Bewusstsein für IT-Sicherheit messen
Wie sicher die IT-Infrastruktur ist, oder wie erfolgreich letztlich eine Attacke auf die Software für den "Hacker" ausgeht, ist nicht allein eine Frage der Technik. Der Erfolg eines Cyberangriffs hängt wesentlich auch von den IT-Nutzern und ihrem Bewusstsein für IT-Sicherheit ab. Medienrechtler der Westfälischen Wilhelms-Universität Münster (WWU) sind an einem Forschungsprojekt beteiligt, das dieses Bewusstsein messbar machen will. Für die WWU, die in dem Forschungsprojekt für eine umfassende juristische Beratung zuständig ist, leitet Prof. Dr. Franziska Boehm die Arbeitsgruppe, die dafür mit 287.000 Euro gefördert wird. Das Projekt ist bis Ende 2017 geplant und erhält insgesamt vom Bundesministerium für Bildung und Forschung (BMBF) 2,24 Millionen Euro.
Die zu entwickelnden Messmethoden sollen ermitteln, inwieweit die IT-Nutzer die IT-Sicherheit eines Unternehmens oder einer Institution beeinflussen. Dieses Wissen ist grundlegend für die Entwicklung erfolgreicher IT-Sicherheitsstrategien. Die Federführung des interdisziplinären Projekts "IT-Security Awareness Penetration Testing (ITS.APT)" liegt bei der Universität Bonn.
"Das Bewusstsein für IT-Sicherheit lässt sich am besten messen, wenn die Nutzer nichts von der Messung wissen", weiß Juniorprofessorin Franziska Boehm. Aber: "Solch eine verdeckte Messung wirft unter anderem arbeits- und datenschutzrechtliche Fragen auf, die zuvor geklärt werden müssen." Von der Entwicklung bis zur späteren Anwendung der Messsoftware stellt sich eine Vielzahl rechtlicher Fragen, die es zu klären gilt.
Die Arbeitsgruppe am Institut für Informations-, Telekommunikations- und Medienrecht der WWU erforscht zudem, welche haftungsrechtlichen Aspekte mit der Nutzung solch einer Messsoftware verbunden sind. Haftungsfolgen können entstehen, wenn durch die Softwarenutzung Daten zerstört, verändert oder gelöscht werden. Außerdem übernehmen die Rechtswissenschaftler die juristische Beratung in weiteren Fragen rund um das Projekt.
An dem Forschungsprojekt sind neben Bonn und Münster auch das "Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein" (Kiel), die "Enno Rey Netzwerke GmbH" (Heidelberg), das Universitätsklinikum Schleswig-Holstein (Lübeck) und die Universität Duisburg-Essen beteiligt.