A-SIT - ZENTRUM FÜR SICHERE INFORMATIONSTECHNOLOGIE - AUSTRIA

 

FRAGEN UND ANTWORTEN:

Wann wurde A-SIT gegründet?

Im Mai 1999.

Warum A-SIT?

A-SIT fördert ein wichtiges Spezialgebiet, nämlich den Einsatz von Sicherheitstechnologien in Österreich.
zum Seitenbeginn

Wer ist A-SIT?

A-SIT ist ein gemeinnütziger Verein. Ordentliche Mitglieder müssen öffentliche Institutionen sein. Damit ist seine strikte Neutralität, Weisungsfreiheit und Unabhängigkeit gesichert.

zum Seitenbeginn

Was ist die Rolle von A-SIT?

A-SIT befasst sich kompetent, neutral und seriös mit dem aktuellen Stand der technischen Informationssicherheit. Eine solche Einrichtung ist unbedingt notwendig, da ansonsten die Beurteilung der Sicherheit in Österreich ausländischen oder privatwirtschaftlichen Organisationen mit entsprechenden Eigeninteressen überlassen werden müsste. Überspitzt: Es könnten private Geschäftsinteressen bestimmen was Sicherheit ist.

A-SIT hilft, Phänomene wie elektronischen Betrug und Datenmissbrauch wirksam zu bekämpfen.

zum Seitenbeginn

Was bedeutet "technische Informationssicherheit"?

Grundsätzlich werden mit diesem Begriff das Sicherstellen der Vertraulichkeit, Authentizität, Integrität und Verfügbarkeit von Daten zusammengefasst.

Wesentlich erscheint:

    • Vertrauen in elektronische Geschäfte: Aufgrund des Signaturgesetzes können rechtsgültige Geschäfte auch dann, wenn Schriftform erforderlich ist, über das Internet abgewickelt werden. Voraussetzung dafür ist der Einsatz sicherer Verfahren und sicherer Technik (z.B. qualifizierte Signatur).
    • Unterstützung des elektronischen Behördenweges: Anträge (z.B. auf help.gv.at) können elektronisch gestellt werden, Bescheide können elektronisch ausgestellt und zugestellt werden (z.B. sichere Identifikation mit der Bürgerkarte).
    • Sicherheit von Gesundheitsdaten: Von der elektronischen Übertragung von Befunden bis zu künftigen Teleoperationen mit Hilfe weit entfernter Spezialisten. Dabei kommt es auf die Echtheit, d.h. Integrität und Authentizität der Daten an.

Plastisches Beispiel: es geht etwa darum, dass das was man auf seinem Bildschirm sieht, der Wirklichkeit entspricht.

zum Seitenbeginn

Wieso ist der Bürger davon betroffen?

  • Informationstechnik, also Computertechnik, durchdringt sämtliche Lebensbereiche und wird dabei immer undurchschaubarer.
  • Der Bürger kann zunächst selbst Anwender sein und muss auf die Sicherheit seiner Einrichtungen vertrauen können. Dies kann er in der Regel nicht selbst beurteilen, weil Fehlfunktionen von Sicherheitstechnologien im Allgemeinen nicht sichtbar sind. Weiters gehen die meisten Anwendungen davon aus, dass der Bürger sie korrekt benutzt, z.B. dass er Geheimcodes entsprechend verwahrt.
  • Jedermann ist allerdings davon betroffen, dass seine Daten von öffentlichen und privaten Organisationen be- und verarbeitet werden. Diese sind vor unbefugtem Zugriff und Manipulation zu schützen. Dafür muss sichere Technik eingesetzt werden.
  • Im Bereich der elektronischen Signatur ist eine wirksame Aufsicht gefordert. Diese benötigt aber kompetente technische Unterstützung durch unabhängige Stellen wie A-SIT.

zum Seitenbeginn

Wie erhält der Bürger / Konsument Informationen von A-SIT?

