Fragen rund um die IT-Sicherheit in der Informationsgesellschaft. Ziel des BSI ist es, den sicheren Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft zu ermöglichen und voranzutreiben. Das BSI wurde am 1. Januar 1991 gegründet und gehört zum Geschäftsbereich des Bundesministeriums des Innern.

Der Aufgabenbereich des BSI wird durch das "Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes" (BSI-Gesetz) festgelegt. Ziel des BSI ist die präventive Förderung der Informations- und Cyber-Sicherheit, um den sicheren Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft zu ermöglichen und voranzutreiben. Mit Unterstützung des BSI soll IT-Sicherheit in Verwaltung, Wirtschaft und Gesellschaft als wichtiges Thema wahrgenommen und eigenverantwortlich umgesetzt werden.

So erarbeitet das BSI beispielsweise praxisorientierte Mindeststandards und zielgruppengerechte Handlungsempfehlungen zur IT- und Internet-Sicherheit, um Anwender bei der Vermeidung von Risiken zu unterstützen.

Das BSI ist auch für den Schutz der IT-Systeme des Bundes verantwortlich. Hierbei geht es um die Abwehr von Viren, Trojanern und anderen technischen Bedrohungen gegen die Computer und Netze der Bundesverwaltung. Das BSI berichtet dem Innenausschuss des Deutschen Bundestages hierzu einmal jährlich.

Zu den Aufgaben des BSI gehören weiterhin:

• Schutz der Netze des Bundes, Erkennung und Abwehr von Angriffen auf die Regierungsnetze
• Prüfung, Zertifizierung und Akkreditierung von IT-Produkten und -Dienstleistungen
• Warnung vor Schadprogrammen oder Sicherheitslücken in IT-Produkten und -Dienstleistungen
• IT-Sicherheitsberatung für die Bundesverwaltung und andere Zielgruppen
• Information und Sensibilisierung der Bürger für das Thema IT- und Internet-Sicherheit
• Entwicklung einheitlicher und verbindlicher IT-Sicherheitsstandards
• Entwicklung von Kryptosystemen für die IT des Bundes.

Zu den Zielgruppen des BSI gehören:

• die öffentliche Verwaltung in Bund, Ländern und Kommunen
• Wirtschaftsunternehmen
• Wissenschafts- und Forschungseinrichtungen
• Privatanwender

Behörden in Deutschland stellt das BSI auf Anfrage technische Expertise und Beratung zur Verfügung. Gemäß BSI-Gesetz (§3 Abs. 1 S. 2 Nr. 13 BSIG) gehört es zu den Aufgaben des BSI, auch den Bundesnachrichtendienst (BND) bei der Wahrnehmung seiner gesetzlichen Aufgaben zu unterstützen, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen. Dabei berät das BSI den BND beispielsweise zu Fragen der Informationssicherheit und des Geheimschutzes, insbesondere zum Schutz der Netze des BND.

Die grenzenlose Vernetzung der Kommunikations- und Informationssysteme macht international kooperatives Handeln unentbehrlich. Die im Februar 2011 verabschiedete Cyber-Sicherheitsstrategie der Bundesregierung betrachtet den Schutz des Cyber-Raums als existentielle Frage des 21. Jahrhunderts, wobei einer engen Zusammenarbeit in Europa und weltweit grundlegende Bedeutung beigemessen wird. Die Cyber-Sicherheitsstrategie bildet somit den obersten Bezugsrahmen für das internationale Engagement des BSI.

Der globalen Herausforderung Informationssicherheit stellt sich das BSI sowohl durch aktive Mitarbeit in Gremien als auch durch bi- und multilaterale Zusammenarbeit mit anderen Staaten. Im europäischen und internationalen Umfeld wird das BSI als kompetenter und strategischer Partner in Sachen Informationssicherheit wahrgenommen. Sein internationales Engagement ist daher geprägt von seiner Rolle als weltweit anerkanntes IT-Sicherheitskompetenzzentrum und nationale IT-Sicherheitsbehörde.

Die internationalen Aktivitäten des BSI orientieren sich an seiner fachlichen Ausrichtung und finden etwa innerhalb der EU und NATO, im Standardisierungs- und Normungsumfeld oder auf bi- und multilateraler Ebene statt. Im Rahmen seines internationalen Engagements unterhält das BSI auch Kontakte zu wichtigen internationalen Telekommunikationsunternehmen und Herstellern von Informations- und Kommunikationstechnik und ist darüber hinaus in einigen relevanten Industriekonsortien vertreten.

