Nr. 152 / 9. August 2017 JS
Wie wichtig die Absicherung von IT-Systemen gegen Angriffe von außen ist, demonstrierte zuletzt die Schadsoftware „WannaCry“ auf Bahnhöfen im gesamten Bundesgebiet. Viele Unternehmen sind jedoch von den gesetzlichen Vorschriften zur Cybersicherheit überfordert, da sie nicht über das entsprechende Fachwissen verfügen. Eine große Hürde ist die Übersetzung der juristischen Vorgaben in konkrete technische Maßnahmen. „Insbesondere kleine und mittelständische Unternehmen sind oftmals auf sich allein gestellt“, sagt Dr. Dennis-Kenji Kipker, Wissenschaftlicher Geschäftsführer des Instituts für Informations-, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen, fest. Diesem Problem widmet sich der IT-Security-Navigator. Er schlägt eine Brücke zwischen gesetzlichen Vorschriften und technischen Normen. Damit unterstützt er insbesondere kleine und mittelständische Unternehmen bei der Realisierung flächendeckender Cybersicherheit. Der Navigator wurde im Rahmen des BMBF-Förderschwerpunkts IT-Sicherheit für Kritische Infrastrukturen (ITSKRITIS) an der Universität Bremen sowie vom Verband der Elektrotechnik, Elektronik und Informationstechnik e.V. (VDE) und der Deutschen Kommission Elektrotechnik, Elektronik und Informationstechnik (DKE) entwickelt.
Rechtliche Vorgaben strukturiert aufbereitet
Für die Entwicklung des IT-Security-Navigators sind zunächst sämtliche relevanten Rechtsvorschriften im Europa-, Bundes- und Landesrecht ermittelt worden. „Wir haben die Gesetzestexte nach Kategorien wie Rechtsetzungsinstanz und Anwenderrelevanz sortiert“, erklärt Kipker. „Die für den Betrieb entscheidenden Vorgaben lassen sich so schnell und einfach abrufen.“ Aus den Ergebnissen lassen sich dann die entsprechenden technischen Maßnahmen ableiten. Diese so geschaffene, mehrere Hundert Gesetze umfassende und in Deutschland bisher einzigartige Sammlung von Rechtsvorschriften wird laufend aktualisiert und steht allen von den gesetzlichen IT-Sicherheitsanforderungen betroffenen Unternehmen kostenlos zur Verfügung. Der IT-Security-Navigator ist ab sofort unter der URL https://www.itsecuritynavigator.de/ erreichbar.
Navigator erleichtert Entscheidung für konkrete technische Maßnahmen
Mit dem Sammeln und Sortieren der Gesetze ist die erste Phase des Projekts abgeschlossen. In der nächsten Projektphase werden sämtliche in den Rechtsvorschriften enthaltenen unbestimmten Rechtsbegriffe wie beispielsweise der „Stand der Technik“ ermittelt und katalogisiert. Diese Begriffe werden dann konkretisiert und auf die entsprechenden Normen und Anforderungen bezogen. Das bedeutet: Es wird für jede Generalklausel in allen relevanten Rechtsvorschriften geprüft, welche Normen zur Ausfüllung herangezogen werden können. Somit können Unternehmen mithilfe des IT-Navigators zunächst die für sie relevanten Vorgaben zusammenstellen und dann die entsprechenden technischen Maßnahmen definieren.
Weitere geplante Funktionen des IT-Security-Navigators sind zusätzliche Filter- und Suchoptionen, eine noch umfassendere Darstellung der Informationen sowie ein Feedback-System, mit dem Nutzer neue Gesetze sowie Normen und Spezifikationen vorschlagen können. Diese werden nach einer Prüfung in die Datenbank implementiert und dort vernetzt.
Zusammenfassend stellt Kipker fest: „Der IT-Security-Navigator schafft die Voraussetzungen für eine Cybersecurity im Dienste des Menschen. Der potenzielle Anwender wird an die Hand genommen und es wird ihm erleichtert, notwendige IT-Sicherheitsmaßnahmen aktuell wie auch für die Zukunft zu ergreifen. So können wir zu einer flächendeckenden Verbesserung der IT-Sicherheit in Deutschland beitragen.“
Weitere Informationen:
Universität Bremen
Institut für Informations-, Gesundheits- und Medizinrecht (IGMR)
Dr. Dennis-Kenji Kipker
Tel.: 0421/218-66049
E-Mail: kipkerprotect me ?!uni-bremenprotect me ?!.de
https://www.itsecuritynavigator.de/