  • A-SIT stellt aktuelle Informationen für den Bürger ins Internet (Homepage www.a-sit.at und www.buergerkarte.at ). Das ist die einfachste und schnellste Form der Information. A-SIT hofft mit Unterstützung der Medien damit jedermann zu informieren.
  • Darüber hinaus veranstaltet A-SIT Expertenrunden und Informationsveranstaltungen.
  • Weiters werden Publikationen, Positionspapiere, Präsentationen und Flyer zu Themen der Informationstechnik herausgegeben.

zum Seitenbeginn

Sind alle Informationen bei A-SIT öffentlich?

Nein, vor allem für die Bestätigungs-, Überwachungs- und Begutachtungstätigkeit werden auch Informationen benötigt, welche z.B. Amts- oder Firmengeheimnisse darstellen und selbstverständlich vertraulich gehandhabt werden. Es steht im Ermessen der Besitzer derartiger Informationen, diese zu publizieren oder nicht.

  • Schwerpunkt der Öffentlichkeitsarbeit von A-SIT sind die möglichen Auswirkungen bestimmter Technologien auf Wirtschaft, Gesellschaft und den Bürger.
  • Schlussfolgerungen werden in der Regel von A-SIT dann publiziert, wenn sie durch klare Fakten untermauert sind oder Gefahr im Verzug ist. Informationen werden einer breiten Schicht zur Verfügung gestellt, wenn diese im Sinne der Informationssicherheit dadurch Vorteile hat.

zum Seitenbeginn

Wer sind die Träger von A-SIT?

Als Verein wird A-SIT von seinen Mitgliedern getragen und hauptsächlich von ihren Beiträgen finanziert. Mitglieder können nur öffentliche Institutionen sein. Dies ist notwendig, damit der Verein finanziell unabhängig und absolut neutral agieren kann.

zum Seitenbeginn

Wie kann man die Tätigkeit von A-SIT beschreiben?

A-SIT hat mehrere Schwerpunkte:

  • Evaluierungsmanagement: A-SIT überprüft anhand von Normen, ob für ein konkretes System ausreichende Sicherheit nachgewiesen werden kann. Grundlage ist behauptete oder für den Einsatz geforderte Sicherheit. Bescheinigungen nach §18 Signaturgesetz, Bestätigungen, Überwachungen und Gutachten sind Ausprägungen dieser Tätigkeit.
  • Technologiebeobachtung: Forschungsergebnisse und Informationen werden ausgewertet, um über den aktuellen Stand der Technik Bescheid zu wissen und zur Vermeidung von Gefahren beratend tätig werden zu können.
  • Sicherheitsbegleitung: Beantworten konkreter Fragestellungen, etwa welche Technologien für einen bestimmten Zweck geeignet sind.
  • Öffentliche Bewusstseinsbildung (Awareness): A-SIT bereitet die gewonnenen Erkenntnisse für Interessenten und den Bürger auf, vor allem über das Internet.
  • Förderung der internationalen Zusammenarbeit: A-SIT ist in einer Anzahl nationaler und internationaler Gremien vertreten, die sich mit der Technik der Informationssicherheit befassen und arbeitet mit ähnlichen Institutionen zusammen.

zum Seitenbeginn

Welche Schwerpunktthemen werden von A-SIT behandelt?