Das BSI tauscht sich im Rahmen seiner auf Prävention ausgerichteten Aufgaben regelmäßig auch mit anderen Behörden innerhalb und außerhalb der EU zu technischen Fragestellungen der IT- und Internet-Sicherheit aus. Im Kontext der Bündnispartnerschaft NATO arbeitet das BSI mit den für technische Fragen des Schutzes der Computersysteme zuständigen Behörden zusammen. Dazu gehört auch die US-amerikanische National Security Agency (NSA), die neben ihrem Auftrag als Nachrichtendienst zusätzlich auch für IT-Sicherheit verantwortlich ist. Diese Zusammenarbeit umfasst ausschließlich präventive Aspekte der Cyber-Sicherheit, entsprechend den Aufgaben und Befugnissen des BSI gemäß des BSI-Gesetzes.

Die Bundesregierung hat im Februar 2011 die Cyber-Sicherheitsstrategie für Deutschland beschlossen. Ziel der Cyber-Sicherheitsstrategie ist es, Cyber-Sicherheit auf einem der Bedeutung und der Schutzwürdigkeit der vernetzen Informationsinfrastrukturen angemessenen Niveau zu gewährleisten, ohne die Chancen und den Nutzen des Cyber-Raums zu beeinträchtigen. Kernelemente der Strategie sind der Schutz der IT-Systeme in Deutschland, insbesondere im Bereich kritischer Infrastrukturen, die Sensibilisierung der Bürgerinnen und Bürger zum Thema IT-Sicherheit, der Aufbau eines Nationalen Cyber-Abwehrzentrums sowie die Einrichtung eines Nationalen Cyber-Sicherheitsrates. Daneben beschreibt die vorrangig auf präventive und reaktive Schutzmaßnahmen ausgerichtete Strategie die Stärkung der IT-Sicherheit in der öffentlichen Verwaltung, den Einsatz verlässlicher und vertrauenswürdiger Informationstechnologie, die wirksame Kriminalitätsbekämpfung auch im Cyber-Raum sowie ein effektives Zusammenwirken für Cyber-Sicherheit in Europa und weltweit.

Mit dem Begriff "Regierungsnetze" wird die Kommunikationsinfrastruktur für die zuverlässige und sichere Sprach- und Datenkommunikation zwischen den obersten Bundesbehörden und Verfassungsorganen in Deutschland bezeichnet. Als Infrastruktur hierfür ebenso wie für die interne Kommunikation der Bundesbehörden steht der Informationsverbund Berlin-Bonn (IVBB) für elektronische Informations-, Kommunikations- und Transaktionsdienstleistungen zur Verfügung. Er wurde um den Informationsverbund der Bundesverwaltung (IVBV) ergänzt, an den die Bundesbehörden in der Fläche angeschlossen sind.

Anlass für die Errichtung des Informationsverbundes Berlin-Bonn war der Umzug des Deutschen Bundestages sowie der Bundesregierung nach Berlin. Ziel war es, die arbeitsteiligen Regierungsfunktionen zwischen Berlin und Bonn mittels moderner und sicherer Informations- und Kommunikationstechnologie zu unterstützen. Der Wirkbetrieb des IVBB begann vor dem Umzug der Regierungs- und Verwaltungseinrichtungen im Januar 1999. Insbesondere für Bundesbehörden mit Dienstsitzen an mehreren Standorten ist der Informationsverbund von vitaler Bedeutung. Nutzer des IVBB sind Bundestag, Bundesrat, Bundeskanzleramt und Bundesministerien, Bundesrechnungshof sowie Sicherheitsbehörden in Berlin, Bonn und an weiteren Standorten.

Nach § 3 Abs.1 Ziff. 1 BSI-Gesetz ist die Abwehr von Gefahren für die IT des Bundes eine Kernaufgabe des Bundesamts für Sicherheit in der Informationstechnik. Das BSI hat seit seiner Gründung die Aufgabe wahrgenommen, die Netze der Bundesverwaltung zu schützen. Als im Zuge des Regierungsumzugs nach Berlin das Regierungsnetz (Informationsverbund Berlin-Bonn, IVBB) entstand, wurde dem BSI die Gesamtverantwortung für das IT-Sicherheitskonzept übertragen.

