Schlagwort-Archiv: BSI

Neues zu Trusted Computing

Es kommt eigentlich nicht oft vor, dass man mit einer bestimmten Meinung eine Recherche beginnt und dann mit einer ganz anderen Meinung die Recherche beendet. Jüngst ist mir das beim Thema „Trusted Computing“ so gegangen. Der Beitrag ist jetzt in der aktuellen c’t unter dem Titel „Digitaler Souveränitätsverlust“ erschienen.

Am Anfang stand die Frage: Was ist eigentlich aus dem kernigen „Trusted Computing“-Papier der Bundesregierung aus dem Jahre 2012 geworden? Am Ende musste ich die Frage ernüchtert mit „Nicht viel!“ beantworten. Während ich am Anfang vor allem Microsoft misstraute, war am Ende, nach mehreren Monaten Recherche, zahllosen Hintergrundgesprächen und etlichen zurückgenommenen Aussagen eher mein Vertrauen in die Bundesregierung erschüttert.

Dass wenig bis nichts aus dem Papier umgesetzt wurde, ist einerseits nicht überraschend, weil letztlich wirtschaftliche Interessen die Hardware- und Software-Entwicklung bestimmen. Andererseits aber wiederum doch, weil die Bundesregierung durchaus ein paar Handlungsoptionen hat, die sie aber nicht nutzt.

Um diese Optionen geht es in dem Beitrag. Außerdem erklärt er, warum das Papier keineswegs heiße Luft ist. Und schließlich geht es darum, wie wir „mit kompromittierten Systemen leben lernen müssen“, wie der Passauer Sicherheitsexperte Joachim Posegga so schön formulierte.

 

Zahlenspielerei zu Aufsichtsbehörden, die IT-Grundrechte wahren sollen

Geht man davon aus, dass die Datenschutz-Aufsichtsbehörden für

  • das Grundrecht auf informationelle Selbstbestimmung,
  • das Grundrecht auf Informationsfreiheit und
  • das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

zuständig sind, kann man erwarten, dass sie entsprechend ausgestattet sind. Welche Anhaltspunkte lassen sich zahlentechnisch dafür finden, dass sie das sind?

Zum Beispiel das Personal:  In Summe verfügen die Aufsichtsbehörden in Bund und Ländern über 444 Stellen. Eine Aufstockung ist nicht geplant (Jahr 2013, Quelle: BfDI Pressestelle und Datenschutzbarometer 2013).

 

Kernpersonal Datenschutz-Aufsichtsbehörden
Bundesland 2011 2012 2013
Baden-Württemberg 26,2 26,2 26,2
Bayern 42 45 46
Berlin 39 39 34
Brandenburg 23 22 22
Bremen k.A. k.A. k.A.
Hamburg 17,05 18,6 15,8
Hessen 43 43 35,2
Mecklenburg-Vorpommern 14 14 14
Niedersachsen 17,5 17,5 17,5
Nordrhein-Westfalen 53 53 53
Rheinland-Pfalz 18,5 18,5 17,5
Saarland k.A. k.A. k.A.
Sachsen 21 22 22
Sachsen-Anhalt 21 16 16
Schleswig-Holstein 22,25 22,25 22,25
Thüringen 15 15 15
Bund 81 89 87,5
Summe 453,5 461,05 443,95

Vergleichen wir das mit der Personalausstattung des Bundesamts für Sicherheit in der Informationstechnik (BSI): Das verfügt über 579 Stellen, eine Aufstockung um weitere 216 Stellen ist geplant (Quelle: BSI-Pressestelle). In Summe wären das 795 Stellen. Das BSI ist allerdings nur für

  • das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

zuständig.

Summa summarum: Das BSI verfügt jetzt über 130 Prozent mehr Stellen als alle behördlichen Datenschutzbeauftragten zusammen. Würde man das an den zu wahrenden Grundrechten messen – wären das dreimal so viel.

Sehen wir uns rein mengenmäßig an, was die Datenschutz-Aufsichtsbehörden in ihren Tätigkeitsberichten in einem meist zweijährlichen Zyklus produzieren:

 Tätigkeitsberichte Zeitraum Seiten
Bund Jahre 2011-2012 266
Baden-Württemberg Jahre 2012-2013 169*
Bayern öffentlich Jahre 2013-2014 258*
Bayern nicht-öffentlich Jahre 2013-2014 180
Berlin Jahr 2014 200
Brandenburg Jahre 2012-2013 234
Bremen Jahr 2014 132
Hamburg Jahre 2012-2013 277
Hessen Jahre 2012-2013 343
Mecklenburg-Vorpommern Jahre 2012-2013 146
Niedersachsen Jahre 2011-2012 140
NRW Jahre 2013-2014 157
Rheinland-Pfalz Jahre 2012-2013 162
Saarland Jahre 2013-2014 198
Sachsen Jahre 2011-2013 151
Sachsen-Anhalt Jahre 2011-2013 189*
Schleswig-Holstein Jahre 2013-2014 165
Thüringen Nicht-öffentlich Jahre 2011-2013 142
Thüringen öffentlich Jahre 2011-2013 251*
 Summe   3760
Ausgleich zweijähriger Berichtzyklus 332
Summe nach Ausgleich   4092

Nach einer Auswertung der aktuellsten Berichte kommt man auf 4.092 Seiten 

– abzüglich aufblähender Anhänge (*), ohne Berücksichtigung auf das Seitenformat und einem Ausgleich für die Berichte, die in Bremen und Berlin jährlich abgegeben werden.

Setzen wir das wieder in Bezug auf das BSI:

Theoretisch müsste das BSI entsprechend seiner Personalausstattung 5.336 Seiten produzieren. Passen wir diese Zahl großzügig auf das von ihm vertretene Grundrecht mit „geteilt durch 3“ grob an, kommen wir auf 1788 Seiten.

Was aber produziert das BSI tatsächlich? Der letzte Jahresbericht war gerade 49 Seiten lang – wobei durch etliche leere Seiten (Kapitelüberleitungen, etc.) das Volumen Design-technisch etwa um 11 Seiten aufgebläht wurde. Aber wir bereinigen hier nicht: Wir nehmen die 49 Seiten und setzen sie in Bezug auf die 1.788 Soll-Seiten – das wären dann 2,75 Prozent dessen, was die Kollegen in den Datenschutz-Aufsichtsbehörden produzieren.

Klassisch gerechnet, also ohne Berücksichtigung der Grundrechte-Vertretung, produziert das BSI aber nur 1,2 Prozent des Umfangs der Datenschutz-Aufsichtsbehörden.

Denkt man an die gesetzliche vorgeschriebene Bürger-Orientierung der Behörde („BSI für Bürger“) gibt es noch etwas Luft nach oben. Oder macht die, gemessen an der Transparenz der Behörde,  nur 1,2 Prozent aus? Mal locker korreliert.