Hervorzuheben sind:

  • Aufgabe einer Bestätigungsstelle im Rahmen des Signaturgesetzes: Ausstellen von Bescheinigungen und Bestätigungen sowie Unterstützung der Aufsichtsstelle im technischen Bereich.
  • Erstellung von Gutachten zu Produkten und Systemen im Umfeld der elektronischen Signatur.
  • Überwachung der IT-Sicherheit von elektronischen Zahlungssystemen sowie von IT-Produkten und -Systemen.
  • E-Government (z.B. Begleitung der Bürgerkarte und Erstellung von Tools).
  • Forcierung der Technologiebeobachtung und der öffentlichen Bewusstseinsbildung (z.B. Analyse kryptographischer Verfahren und von Signaturalgorithmen, biometrische Verfahren, elektronische Identität, elektronische Wahlen).
  • Sicherheitsbegleitung: Unterstützung der Mitglieder und öffentlicher Organisationen bei übergreifenden Themen der IT-Sicherheit (z.B. Österreichisches Informationssicherheitshandbuch, Richtlinie für die Sicherstellung und Auswertung von elektronischem Beweismaterial).
  • Teilnahme an der EU-weiten Normung und wissenschaftlichen Weiterentwicklung des elektronischen Geschäfts- und Rechtsverkehrs, gemeinsam mit vergleichbaren Organisationen in anderen Ländern.
  • Expertentätigkeit bei internationalen Organisationen (OECD, Europarat, CEN/ISSS, ETSI, Smart Card Charter, Rat der Europäischen Union, Europäische Kommission,...) im Bereich der elektronischen Signaturen.

zum Seitenbeginn

Was sind die Grundsätze von A-SIT?

  • Kompetenz: Für jedes Vorhaben werden geeignete Experten beschäftigt.
  • Neutralität: A-SIT ermittelt seine Erkenntnisse völlig weisungsfrei. Durch den öffentlichen Charakter garantieren die Mitglieder die wirtschaftliche Unabhängigkeit.
  • Effizienz: Als schlanke Organisation konzentriert A-SIT seine Tätigkeit auf die technischen Inhalte und kommt mit einem Minimum an Administration aus.

zum Seitenbeginn

Wie ist A-SIT gegenüber Zertifizierungsdiensten und der Telekom Control Kommission positioniert?

Dies betrifft den Teilaspekt der elektronischen Signatur und ist durch das Signaturgesetz sowie die zugehörigen Verordnungen klar geregelt:

  • Zertifizierungsdienste(anbieter) sind Organisationen, welche Einrichtungen für elektronische Signaturen betreiben. Bei Aufnahme ihres Betriebes müssen sie dies der Telekom Control Kommission als zuständige Aufsichtsbehörde anzeigen.
  • Wenn der Zertifizierungsdiensteanbieter qualifizierte Signaturen (diese sind in der Lage, in nahezu allen Bereichen die Schriftform und damit die eigenhändige Unterschrift zu ersetzen) anbietet, muss er gegenüber der TKC eine positive Bescheinigung gemäß §18 SigG über die Sicherheit seiner Verfahren und seiner Technik vorweisen. A-SIT ist als Bestätigungsstelle (gemäß Verordnung vom 2.2.2000) tätig und kann demzufolge die Sicherheit der eingesetzten Technik nach Signaturgesetz und Signaturverordnung evaluieren und gegebenenfalls bescheinigen oder bestätigen.
  • A-SIT ist nicht als Zertifizierungsdiensteanbieter tätig und bietet daher weder einfache (z.B. S/MIME Zertifikate zum Signieren von E-Mails) noch qualifizierte Zertifikate für Signaturen an.

zum Seitenbeginn

Bietet A-SIT Zertifikate für einfache oder qualifizierte Signaturen an?

Nein.

  • Zertifizierungsdiensteanbieter sind Organisationen, welche Einrichtungen für elektronische Signaturen betreiben. Bei Aufnahme ihres Betriebes müssen sie dies der Telekom Control Kommission als zuständige Aufsichtsbehörde anzeigen. Eine Liste der in Österreich tätigen Zertifizierungsdiensteanbieter gibt es bei der Rundfunk und Telekom Regulierungs-GmbH, die die operativen Funktionen der Aufsicht im Auftrag der Telekom Control Kommission wahrnimmt (http://www.signatur.rtr.at/de/providers/providers.html).
  • A-SIT ist eine Bestätigungsstelle nach §19 SigG und hat die Aufgabe, die Sicherheit von Komponenten und Verfahren für qualifizierte Signaturen zu bestätigen, sowie die Aufsichtsstelle (Telekom Control Kommission) in technischen Fragen zu beraten.
  • A-SIT ist nicht als Zertifizierungsdiensteanbieter tätig und bietet daher weder einfache (z.B. S/MIME Zertifikate zum Signieren von E-Mails) noch qualifizierte Zertifikate für Signaturen an.

zum Seitenbeginn

Was hat A-SIT mit Datenschutz zu tun?