Wichtigste Sicherheitsmaßnahmen des zentralen Regierungsnetzes sind eine durchgängig verschlüsselte Kommunikation und eine sehr robuste, redundante Architektur. Darüber hinaus wird ein geregelter, vertrauensvoller Betrieb gewährleistet. Zudem werden permanente Verbesserungen in der sicherheitstechnischen Aufstellung der Netze sowie auch eine enge Anbindung der Netze der Länder und Kommunen realisiert. Die Maßnahmen des BSI zum Schutz der Regierungsnetze unterliegen einer kontinuierlichen Überprüfung, Weiterentwicklung und Anpassung an die dynamische Bedrohungslage.

Das BSI stellt täglich Cyber-Angriffe auf die Regierungsnetze fest, auf die ggf. mit Warnungen, Sofortmaßnahmen sowie der Bereitstellung von konkreten Hilfestellungen und Handlungsempfehlungen für die betroffenen Einrichtungen reagiert wird. Federführend zuständig für die Einleitung dieser Maßnahmen sind das Nationale IT-Lagezentrum und das im gleichen Referat des BSI angesiedelte CERT-Bund (Computer Emergency Response Team für Bundesbehörden). Aufgabe des Lagezentrums ist es, jederzeit über ein verlässliches Bild der aktuellen IT-Sicherheitslage zu verfügen, um somit den Handlungsbedarf und die Handlungsoptionen bei IT-Sicherheitsvorfällen sowohl auf staatlicher Ebene als auch in der Wirtschaft schnell und kompetent einschätzen zu können. CERT-Bund hat die Aufgabe, Cyber-Sicherheitsinformationen zu bewerten, IT-Sicherheitsvorfälle zu erkennen, bei deren Eindämmung zu unterstützen, um die Auswirkungen zu minimieren und bei der Wiederherstellung des normalen Betriebes zu helfen.

Aufgrund des technischen Fortschritts und nicht zuletzt auch durch die dynamische Bedrohungslage, in der auch die Regierungsnetze täglich und gezielt angegriffen werden, ist es unerlässlich, die Netze und deren Sicherheit kontinuierlich auszubauen und weiterzuentwickeln. Im Projekt "Netze des Bundes" werden die beiden zentralen ressortübergreifenden Regierungsnetze IVBB (Informationsverbund Berlin-Bonn) und IVBV (Informationsverbund der Bundesverwaltung) daher in einer leistungsfähigen und sicheren gemeinsamen Netzinfrastruktur neu aufgestellt. Aufbauend auf dieser gemeinsamen Infrastruktur können Behörden dann ihre Liegenschaften anforderungsgerecht und sicher miteinander vernetzen, behördenübergreifend kommunizieren sowie beispielsweise IT-Verfahren anbieten oder selbst nutzen. Ziel ist es, langfristig eine gemeinsame Infrastruktur für die Bundesverwaltung zu schaffen.

Das BSI gibt Anwendern unterschiedlicher Zielgruppen Empfehlungen und Hinweise für einen sicheren Umgang mit mobilen Kommunikationsgeräten. Privatanwender adressiert das BSI beispielsweise auf seiner Webseite unter diesen Anwenderinformationen. Darüber hinaus gibt es Veröffentlichungen des BSI, die sich an professionelle Anwender in Verwaltung und Wirtschaft richten.

Was die mobile Kommunikation in der Bundesverwaltung angeht, so ist für die Auswahl der jeweils adäquaten Mobilgeräte entscheidend, welchen Schutzbedarf die jeweils zu kommunizierenden Informationen haben. Sind die Informationen nicht in besonderer Weise schutzbedürftig, so kann der Mitarbeiter der Bundesverwaltung dafür weitgehend ein Gerät seiner Wahl nutzen. Für mobile Kommunikation mit höherem Schutzbedarf stehen der Bundesverwaltung spezielle vom BSI zugelassene oder einsatzempfohlene Lösungen zur Verfügung.

Im Rahmen von Arbeitskreisen, Gremien und Kooperationen findet ein vertrauensvoller Informations- und Erfahrungsaustausch sowie ein Know-how-Transfer zwischen Partnern und dem BSI statt. Dazu zählen die Gremien des UP KRITIS, Informationsaustausch mit Verwaltung und Wirtschaft über das Nationale IT-Lagezentrum des BSI, die präventive und reaktive Zusammenarbeit des Computernotfall-Teams CERT-Bund mit anderen nationalen und internationalen CERT-Verbünden sowie die Zusammenarbeit mit Partnern im Rahmen der Allianz für Cyber-Sicherheit. Ergänzt werden diese Informationen durch die kontinuierliche Beobachtung und Auswertung allgemein zugänglicher Informationsquellen wie Nachrichtenseiten und Blogs aus dem Internet. Darüber hinaus betreibt das BSI eine Reihe von datenschutzkonformen Sensoren, die die Verfügbarkeit und Integrität der Regierungsnetzwerke analysieren.

