Ein juristischer Kurzbeitrag zur Woche der IT-Sicherheit

Der Begriff der IT-Sicherheit ist nicht mehr nur als Forschungsgegenstand der Informatik zu verstehen, sondern muss im Zeitalter der Digitalisierung und des technologischen Fortschritts von IT-Systemen zunehmend auch Untersuchungsgegenstand weiterer Fachdisziplinen - wie insbesondere der Rechtswissenschaft - werden.  Die verschiedenen Domänen gehen allerdings nach wie vor von unterschiedlichen Begriffen im Bereich der IT-Sicherheit aus. Zudem herrschen divergierende Vorstellungen über eine Auflösung des Konflikts zwischen rechtlichen Vorgaben und technischen Lösungskonzepten. Dieser Beitrag möchte dem Leser die juristische Perspektive aufzeigen, indem aktuelle Forschungsfragen aus dem Bereich der IT-Sicherheit präsentiert werden.
Recht kann Sicherheit schaffen. Rechtsnormen, die verbindliche, klare Regelungen vorgeben, müssen auch im Kontext von modernen IT-Technologien berücksichtigt werden. Sicherheit kann insbesondere dadurch geschaffen werden, indem Recht Rahmenbedingungen setzt. Der rechtliche Rahmen kann dabei jedoch unterschiedliche Handlungsformen - beispielsweise Gesetze, Verordnungen, Richtlinien, Empfehlungen, Stellungnahmen, Steuerung durch Informationen oder Geld - annehmen. Die Spannbreite erstreckt sich insoweit von rechtsverbindlichen Vorgaben (z.B. formelle Parlamentsgesetze) bis hin zu nicht rechtsverbindlichen Vorgaben (z.B. IT-Grundschutz-Katalog). Solche nicht rechtsverbindlichen Vorgaben können aber wiederum faktisch wie Rechtsnormen wirken, sodass sie trotzdem eine hohe Bindungswirkung entfalten.


Ein einheitliches „IT-Sicherheitsgesetz“ gibt es bisher nicht. Derzeit existiert nur ein Entwurf hierzu. Gleichwohl wird die IT-Sicherheit durch eine Vielzahl verschiedener Regelungen geschützt, die allerdings häufig nicht zentral in Erscheinung treten.
So ist beispielsweise das Datenschutzrecht nicht primär auf IT-Sicherheit angelegt. Es dient zunächst dem Schutz der informationellen Selbstbestimmung des Einzelnen. Daneben muss dieses Rechtsgut aber auch durch organisatorische und verfahrensrechtliche Vorkehrungen geschützt werden. Diese wiederum stehen im Kontext von und in enger Verbindung mit IT-Sicherheit. Denn Datenschutz kann nur gewährleistet sein, wenn auch IT-Sicherheit gewährleistet ist.
Die bisherige getrennte Betrachtung der Fachdisziplinen kann an der Schnittstelle zwischen Technik und Recht nicht zielführend sein. Deshalb werden in dem am Karlsruher Institut für Technologie (KIT) angesiedelten Kompetenzzentrum für Angewandte Sicherheitstechnologie (KASTEL) disziplinübergreifende Lösungen erarbeitet. So können Mechanismen bzw. Lösungskonzepte der Informatik (z.B. kryptographische Verfahren) im IT-Sicherheitsrecht verankert und angewendet werden. KASTEL erforscht diese Fragestellungen am Beispiel des Smart Home, des Cloud Computing und der intelligenten Videoüberwachung öffentlicher Räume.


