Zusammenfassung der Projektergebnisse

In einer umfassend digitalisierten und vernetzten Welt ist Informationssicherheit systemrelevant. Angesichts der sich stetig verschärfenden Informationssicherheitskrise ist konsentiert, dass die bisherigen, primär informellen Strategien nicht ausreichen. Unions- und Bundesgesetzgeber haben dementsprechend in jüngerer Zeit umfangreiche regulatorische Aktivitäten entfaltet. Inwieweit diese effektiv zur Reduktion von Informationssicherheitsrisiken beitragen, ist jedoch noch ungeklärt. Das vorliegende Projekt hat zum einen Grundzüge eines regulatorischen Schutzkonzepts erarbeitet, das dem europäischen und nationalen Informationssicherheitsgesetzgeber als Bewertungsmaßstab dienen kann. Zum anderen wurde analysiert, an welchen konstitutionellen Rahmenbedingungen sich der Gesetzgeber in diesem Zusammenhang orientieren muss. Entscheidend für effektive Regulierung ist eine Neubestimmung der Aufgabe Informationssicherheit. Hierzu entwickelt die Untersuchung ein Schichtenmodell, wie es sich bereits in anderen Feldern der Digitalregulierung als analytisches Instrument bewährt hat. Die erste Schicht umfasst den System- und Netzwerkschutz. Die zweite Schicht bildet die Komponentensicherheit. Drittens müssen jene Kommunikationsarchitekturen sicher sein, die den Rahmen für die Kommunikation zwischen Netzwerken setzen (Internetsicherheit). Hierauf aufbauend werden schichtenspezifische Pflichtenprogramme entwickelt und übergreifende Probleme der Informationssicherheitsregulierung geklärt. Die Untersuchung identifiziert folgende Entwicklungsperspektiven für das Recht der Informationssicherheit: Die Europäisierung der Rechtssetzung in Sachen Informationssicherheit ist aufgabenangemessen und kompetenzrechtlich regelmäßig unbedenklich. Eine Pluralisierung der Regulierung, die den jeweiligen Regulierungskontexten größere Aufmerksamkeit widmet, ist überfällig. Gleiches gilt für eine stärkere Institutionalisierung. Diese muss sowohl den Auf- und Ausbau spezialisierter Fachbehörden als auch die Etablierung breiter Verbundstrukturen umfassen. Soweit die Bemühungen des Staates um die Informationssicherheit mit staatlichen Bestrebungen kollidieren, IT-Schwachstellen für eigene Zwecke auszunutzen, ist einer konsequent auf ein defensives IT-Sicherheitsverständnis ausgerichteten Informationssicherheitspolitik der Vorzug zu geben.

Projektbezogene Publikationen (Auswahl)

• Informationssicherheitsrecht. IT-Sicherheitsgesetz und NIS-Richtlinie als Elemente eines Ordnungsrechts für die Informationsgesellschaft, in: Die Verwaltung 50 (2017), S. 155–188
  Thomas Wischmeyer
  
• Überwachung ohne Grenzen. Zu den rechtlichen Grundlagen nachrichtendienstlicher Tätigkeiten in den USA, Nomos Verlag, Baden-Baden 2017
  Thomas Wischmeyer
  
• Regulierung intelligenter Systeme, in: Archiv des öffentlichen Rechts 143/1 (2018), S. 1–66
  Thomas Wischmeyer
  
• Das Recht der Informationssicherheit, in: Walter Frenz (Hrsg.), Handbuch Industrie 4.0, Springer 2020, S. 215–236
  Thomas Wischmeyer, Alica Mohnert
  
• Informationsbeziehungen in der Verwaltung, in: Martin Eifert/Christoph Möllers/Andreas Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, 3. Aufl. 2022, § 24, S. 1743–1798
  Thomas Wischmeyer