In Bezug auf die Regierungsnetze hat das BSI 2009 gemäß § 5 des BSI-Gesetzes die Befugnis erhalten, zur Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes Protokolldaten sowie Daten, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen, unter Beachtung notwendiger Schutzmechanismen zu erheben und auszuwerten. Es ist auch befugt, Schadprogramme zu beseitigen oder in ihrer Funktionsweise zu hindern. Auf Grundlage dieser Befugnis betreibt das BSI ein Schadprogramm-Präventions-System (SPS) zur Verhinderung von ungewollten Zugriffen aus den Regierungsnetzen auf infizierte Webseiten sowie ein Schadprogramm-Erkennungssystem (SES).

Das BMI führt die Fachaufsicht über das BSI. Im dortigen IT-Stab werden die IT-Strategie, IT-und Netzpolitik, IT-Sicherheit und E-Government betreffenden Aufgaben des BMI gebündelt.

Das Nationale Cyber-Abwehrzentrum legt dem Nationalen Cyber-Sicherheitsrat regelmäßig und anlassbezogen Empfehlungen vor. Das BSI unterrichtet zudem den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit einmal jährlich nach § 5 Abs. 9 des BSI-Gesetzes. Der Innenausschuss des Deutschen Bundestages wird jährlich über die Anwendung des § 5 BSI-Gesetz unterrichtet.

Moderne Kommunikations- und Informationstechnik ist aus vielen Bereichen unserer Lebens- und Arbeitswelt nicht mehr wegzudenken. Mit den Chancen, die diese Entwicklung bietet, sind jedoch auch die Risiken erheblich gewachsen, denn immer sensiblere Daten werden der Informationstechnik anvertraut. Die reibungslose Funktion zentraler gesellschaftlicher Bereiche hängt von der Verlässlichkeit und Sicherheit der Informationstechnik ab. Um die mit dem Einsatz der Informationstechnik verbundenen Risiken zu minimieren, müssen Sicherheitsfunktionen integraler Bestandteil moderner Informationstechnik sein.

Die technische Funktionsweise von IT-Produkten und -Systemen ist jedoch für weite Kreise der Anwender nicht mehr durchschaubar. Vertrauen in die Informationstechnik kann aber nur dann entstehen, wenn sich die Nutzer auf ihre Anwendung verlassen können. Das gilt insbesondere für die Sicherheit von Daten. Eine Möglichkeit, Transparenz hinsichtlich der Sicherheitseigenschaften von IT-Produkten zu schaffen, ist die Prüfung, Bewertung und Zertifizierung von IT-Produkten und -Systemen nach einheitlichen Kriterien durch unabhängige, vom BSI anerkannte Prüfstellen.

Die Objektivität und Einheitlichkeit der Prüfungen sowie die Unparteilichkeit wird dabei durch das BSI gewährleistet. Das BSI ist zudem maßgeblich an der Erarbeitung der Sicherheitskriterien beteiligt. Die technische Evaluierung eines Produktes wird nach der Beantragung der Zertifizierung beim BSI im Regelfall durch beim BSI akkreditierte und lizenzierte Prüfstellen durchgeführt, die der Antragsteller frei wählen und mit der Durchführung des Prüfverfahrens beauftragen kann. Die Prüfstellen stehen neben dem BSI für die Beratung über alle Aspekte des Verfahrens zur Verfügung.

Anbieter von IT-Produkten und -Dienstleistungen können mit Hilfe der Zertifizierung das Sicherheitsniveau ihrer Angebote nachvollziehbar darstellen. Nutzer von zertifizierten IT-Produkten und -Lösungen können einschätzen, für welche Einsatzbereiche die IT-Produkte und -Dienstleistungen geeignet sind und welchen Beitrag die Nutzer selbst leisten müssen, um beim Einsatz dieser Produkte und Lösungen das erforderliche Maß an Informationssicherheit zu erreichen.

Nach § 7 des BSI-Gesetzes hat das BSI die Befugnis, Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten sowie vor Schadprogrammen auszusprechen. Diese Warnungen können sich an die jeweils Betroffenen richten oder aber auch öffentlich – beispielsweise über die Medien – ausgesprochen werden. Eine solche Warnung kann auch beinhalten, dass das BSI von der Nutzung bestimmter Produkte und Lösungen abrät, solange die jeweilige Sicherheitslücke nicht geschlossen ist. In jedem Falle werden die Hersteller der betroffenen Produkte oder Dienstleistungen bereits vor der Veröffentlichung der Warnung informiert.

