Dr. Dennis-Kenji Kipker, Was ist Cybersecurity? Und was hat das mit Recht zu tun?

IT und Rechtsblog: Sie haben neulich ein umfassendes Rechtshandbuch zum Thema Cybersecurity herausgebracht (Erschienen: 22.04.2020). Als Jurist, wohl gemerkt! Wer sind Sie und was machen Sie?

Dennis Kenji-Kipker: Tatsächlich das „klassische“ Jurastudium, aber nebenher habe ich einige Semester Informatik belegt. Warum? Rechtsfragen sind gerade im IT-Recht eben keine klassischen Rechtsfragen mehr, sondern erfordern immer mehr Interdisziplinarität. Deshalb arbeite ich an der Schnittstelle von Recht und Technik, und versuche, Wissenschaft und Anwendungspraxis zusammenzubringen. Das erklärt auch meine verschiedenen beruflichen Zugehörigkeiten zu unterschiedlichen Einrichtungen, so zum VDE als Legal Advisor, als Wissenschaftlicher Geschäftsführer an der Universität Bremen und als Geschäftsführer des IT-Beratungsunternehmens Certavo GmbH in Bremen.

„Ohne Datensicherheit kann es folglich auch keinen Datenschutz im Sinne einer gelebten informationellen Selbstbestimmung geben.“

IT und Rechtsblog: Was ist Cybersecurity? Helen Nissenbaum, Professor für Informationswissenschaften an der Cornell Tech, spricht hier von „technischer Sicherheit“? Was sind die zentralen Schutzziele? 

Dennis Kenji-Kipker: Man muss ganz ehrlich sagen: in den letzten Jahren wurde das Begriffsverständnis mit der zunehmenden Popularität des Themas gründlich durcheinandergewirbelt. Manch einer spricht gar davon, dass die „Mediensprache“ die Begriffsdefinitionen kaputt gemacht habe.

Die zentralen Schutzziele sind letztlich immer die gleichen: Authentizität, Integrität, Vertraulichkeit, Verfügbarkeit, Nichtabstreitbarkeit – aber der Kontext, innerhalb dessen sie verwendet werden, eben immer unterschiedlich. Genau dieses Begriffsverständnis zu klären, war mir von Anfang an ein ganz zentrales Anliegen, denn wenn ich nicht einmal definieren/erklären kann, worüber ich eigentlich spreche, kann ich auch nicht angemessen auf Bedrohungen reagieren und Gegenmaßnahmen ergreifen. Deshalb finden sich zugleich auf den ersten Seiten des Buches die zentralen Begriffsdefinitionen erklärt – so wie ich sie verstehe, und so wie man sie generell verstehen kann:

Die Cyber-Sicherheit kann mittlerweile wohl als genereller Oberbegriff beschrieben werden und ist inhaltlich am weitesten gefasst. So greift die Cyber-Sicherheit alle Themenfelder sowohl der IT-Sicherheit, der Informationssicherheit, der Datensicherheit als auch des Datenschutzes im weitesten Sinne mit jeweils unterschiedlicher Granularität auf und befasst sich somit generell mit der Sicherheit von Datenverarbeitungsvorgängen im heutzutage nicht mehr wegzudenkenden digitalen und allseits vernetzten Raum.

Die IT-Sicherheit bezweckt die Sicherheit speziell von IT-Systemen. Ein Beispiel ist die Absicherung von Industriesteuerungssystemen für Produktionsvorgänge gegen Angriffe von außen.

Die Unterscheidung zwischen IT- und Cyber-Sicherheit im Zeitalter allgegenwärtiger Vernetzung ist jedoch nicht immer trennscharf und damit auch nicht unumstritten. Von einem normativen Anknüpfungspunkt ausgehend wird der englische Begriff der „cyber security“ mit IT-Sicherheit übersetzt und umfasst den Schutz von Daten in Rechner- und Informationssystemen vor Verlust oder Zerstörung, verursacht durch vorsätzliche oder nicht vorsätzliche Handlungen durch nicht autorisierte oder böswillige Personen.

