Project Details
Projekt Print View

Regulating Information Security. Keeping Public and Private Data Safe

Subject Area Public Law
Term from 2016 to 2022
Project identifier Deutsche Forschungsgemeinschaft (DFG) - Project number 320727003
 
Final Report Year 2022

Final Report Abstract

In einer umfassend digitalisierten und vernetzten Welt ist Informationssicherheit systemrelevant. Angesichts der sich stetig verschärfenden Informationssicherheitskrise ist konsentiert, dass die bisherigen, primär informellen Strategien nicht ausreichen. Unions- und Bundesgesetzgeber haben dementsprechend in jüngerer Zeit umfangreiche regulatorische Aktivitäten entfaltet. Inwieweit diese effektiv zur Reduktion von Informationssicherheitsrisiken beitragen, ist jedoch noch ungeklärt. Das vorliegende Projekt hat zum einen Grundzüge eines regulatorischen Schutzkonzepts erarbeitet, das dem europäischen und nationalen Informationssicherheitsgesetzgeber als Bewertungsmaßstab dienen kann. Zum anderen wurde analysiert, an welchen konstitutionellen Rahmenbedingungen sich der Gesetzgeber in diesem Zusammenhang orientieren muss. Entscheidend für effektive Regulierung ist eine Neubestimmung der Aufgabe Informationssicherheit. Hierzu entwickelt die Untersuchung ein Schichtenmodell, wie es sich bereits in anderen Feldern der Digitalregulierung als analytisches Instrument bewährt hat. Die erste Schicht umfasst den System- und Netzwerkschutz. Die zweite Schicht bildet die Komponentensicherheit. Drittens müssen jene Kommunikationsarchitekturen sicher sein, die den Rahmen für die Kommunikation zwischen Netzwerken setzen (Internetsicherheit). Hierauf aufbauend werden schichtenspezifische Pflichtenprogramme entwickelt und übergreifende Probleme der Informationssicherheitsregulierung geklärt. Die Untersuchung identifiziert folgende Entwicklungsperspektiven für das Recht der Informationssicherheit: Die Europäisierung der Rechtssetzung in Sachen Informationssicherheit ist aufgabenangemessen und kompetenzrechtlich regelmäßig unbedenklich. Eine Pluralisierung der Regulierung, die den jeweiligen Regulierungskontexten größere Aufmerksamkeit widmet, ist überfällig. Gleiches gilt für eine stärkere Institutionalisierung. Diese muss sowohl den Auf- und Ausbau spezialisierter Fachbehörden als auch die Etablierung breiter Verbundstrukturen umfassen. Soweit die Bemühungen des Staates um die Informationssicherheit mit staatlichen Bestrebungen kollidieren, IT-Schwachstellen für eigene Zwecke auszunutzen, ist einer konsequent auf ein defensives IT-Sicherheitsverständnis ausgerichteten Informationssicherheitspolitik der Vorzug zu geben.

Publications

 
 

Additional Information

Textvergrößerung und Kontrastanpassung