Aktuelle Forschungsfragen im Bereich Cloud Computing sind primär dem eigentlichen Datenschutzrecht zuzuordnen, wenngleich auch hier IT-Sicherheitsprobleme im engeren Sinne auftreten können. Bezüglich der datenschutzrechtlichen Zulässigkeit des Cloud Computing stellt sich insbesondere die Frage, in wessen Verantwortungsbereich die Einhaltung der datenschutzrechtlichen Vorgaben fällt. Schwerpunktmäßig wird hierbei untersucht, wie trotz fehlender Transparenz- und Kontrollmöglichkeiten bei gleichzeitiger Einbeziehung einer Vielzahl an Akteuren die Betroffenenrechte adäquat geschützt werden können. Insoweit muss der Frage nachgegangen werden, wie die Integrität und Vertraulichkeit der Datenverarbeitung auch im Rahmen des Cloud Computings angemessen gewährleistet werden kann. Darüber hinaus beschäftigt sich das Zentrum für Angewandte Rechtswissenschaft (ZAR) mit der Frage der Rechtskonformität grenzüberschreitender Sachverhalte des Cloud Computings, allen voran außerhalb der EU.
Aufgrund europapolitischer Vorgaben im Zusammenhang mit der Umsetzung der Energiewende gilt ein besonderes Augenmerk der rechtskonformen Umsetzung eines intelligenten Messwesens im Bereich der Energieversorgung. Ziel dieser sogenannten Smart Metering Systeme ist es, in einem zukünftigen intelligenten Stromnetz (Smart Grid) durch kommunikative Vernetzung der Verbraucherhaushalte und Marktakteure im Energiesektor verstärkt die Integration erneuerbarer Energien zu fördern, um damit mehr Energieeffizienz zu erreichen. Mit der Einführung intelligenter Zähler in Verbraucherhaushalten wird allerdings auch die Erfassung der aktuellen Energieverbrauchsdaten in Echtzeit möglich. Daher ist die datenschutzkonforme Ausgestaltung von technischen Schutzkonzepten zur Sicherstellung des technischen Datenschutzes zwingend, um die Privatsphäre der Verbraucher sowohl innerhalb eines Smart Home als auch gegenüber den Marktakteuren im Energiesektor zu gewährleisten. Im Rahmen von KASTEL wird daher u.a. untersucht, wie technische Sicherheitskonzepte ausgestaltet sein müssen, um die Umsetzung der rechtlichen Vorgaben erreichen zu können.


Im Bereich der intelligenten Videoüberwachung öffentlicher Räume ist ebenfalls eine Vielzahl rechtlicher Fragen noch ungeklärt, wie Datenschutz und IT-Sicherheit gewährleistet werden können und in welcher Weise Recht und Technik verbunden sein müssen. Auf einfachgesetzlicher Ebene ist § 6 b Bundesdatenschutzgesetz (BDSG) und dessen Verknüpfung mit intelligenten Überwachungskameras zu analysieren. Daneben muss auch der Grundsatz der Datenvermeidung und Datensparsamkeit berücksichtigt werden. Hier kann der gezielte Einsatz datenschutzfreundlicher Technik bereits das Entstehen vermeidbarer Datensammlungen verhindern und damit eine Gefährdung der informationellen Selbstbestimmung der Betroffenen von vornherein minimieren. Ebenso ist der Zusammenhang zu § 6 a BDSG, der ein grundsätzliches Verbot automatisierter Einzelentscheidungen normiert, zu erforschen. Intelligente Überwachungssysteme treffen nämlich häufig solche Entscheidungen. Daneben müssen auch europarechtliche Vorgaben Berücksichtigung finden. An dieser Stelle ist der Entwurf der Europäischen Datenschutzgrundverordnung von Interesse.


Deutlich wird, dass datenschutzrechtliche Fragestellungen im Kontext von IT-Sicherheit sowohl im Rahmen des Smart Home, als auch des Cloud Computing und der intelligenten Videoüberwachung öffentlicher Räume von besonderem Interesse sind. Dementsprechend kann durch Recht mehr Sicherheit geschaffen werden.
Insgesamt zeigt sich somit, dass es ohne rechtliche Rahmenbedingungen keine Sicherheit geben kann. Um sowohl dem Recht als auch der Technik gerecht zu werden, ist eine interdisziplinäre Verknüpfung beider Domänen zweckmäßig. Nur eine fächerübergreifende Zusammenarbeit zwischen Juristen und Technikern kann sicherstellen, dass IT-Sicherheit umfassend gewährleistet ist.

 

von Silvia Balaban, Thomas Bräuchle und Sebastian Bretthauer
Zentrum für Angewandte Rechtswissenschaft (ZAR) Karlsruher Institut für Technologie (KIT)