Letztlich ist es der Mensch, der IT-Security realisieren muss. Diese Kernidee bildet die Grundlage der Schaffung des IT-Security-Navigators, der im Rahmen des BMBF-Förderschwerpunkts „ITSKRITIS“ an der Universität Bremen sowie von VDE/DKE in Frankfurt am Main seit Anfang 2015 entwickelt und jüngst Anfang August unter der URL https://www.itsecuritynavigator.de/ der Öffentlichkeit vorgestellt wurde.
IT-Sicherheit stellt kleine und mittelständische Unternehmen vor Herausforderungen
Die aktuellen Vorgaben zeitgemäßer IT-Sicherheit werden vorwiegend aus technischen Normen und Standards sowie aus gesetzlichen Regelungen abgeleitet, die von technischen und juristischen Experten entworfen werden und durch entsprechende Beratungsunternehmen sowie Inhouse-Consulting-Maßnahmen für das einzelne Unternehmen konkretisiert werden können. „Was jedoch, wenn ein Unternehmen weder über eigenen technischen noch juristischen Sachverstand verfügt, gleichwohl aber verpflichtet ist, angemessene IT-Security umzusetzen, sei es aufgrund neuer gesetzlicher Verpflichtungen wie beispielsweise aus dem IT-Sicherheitsgesetz oder aber, um mögliche Haftungsrisiken zu vermeiden, sollten kritische Systeme ausfallen und Dritte geschädigt werden? Im Regelfall sind gerade solche kleinen und mittelständischen Unternehmen, die nicht unmittelbar auf fachspezifischen Sachverstand zurück greifen können, auf sich allein gestellt, wenn es um die Realisierung der neuen Anforderungen an die IT-Sicherheit in der Firma oder im Betrieb geht“, stellt Dr. Dennis-Kenji Kipker, Wissenschaftlicher Geschäftsführer des Instituts für Informations-, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen, fest.
Bedürfnis für ein anwender- und praxisnahes Tool zur Aufbereitung der rechtlichen und technischen Vorgaben
Abhilfe schaffen soll hier der IT-Security-Navigator von VDE/DKE und der Universität Bremen. In interdisziplinärer Zusammenarbeit sind zunächst sämtliche Rechtsvorschriften sowohl im Europa-, Bundes- und Landesrecht, die für die IT-Sicherheit eine Relevanz besitzen, für alle Sektoren Kritischer Infrastrukturen sowie für Industrie 4.0 ermittelt worden. Zur Verbesserung der Anwenderfreundlichkeit hat eine geeignete Aufbereitung der Vorschriften sortiert nach Kategorien und Rechtsetzungsinstanz, daneben aber auch nach Anwenderrelevanz, stattgefunden. Für jede Kategorie von Rechtsvorschriften wurden darüber hinaus einschlägige Publikationen und die Rechtsprechung erfasst. Zur leichteren Anwendbarkeit wurden sämtliche Gesetze online verlinkt, und relevante Einzelparagraphen werden separat nach Relevanz sortiert aufgeführt, sodass ein schneller und gezielter Abruf möglich ist. Diese so geschaffene, mehrere Hundert Gesetze umfassende und in Deutschland bisher einzigartige Sammlung von Rechtsvorschriften erfährt eine laufende Aktualisierung und steht allen von den gesetzlichen IT-Sicherheitsanforderungen betroffenen Unternehmen kostenlos zur Verfügung. Die Online-Maske enthält zudem verschiedene Filter, sodass eine einfache Nutzung möglich ist.
Kein Recht ohne Technik, keine Technik ohne Recht
Um Juristen und technischen Anwendern nicht nur einen schnellen und einfachen Überblick über die für sie relevanten Gesetze verschaffen zu können, sondern die Gesetze und die in vielen von ihnen enthaltenen unbestimmten Rechtsbegriffe zu konkretisieren, werden in der nächsten Projektphase der wissenschaftlichen Forschung gezielt sämtliche in den Rechtsvorschriften enthaltenen unbestimmten Rechtsbegriffe wie beispielsweise der „Stand der Technik“ ermittelt und katalogisiert. Darauf basierend erfolgt im Anschluss die Konkretisierung der unbestimmten Rechtsbegriffe mit Technikbezug für sämtliche Sektoren Kritischer Infrastrukturen und Industrie 4.0 in Zusammenarbeit mit verschiedenen Normungsgremien von VDE/DKE. In einer Symbiose aus Recht und Technik sollen hier die Schnittstellen zwischen den Normen und Spezifikationen und den entsprechenden unbestimmten Rechtsbegriffen ermittelt werden, das heißt es wird für jede Generalklausel in jeder relevanten Rechtsvorschrift geprüft, welche Normen und Spezifikationen zur Ausfüllung herangezogen werden können. Nach Abschluss dieses Abgleichs ist es möglich, einen Großteil der Rechtsvorschriften und Normen/Spezifikationen aus den bestehenden Datenbanken zusammenzuführen und dem Anwender zugänglich zu machen.
Der IT-Security Navigator als Maßnahme zur Verbesserung der flächendeckenden IT-Sicherheit
Durch die damit geleistete Forschungsarbeit ist es erstmals möglich, nicht nur sämtliche Rechtsvorschriften zur IT-Sicherheit vollumfassend und einfach systematisiert darzustellen, sondern mit Hilfe der unmittelbar stattfindenden Konkretisierung durch einschlägige technische Normen und Spezifikationen dem Anwender eine sofortige und zuverlässige Erst-Entscheidungshilfe zur Verfügung zu stellen, wie er für ihn möglicherweise verpflichtende IT-Security-Maßnahmen auf angemessene Weise technisch implementieren kann. Das neu geschaffene Werkzeug steht jedem kostenfrei im Internet zur Verfügung. Zudem soll es laufend mit neuen Features ausgestattet werden, wie beispielsweise zusätzlichen Such- und Filteroptionen, der Anzeige weiterer Informationen zu den Normen und Spezifikationen auf Anforderung des Nutzers und einer grafischen Darstellung der Ergebnisse (z. B. zur Aktivität in Gremien/Domänen als Tortendiagramm und als Heat Map; Statistiken zur Zahl der Referenzierungen in Gesetzen und Standards). Da die Praxistauglichkeit der Plattform im Vordergrund steht, erhält auch der Anwender die Möglichkeit zur Mitwirkung, indem er selbst neue Gesetze sowie Normen und Spezifikationen vorschlagen kann, die nach einer Prüfung in die Datenbank implementiert und dort vernetzt werden.
Zusammenfassend stellt Kipker fest: „Der IT-Security-Navigator schafft somit die Voraussetzungen für eine Cybersecurity im Dienste des Menschen – und dies nicht nur in der Zielsetzung, sondern bereits in der Implementierung, indem jeder potenzielle Anwender an die Hand genommen und es ihm erleichtert wird, notwendige IT-Sicherheitsmaßnahmen für jetzt wie auch für die Zukunft zu ergreifen. So können wir zu einer flächendeckenden Verbesserung der IT-Sicherheit in Deutschland beitragen.“
Ansprechpartner:
Dr. Dennis-Kenji Kipker
Institut für Informations-, Gesundheits- und Medizinrecht (IGMR)
Universität Bremen
Universitätsallee GW1
28359 Bremen
Tel.: 0421 218 66049
Mail: {at}