Ziel ist es, unbefugten Zugang zu Informationen mit Hilfe technischer Mittel zu unterbinden.

  • A-SIT ist laufend als Amtsgutachter für die Datenschutzkommission tätig.
  • A-SIT unterstützt und evaluiert Maßnahmen zum Schutz von Daten. Darunter fallen auch solche, welche die technischen Anforderungen aus dem Datenschutzgesetz 2000 umsetzen.
  • A-SIT stellt programmtechnische Werkzeuge (Tools) frei zur Verfügung. Damit wirkt A-SIT im Rahmen der Förderung der Maßnahmen zur Umsetzung der Anforderungen des Datenschutzes und zur Bildung von "Awareness" mit.

zum Seitenbeginn

Wer sind die zuständigen Organe und wie wurden sie bestellt?

  • Oberstes Organ ist die Generalversammlung der Mitglieder. Die Teilnehmer werden mittels Vollmacht entsendet.
  • Das Präsidium entscheidet etwa vier Mal pro Jahr über die Jahresplanung und unterstützt die Kommunikation innerhalb der öffentlichen Institutionen. Seine Teilnehmer sind von der Generalversammlung bestellt.
  • Dem Vorstand obliegt die Leitung der laufenden Tätigkeit. Seine Mitglieder sind von der Generalversammlung berufen und gemeinsam für die Gebarung verantwortlich.
  • Als Kontrollorgane sind zwei Rechnungsprüfer bestellt, welche der Generalversammlung berichten.
  • Gemäß dem Vereinsgesetz sehen die Statuten auch ein im Bedarfsfall einzuberufendes Schiedsgericht vor.

zum Seitenbeginn

Wo ist A-SIT tätig?

A-SIT ist an zwei Standorten tätig:

  • In Wien befindet sich der  Vereinssitz. Hier werden die Administration sowie der theoretische Teil der Expertentätigkeit durchgeführt.
  • In Graz befindet sich der wissenschaftlich-/technische Standort, vor allem aufgrund der Möglichkeiten, die sich durch die TU Graz bieten. Hier werden der praktische Teil der  Expertentätigkeit und die wissenschaftlichen Forschungsaspekte  durchgeführt.

Die beiden Standorte sind durch eine leistungsfähige und sichere EDV-Verbindung verknüpft, wobei sich die wesentlichen Einrichtungen dafür in Graz befinden. Für den Mitarbeiter präsentiert sich das System als  einheitlich.

zum Seitenbeginn

Weisungsunabhängigkeit in technischen Entscheidungen und in der Tätigkeit als  Bestätigungsstelle

  • Neutralität ist oberstes Prinzip und für die Tätigkeit als Bestätigungsstelle eine Grundvoraussetzung.
  • A-SIT ist daher in seinen technischen Aussagen völlig  weisungsunabhängig.
  • Der öffentliche Finanzierungsbeitrag sichert, dass A-SIT finanziell unabhängig von Prüfaufträgen ist.

zum Seitenbeginn

Warum wurde die Rechtsform eines Vereines gewählt?

Kosten,  Akzeptanz,  Unabhängigkeit aber auch die Möglichkeit der  raschen Einrichtung waren neben dem flexiblen Eingehen auf unterschiedlichste Situationen Gründe für diese Rechtsform.

zum Seitenbeginn