BSI-Studie zu IT-Sicherheit

Die digitale Transformation betrifft alle Lebensbereiche und bietet dabei nicht nur erhebliche Vorteile, sondern birgt mindestens ebenso große Risiken: Was ist, wenn die beim größten Online-Shop gespeicherten Kreditkartendaten der Kunden aufgrund eines Softwarefehlers in falsche Hände geraten, autonome Fahrzeuge aufgrund von Systemabstürzen Verkehrsunfälle verursachen oder die Steuerungssoftware der lokalen Trinkwasserversorgung gehackt wird, betroffene Softwarehersteller aber die zur Abhilfe erforderlichen Updates nicht liefern (können)? Solche Szenarien zeigen einerseits auf, wie weit die digitale Transformation in den Alltag vorgedrungen ist und führen zum anderen vor Augen, dass das Fehlen von IT-Sicherheit, verstanden als Verfügbarkeit, Integrität und Vertraulichkeit von Daten und IT-Systemen, erhebliche Beeinträchtigungen sowohl für ihre unmittelbaren Nutzer als auch für unbeteiligte Dritte zur Folge haben kann.

IT-Sicherheit ist in diesem Zusammenhang aber mehr als nur eine Frage der Technik, sie ist auch eine juristische Herausforderung, mit der zahlreiche rechtliche Fragen einhergehen: Welche sind die bestehenden IT-Sicherheitsvorschriften sowohl im öffentlichen Recht als auch im Privatrecht und wie wirken sie sich auf die IT-Sicherheit in Deutschland aus? Sind diese gesetzlichen Vorgaben für ein hohes IT-Sicherheitsniveau in Deutschland ausreichend? Wo besteht auf deutscher oder sogar EU-Ebene möglicherweise ein rechtlicher Regulierungsbedarf und welche konkreten Maßnahmen und Regelungen versprechen an dieser Stelle den größten Erfolg in Hinblick auf die Erhöhung der IT-Sicherheitslage? Um solche Fragen zu klären und Eckpunkte für die künftige Regulierung der IT-Sicherheit zu entwickeln, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer europaweiten Ausschreibung Forschungsmittel für eine wissenschaftliche Studie vergeben. Den Zuschlag für das 400.000-Euro-Vorhaben erhielt die Universität Passau unter der Projektleitung von Professor Dr. Dirk Heckmann.

„IT-Sicherheit ist Lebenssicherheit“, sagt Projektleiter Heckmann. „Ich freue mich sehr, dass wir dieses wichtige, gesellschaftlich relevante Forschungsprojekt durchführen dürfen. Es unterstreicht die Forschungsexzellenz der Universität Passau und passt hervorragend in deren Profilbereich Digitalisierung.“ Gemeinsam mit Professor Dr. Riehm (Lehrstuhl für Deutsches und Europäisches Privatrecht, Zivilverfahrensrecht und Rechtstheorie), Anne Paschke (Geschäftsführerin der Forschungsstelle für IT-Recht und Netzpolitik) sowie Ninja Marnau (Senior Researcher am Center for IT-Security, Privacy and Accountabilty CISPA, Saarbrücken) setzte sich das fächerübergreifende Projektteam mit den aufgeworfenen Forschungsfragen auseinander. Begleitet wurde das Forschungsprojekt von insgesamt drei (Branchen-)Workshops mit Vertretern aus der Praxis. Die Forschungsergebnisse wurden schließlich in einer knapp 700 Seiten umfassenden Studie – mit konkreten Handlungsempfehlungen zur IT-Sicherheitsregulierung – festgehalten, die zum Abschluss des Projekts am 12.12.2019 in Bonn dem BSI überreicht wurde.