DE | Deutsch
Wer ist verantwortlich für IT-Sicherheit?
Wo IT eingesetzt und genutzt wird, gibt es neben allen Vorzügen auch immer Risiken und Lücken. Davon ausgehend stellt sich die Frage, welche Akteure Rahmenbedingungen schaffen können, um gesamtverantwortlich Sicherheit zu gewährleisten? Ein Fall für Prof. Dr. Dirk Heckmann, Inhaber des Lehrstuhls für Öffentliches Recht, Sicherheitsrecht und Internetrecht und seit 2006 Direktor am Institut für IT-Sicherheit und Sicherheitsrecht an der Universität Passau.

Artikel teilen

Ohne IT und die damit verbundenen Dienste ist unsere Welt längst nicht mehr vorstellbar. Ob Online-Handel, E-Government oder die Vernetzung im Gesundheitswesen: Digitalisierte Systeme können in vielerlei Hinsicht Vorteile liefern. Zeitgleich bergen sie Risiken mit Blick auf Datenverlust, manipulierte Rechnungen oder lahmgelegte Server – ein Dilemma. Gerade in Szenarien wie Smart Cities entstehen superkritische Infrastrukturen. Um diese zu beherrschen, braucht es klare Regelungen, die helfen, die Verfügbarkeit, Integrität und Vertraulichkeit von Daten und IT-Systemen zu sichern. „Datensicherheit zählt zu den größten Herausforderungen der Neuzeit. Vor allem als Grundlage einer funktionierenden digitalen Gesellschaft. Wir werden zwar nie eine hundertprozentige Sicherheit erreichen, müssen aber dringend mehr investieren“, sagt Prof. Dirk Heckmann. Das Thema ist für ihn mehr als nur eine Frage der Technik – das Aufgabenspektrum sei deutlich breiter zu fassen: Wie bringt man Unternehmen dazu, bessere Software zu entwickeln? Sind Gütesiegel besser als Gebote und Strafen? Wer haftet für Mängel und Schäden? Wer ist für den Schutz der IT-Systeme zuständig?

 

Prof. Dirk Heckmann beschäftigt sich in erster Linie mit der Frage, wer die Gesamtverantwortung für IT-Sicherheit trägt. Wirtschaft, Nutzer, Wissenschaft oder der Staat? Eine sogenannte Staats-IT, bei der staatliche Institutionen verbindliche Regelungen aufstellen und deren Einhaltung kontrollieren – für ihn der falsche Ansatz. Dass auf politischer Ebene ein Rechtsrahmen für ein einheitliches Sicherheitsniveau geschaffen wird, hält er aber für einen wichtigen Grundstein. Auch die Gesellschaft – in Form der IT-Anwender – ist für ihn nicht in der Pflicht, da dieser Gruppe das Technikwissen fehle, um sich ausreichend um Sicherheit kümmern zu können. „Unser Bildungssystem hat hier weitestgehend versagt“, meint der Hochschullehrer und beschreibt, wie die Lösung aussehen könnte: „Das sogenannte Teacher-Konzept sieht vor, dass wir Ausbilder ausbilden. Wir müssen junge Menschen aus der breiten Gesellschaft, die eine gewisse IT-Affinität mitbringen, früh für das Thema IT-Sicherheit sensibilisieren.“

Eigeninteresse und Rechtspflicht

Und die Wirtschaft? In Unternehmen sind immer mehr Prozesse IT-gestützt – von der Produktentwicklung über die Kommunikation bis hin zur Buchhaltung. Die Technologie macht vieles leichter, die Systeme ermöglichen eine effizientere Organisation und Auftragsabwicklung und eröffnen neue Geschäftschancen, Stichwort: digitale Transformation. Im selben Maße erhöht sich allerdings auch das Risikopotenzial. So ist die IT-Infrastruktur nicht nur Bedrohungen von außen, z. B. durch Viren oder gezielte Cyber-Angriffe ausgesetzt. Die Unternehmen müssen auch mit dem Verlust vertraulicher Daten aus den eigenen Reihen und mit Anwendungsfehlern durch die Mitarbeiter rechnen. „Die Sicherheit der IT-Systeme bildet aus diesen Gründen ein zentrales Thema. Ein möglichst hohes Niveau liegt im Eigeninteresse jedes Unternehmens, um Geschäftsabläufe und Betriebsgeheimnisse zu schützen“, sagt Prof. Dirk Heckmann. Für sichere Rahmenbedingungen sorgen dabei in erster Linie die interne IT sowie spezialisierte IT-Security-Abteilungen. Sie können Sicherheit aber nur im eigenen Betrieb, in der Zusammenarbeit mit Partnern und gegenüber Kunden gewährleisten. Die Selbstregulierung der Unternehmen reicht also auch nicht aus, um das Gesamtsystem zu schützen. Eine Chance liegt für Prof. Heckmann aber darin, dass Tech-Konzerne sichere Software und neue Technologien entwickeln, um Nutzerdaten durch Verschlüsselung und Anonymisierung zu sichern.