Eine öffentliche Warnung wird nur dann vorgenommen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik von dem betroffenen Produkt ausgehen. Das BSI geht mit dieser Befugnis sehr sorgsam um, denn eine öffentliche Warnung des BSI vor einem bestimmten Produkt kann für das betroffene Unternehmen unter Umständen erhebliche wirtschaftliche Folgen haben.

Das BSI ist gegenüber der Wirtschaft in einer beratenden Funktion tätig und unterstützt Unternehmen aller Größen und Branchen bei Fragen zur IT- und Informationssicherheit.

Auf Bundesebene ist das BSI zudem für den Schutz Kritischer Informationsinfrastrukturen (KRITIS) verantwortlich.
Über die beratende Funktion hinaus arbeitet das BSI in vielfältiger Weise mit der Wirtschaft zusammen. Seit langem etabliert ist beispielsweise die Zusammenarbeit im Bereich der Zertifizierung. Durch die unabhängige Überprüfung von IT-Produkten und -Dienstleistungen bietet das BSI den Herstellern eine Möglichkeit, für Transparenz und mehr Vertrauen hinsichtlich der IT-Sicherheitseigenschaften ihrer Produkte und Angebote zu sorgen (vgl. Frage: An wen berichtet das BSI?).

Auch im Bereich der Schaffung von Mindeststandards ist es erklärtes Ziel des BSI, praxisnahe Vorgaben und Empfehlungen zur IT-Sicherheit in Kooperation mit der Wirtschaft zu erarbeiten und umzusetzen.

Auch die 2012 von BSI und BITKOM etablierte Allianz für Cyber-Sicherheit ist ein Beispiel für die kooperative und konstruktive Zusammenarbeit zwischen Staat, Wirtschaft und Wissenschaft. Als Zusammenschluss aller wichtigen Akteure im Bereich der Cyber-Sicherheit in Deutschland hat die Allianz das Ziel, die Cyber-Sicherheit in Deutschland zu erhöhen und die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken. Die Allianz für Cyber-Sicherheit baut hierfür eine umfangreiche Wissensbasis auf und unterstützt den Informations- und Erfahrungsaustausch.

Moderne Gesellschaften sind auf eine zuverlässige Infrastruktur angewiesen. Störungen und Ausfälle beispielsweise in der Energieversorgung oder in den Bereichen der Mobilität, Kommunikation und des Notfall- und Rettungswesens können erhebliche volkswirtschaftliche Schäden nach sich ziehen und weite Teile der Bevölkerung unmittelbar betreffen. Diese Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden, werden als"Kritische Infrastrukturen" (KRITIS) bezeichnet. Das BSI widmet sich innerhalb der KRITIS-Thematik insbesondere den IT-Bedrohungen, also dem Schutz der Kritischen Informationsinfrastrukturen.

Eine wichtige Aufgabe des BSI ist die Information und Sensibilisierung von Bürgerinnen und Bürgern für einen sicheren Umgang mit Informationstechnologie, mobilen Kommunikationsmitteln und Internet. Der Umgang mit IT und Internet beinhaltet bei allen positiven Möglichkeiten auch Risiken, die es zu minimieren gilt. Über die Risiken Bescheid zu wissen ist der erste Schritt, diese zu bewältigen.

Das BSI bietet daher auf seinen Web-Seiten ein speziell für die Bürgerinnen und Bürger zugeschnittenes Internetangebot. Auf der Webseite werden die vielfältigen Themen und Informationen rund um das Thema IT- und Internet-Sicherheit so behandelt, dass sie auch für technische Laien verständlich sind. Neben der reinen Information bietet das BSI dort auch konkrete und umsetzbare Handlungsempfehlungen an, beispielsweise zu Themen wie E-Mail-Verschlüsselung, Smartphone-Sicherheit, Online Banking, Cloud Computing oder Soziale Netzwerke.

Auch telefonisch oder per E-Mail können sich Privatanwender mit ihren Fragen zu Themen der IT- und Internetsicherheit an das BSI wenden.

Die Anfragen werden absolut vertraulich behandelt. Eine Weitergabe persönlicher Daten oder sonstiger Informationen an Dritte erfolgt nicht.

Darüber hinaus bietet das BSI mit dem "Bürger-CERT" einen kostenlosen Warn- und Informationsdienst, der Bürger und kleine Unternehmen schnell und kompetent über Schwachstellen, Sicherheitslücken und anderen Risiken informiert und konkrete Hilfestellungen gibt.