Die Informationssicherheit befasst sich mit der Sicherheit von in Daten enthaltenen Informationen vor unbefugten Offenlegungen, Übermittlungen, Veränderungen und/oder Zerstörungen – unabhängig davon, ob die in den Daten enthaltenen Informationen einen Personenbezug aufweisen und ob die Informationen digital bzw. online/offline verarbeitet werden. Daher gilt die Informationssicherheit z.B. auch für in Papierform übertragene Informationen. Die aus der technischen Normung stammende Definition der „information security“ geht an dieser Stelle in eine ähnliche Richtung, indem die Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Information geschützt wird. IT-Sicherheit und Informationssicherheit können einander bedingen, soweit eine digitale Datenverarbeitung erfolgt.

Die Datensicherheit wird vornehmlich durch das Datenschutzrecht adressiert und verfügt so gesehen – soweit es um Aspekte der Cyber-Sicherheit mit einem technisch-organisatorischen Bezug geht – über die engste Verbindung zum Schutz von personenbezogenen Daten. Datensicherheit umfasst die Absicherung persönlicher Informationen gegen unbefugte Offenlegungen, Übermittlungen, Veränderungen und/oder Zerstörungen sowohl vorsätzlicher als auch fahrlässiger Art, und ist damit „untrennbarer Bestandteil“ des Datenschutzes. Teils wird Datensicherheit definitorisch auch im Sinne der Informationssicherheit verstanden, was einem deutlichen Begriffsverständnis aber nicht förderlich ist.

Der Datenschutz im engeren Sinne setzt sich weniger mit der Frage auseinander, wie personenbezogene Daten physisch geschützt werden können, sondern konzentriert sich vorrangig auf die Voraussetzungen, die juristisch an die Ausübung der verfassungsrechtlich gewährleisteten informationellen Selbstbestimmung anzulegen sind, so z.B. Fragen der datenschutzrechtlichen Einwilligung des Betroffenen. Da jedoch ein angemessenes Datenschutzniveau stets voraussetzt, dass auch technisch-organisatorische Maßnahmen der Datensicherheit getroffen werden, gehen beide oftmals Hand in Hand:

Ohne Datensicherheit kann es folglich auch keinen Datenschutz im Sinne einer gelebten informationellen Selbstbestimmung geben.

IT und Rechtsblog: Wieso ist das aber auch ein Thema für Juristen? In welche Gesetze schaut ein „Cybersecurity-Jurist“?

Dennis Kenji-Kipker: Die IT durchzieht unser aller Leben immer stärker, sowohl privat als auch beruflich. Man sieht es ja auch ganz aktuell an der Corona-Krise: dass man sich online trifft und austauscht, Besprechungen abhält, Entscheidungen trifft, unterrichtet und Vorlesungen gibt, Konferenzen abhält, das ist auf einmal alles ganz normal. Damit steigen natürlich – und wenig überraschend – auch die Risiken. Und dabei geht es schon lange nicht mehr nur um vertragliche Regelungen oder um Haftungsfragen, sondern mehr und mehr schafft auch das öffentliche Recht Verpflichtungen zu cyber-sicheren und datenschutzkonformen Systemen. Und Cybersicherheit ist immer mehr auch eine unternehmerische Sorgfaltspflicht, die in Generalklauseln z.B. aus dem Aktienrecht oder dem GmbHG hineingelesen werden kann. Die Cybersicherheit wird wie der Datenschutz mehr und mehr auch Verkaufsargument. Und es gibt zum Thema sichere IT-Systeme nur einen bisher sehr begrenzten Fundus gerichtlicher Entscheidungen, die sich konkret damit befassen. Kurzum: Es gibt immer mehr Handlungsfelder für den Cybersecurity-Juristen. Und das dürfte gerade auch für Berufsanfänger deshalb immer interessanter werden.

IT und Rechtsblog: Mit welchen typischen Szenarien beschäftigen Sie sich? Was sind die zentralen Themen im Cybersicherheitsrecht?

Dennis Kenji-Kipker: Die zentralen Themen sind vielfältig, da theoretisch jeder Betroffener eines Cybersicherheitsvorfalls werden kann: Angefangen bei der Privatperson, über Selbstständige/Freiberufler/KMU, Großkonzerne, bis hin zu Kritischen Infrastrukturen. Deshalb gibt es auch nicht das eine typische Szenario, da die Risiko- und Schadenslagen für den Einzelfall ganz anders liegen können.