 
Stärken und Schwächen bei Innovationen.

Bleibt die Wissenschaft, die Leitlinien für die Gewährleistung von IT-Sicherheit entwickeln kann. In den letzten zwei Jahren hat die Universität Passau, unter der Leitung von Prof. Dirk Heckmann, gemeinsam mit Prof. Dr. Thomas Riehm, Lehrstuhl für Deutsches und Europäisches Privatrecht, Zivilverfahrensrecht und Rechtstheorie, und Dr. Anne Paschke, Geschäftsführerin der Forschungsstelle für IT-Recht und Netzpolitik, sowie Ninja Marnau, Senior Researcher am Helmholtz-Zentrum für Informationssicherheit CISPA, Saarbrücken, an möglichen Leitlinien für ein neues IT-Sicherheitsgesetz gearbeitet. Sie sollen relevanten Verbänden, Unternehmen und Institutionen praxisnah zur Diskussion gestellt werden. „Wir erarbeiten ein Konzept zur IT-Sicherheitsregulierung, das eine IT-Sicherheitsinfrastruktur bilden und aufbauen soll. Dazu brauchen wir ein Anreizsystem, das Vorteile verspricht, wenn IT-Sicherheit erhöht wird, etwa durch Steuervorteile oder eine bessere Platzierung von Produkten am Markt. Ich bin der Auffassung, dass IT-Sicherheit nur dann realisiert werden kann, wenn Wissenschaft, Staat, Wirtschaft und Gesellschaft gemeinsam dazu beitragen.“ Für Prof. Dirk Heckmann können dabei Debatten, die Chancen und Risiken gegenüberstellen, ein entscheidender Ansatz sein. „Wenn ich ins Auto steige, muss ich immer damit rechnen, dass es auf der Strecke zu einem Zwischenfall kommen kann. Trotzdem sind wir alle mobil und nehmen das Risiko kalkulierend in Kauf. Aus meiner Sicht eine Methode, die wir auch bei zukünftigen Szenarien wie dem automatisierten Fahren anwenden sollten.“ Chancen rücken für ihn deshalb klar in den Vordergrund. Der Wissenschaftler unterstützt seine These mit einem weiteren Beispiel: „Wenn wir auf Basis moderner Technologie neue Therapieformen entwickeln, die Menschenleben retten, tritt für mich das Risiko eines Datenverlusts klar in den Hintergrund. Wir müssen ein Grundvertrauen in das Gesamtsystem entwickeln. Ich bin jedenfalls überzeugt, dass unsere Gesellschaft einzelne Rückschläge aushalten kann und die Vorteile des technologischen Fortschritts klar überwiegen.“


IT-Sicherheit ist Lebenssicherheit. Ich freue mich sehr, dass wir mit dem BSI Projekt IT-Sicherheitsregulierung ein wichtiges, gesellschaftlich relevantes Forschungsprojekt durchführen dürfen. Es unterstreicht die Forschungsexzellenz der Universität Passau und passt hervorragend in unseren Profilbereich Digitalisierung.“

 

Prof. Dr. Dirk Heckmann

Mit Sicherheit Experten.

 

Thomas Thelen: Im 2015 verabschiedeten IT-Sicherheitsgesetz wurden die Zuständigkeiten des BSI erweitert. Kann oder soll eine staatliche Einrichtung IT-Sicherheit für Staat, Unternehmen und Bürger umfassend gewährleisten? Insbesondere vor dem Hintergrund der Veröffentlichung von Identitäten in den sogenannten #Collections war ja eine stärkere Kontrolle durch den Staat gefordert worden.

 

Prof. Dirk Heckmann: Sie sprechen hier eine ganz fundamentale Frage der IT-Sicherheit an: Wie weit reicht die Verantwortung der einzelnen Akteure wie Staat, Nutzer, Hersteller, Anbieter etc. bei der Sicherstellung von IT-Sicherheit? Zunächst sollte klargestellt werden, dass durch die komplexen Zusammenhänge einem Akteur allein nur in den seltensten Fällen die vollständige Verantwortung zugeschrieben werden kann. Einer ausreichenden IT-Sicherheit kann man sich nur durch ein effektives Zusammenwirken annähern; gewissermaßen eine IT-Sicherheit „zur gesamten Hand“. Auch der Staat trägt einen Verantwortungsanteil, denn dieser ist dazu berufen, für Sicherheit zu sorgen, damit die Bürger ihre Freiheiten nutzen können. Es ist deshalb prinzipiell zu begrüßen, dass der Staat in Form des BSI verstärkt seiner Verantwortung gerecht werden will, zunächst unabhängig davon, wie wirksam das IT-Sicherheitsgesetz im Einzelfall tatsächlich ist. Allerdings muss bedacht werden, dass der Staat nicht immer und überall Schutz vermitteln kann. Entsprechende Maßnahmen und Vorkehrungen seitens der IT-Anwender sind deshalb ebenfalls wichtig. Die Diskussionen rund um die „digitale Bildung“ zeigen allerdings, dass die Nutzer hierzu nicht in die Lage versetzt wurden, weshalb die bisherigen Vorhaben zur Steigerung der IT-Sicherheit nur ein Mosaikstück sein können.

 

Thomas Thelen: Im aktuellen IT-Sicherheitsgesetz, aber auch in der Europäischen Datenschutzgrundverordnung findet sich häufig die Formulierung „Stand der Technik“. Die Handreichung des Bundesverbands IT-Sicherheit e.V. (Teletrust) ist zu deren Verständnis sicherlich ein wichtiger Schritt. Mit Blick auf ein novelliertes IT-Sicherheitsgesetz: Können wir die dynamische technologische Entwicklung verlässlich und rechtssicher beschreiben?

 

Prof. Dirk Heckmann: Der pauschale Verweis auf den Stand der Technik zeigt, dass die Regulierung den Innovationen vielfach hinterherhinkt. Es gibt zwar einige Lösungsmöglichkeiten, wie z. B. eine rechtlich anerkannte Standardisierung und Zertifizierung. Diese sind schneller anpassungsfähig als Gesetze oder Verordnungen. Allerdings ist auch hier der Innnovationszyklus viel zu schnell, sodass Standards rasch veralten. Der Verweis auf den Stand der Technik bietet hier weniger Rechtssicherheit, hat aber einen großen Vorteil: Im Vergleich zu starren Standards oder regulatorischen Vorgaben hält er Innovationen nicht auf.

 

Thomas Thelen: Sie sind auch in der Ethikkommission zum Automatisierten Fahren des Bundesministeriums für Verkehr und digitale Infrastruktur. Dabei wird häufig von möglichen Schäden durch autonome Fahrzeuge gesprochen. Gibt es hier auch eine Gegenrechnung? Zum Beispiel, wie viele Unfälle durch die schnelle Reaktion eines autonomen Fahrzeugs vermieden werden können? Und wie lassen sich die Haftungsfragen beim Einsatz neuartiger Technologie greifen?

 

Prof. Dirk Heckmann: Vor dem tatsächlichen Einsatz der Technologie sind Zahlen nur schwer abzuschätzen, zumal die Entwicklung im Bereich automatisierten Fahrens längst noch nicht abgeschlossen ist. Allerdings können Schäden niemals gänzlich ausgeschlossen werden. Ziel muss es daher sein, das Risiko zu verringern. Sollten sich automatisierte Fahrsysteme zukünftig als derart zuverlässig herausstellen, dass die Zahl der Unfälle verringert werden kann, dann kann der Einsatz vielleicht sogar geboten erscheinen. Die Ethikkommission hat sich hierzu in ihrem Bereich ausführlich geäußert. Die Fahrzeuge sollten wegen eventueller Schadensfälle auch nicht zu juristischen Personen „heraufgestuft“ werden. Dann würde es sich um ein kaum zu rechtfertigendes Outsourcing von Verantwortung für die eingesetzte Technologie handeln. Darüber hinaus ist das bisherige Modell mit der Gefährdungshaftung für gesellschaftlich akzeptierte Risiken und einer Pflichtversicherung bewährt. Insoweit besteht kein Anlass, dieses System auf den Kopf zu stellen.

 

Thomas Thelen: In Ihren verschiedenen Funktionen haben Sie auch Einblick in kritische Infrastrukturen. Im Kreis der IT-Sicherheitskundigen ist die Quote derer, die für Notfälle aller Art – einschließlich Stromausfällen – Reserven vorhalten, sehr hoch. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe gibt sogar eine Checkliste hierzu heraus. Haben Sie einen Stromgenerator und Lebensmittel für zehn Tage im Keller?

 

Prof. Dirk Heckmann: Ich habe keinen Stromgenerator, aber Batterien für die Taschenlampe, Kerzen, Holz für den Kachelofen sowie Lebensmittel für mehr als 10 Tage – wenn hierzu auch Schokolade und ein guter Wein zählen.

 

Dirk Heckmann ist seit 1996 Inhaber des Lehrstuhls für Öffentliches Recht, Sicherheitsrecht und Internetrecht und seit 2006 Direktor im Institut für IT-Sicherheit und Sicherheitsrecht an der Universität Passau. Dort leitet er auch die Forschungsstelle For..Net für IT-Recht und Netzpolitik. Seit 2007 gehört er zum Expertenkreis des Nationalen IT-Gipfels der Bundesregierung; 2018 folgte die Berufung in die Datenethikkommission. Er ist seit 2014 Vorsitzender der Deutschen Gesellschaft für Recht und Informatik und seit Oktober 2018 Direktor am Bayerischen Forschungsinstitut für Digitale Transformation in München. Zum 1. Oktober 2019 wechselt er an die TU München auf den neu errichteten Lehrstuhl für Recht und Sicherheit der Digitalisierung, wo er seine interdisziplinäre Lehre und Forschung in einem exzellenten Umfeld fortsetzt. Seine Lehr- und Forschungsschwerpunkte liegen im Schnittfeld von IT und Recht, insbesondere im Datenschutzrecht, IT-Sicherheitsrecht, E-Government, Persönlichkeitsschutz sowie E-Health.

 

Bild: Prof. Dr. Dirk Heckmann auf der Smart Country Convention © Smart Country Convention

 

Der Diplom-Kaufmann Thomas Thelen forschte bis 2001 für den Lehrstuhl für Informationsmanagement der Universität zu Köln im Bereich E-Government. Bis 2004 arbeitete er als Projektleiter der nrw medien GmbH für die Landesregierung Nordrhein-Westfalen. Seit 2005 berät er Unternehmen und Verwaltungen im Bereich Infrastrukturen und IT-Security, seit 2012 mit dem Schwerpunkt Zertifizierungen nach ISO 27.001 und IT-Grundschutz. Seit 2018 leitet er die Abteilung IT Security des Bechtle IT-Systemhauses Bonn. Er hält zahlreiche Zertifizierungen: z.B. CISM, T.I.S.P., Cobit Practitioner, ITIL Practitioner, ISO 27001 Lead Auditor, V-Modell XT PRO und TOGAF.

 

 

 

 

 

 

 

Ansprechpartner.

Bechtle update Redaktion
update@bechtle.com

 

Auch interessant.

 

Newsletter. 

Erhalten Sie die besten Artikel aus dem Bechtle update alle zwei Monate direkt in Ihr Postfach. Hier geht's zur Anmeldung:
 

NEWSLETTER

 

 

Weitere aktuelle Themen.

Fünf C für die Cloud-Security.

It-sa 2019: Zukunfts-Sicherheit aus einer Hand.

Modern Workplace: Sicher? Offen? Beides!

Veröffentlicht am 08.10.2019.