Was man aber sagen kann: Angreifer wählen nicht danach aus, ob es sich um eine Privatperson, ein kleines oder großes Unternehmen handelt – dort, wo es etwas zu holen gibt, steigt man ein. Ich denke, dass wir hier gerade bei vielen kleinen Unternehmen und Selbstständigen noch ganz am Anfang stehen, was Awareness Building angeht, gerade auch in an sich „IT-fernen“ Branchen.

„Wir leben in einem Cybersecurity-Zeitalter, denn je mehr die Leute in ihr digitales Gedächtnis auslagern und Remote-Ressourcen nutzen, umso abhängiger werden wir vom ordnungsmäßigen Funktionieren technischer Geräte.„

IT und Rechtsblog: Erleben wir in diesen epidemischen Zeiten durch die Verlagerung der Arbeit ins Home Office (Remote Arbeit) ein Cybersecurity Revival?

Dennis Kenji-Kipker: Ich würde das nicht „Revival“ nennen, denn die Bedeutung der Cybersecurity ist in den letzten Jahren stetig gewachsen. Für mich ging es eigentlich mit „Stuxnet“ los, ein Cybersecurity-Vorfall, der erstmals groß und weltweit durch die Medien gegangen ist. Die meisten Leute kannten das BSI (Bundesamt für Sicherheit in der Informationstechnik) vor zehn Jahren nicht, heute taucht es andauernd in der Berichterstattung zum Thema auf, und allenthalben berichten die Medien über Datenleaks, unsichere IoT, Software etc. Und in Corona-Zeiten geht es um sichere Konferenztools und um den Kampf gegen Fake News und Dark Social. Wir leben in einem Cybersecurity-Zeitalter, denn je mehr die Leute in ihr digitales Gedächtnis auslagern und Remote-Ressourcen nutzen, umso abhängiger werden wir vom ordnungsmäßigen Funktionieren technischer Geräte.

IT und Rechtsblog: Ab dem 25. Mai 2018 war die Datenschutzgrundverordnung anzuwenden. Am 26. April 2019 ist das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten. Beide Gesetze fordern eines: Mehr Datensicherheit, mehr IT-Security. Das GeschGehG geht noch weiter und betrachtet nicht ausreichend geschützte Geschäftsgeheimnisse, nicht mehr als Geschäftsgeheimnisse. Wer nicht ausreichend schützt, verliert die Rechtsansprüche darauf.

Aber was heißt eigentlich „nicht ausreichend geschützt“, und was ist der „Stand der Technik“?

Dennis Kenji-Kipker: Das ist tatsächlich eine Frage, wo der Jurist – aber wohlgemerkt auch der Gesetzgeber – an seine Grenzen stößt. Das Gesetz kann nicht regulieren, was Stand der Technik ist. Der Stand der Technik ist einzelfallabhängig, und kann sich stündlich, gar minütlich ändern, wenn z.B. neue Schwachstellen gefunden werden, die so vorher nicht bekannt waren. Deshalb hat hier eine einmal ergangene Rechtsprechung in Bezug auf eine konkrete Maßnahme auch nur einen sehr begrenzten Aussagewert. Was hier nur Abhilfe leisten kann, ist eine noch stärkere Vernetzung der juristischen und der technischen Disziplinen – und das bereits in der Ausbildung zum Beruf! Nur so können wir dafür sorgen, dass IT-Juristen auch zukünftig in der Lage sind, technische Sachverhalte einwandfrei rechtlich zu subsumieren. Und hier hat die Juristerei in meinen Augen noch einen sehr weiten Weg vor sich.

IT und Rechtsblog: Datenschutzgesetze enthalten zunehmend Abschreckungs- und Zwangsmaßnahmen (Verbot der Verarbeitung, Vernichtung von Daten, Begrenzungen der territorialen Strömen). Wird der Trend zu mehr Datenschutz die Cybersecurity positiv beeinflussen?

Dennis Kenji-Kipker: Datenschutz und Datensicherheit hängen ganz eng miteinander zusammen. Was nützt mir meine Einwilligung, meine informationelle Selbstbestimmung, wenn die Patientenakte nach meiner Behandlung ungeschreddert im Müllsack vor dem Krankenhaus an der Straße landet? Ohne Datensicherheit gibt es keinen Datenschutz, und diesen Weg geht auch ganz eindeutig die DS-GVO. Also wäre meine Antwort: Nicht der Trend zu mehr Datenschutz beeinflusst die Datensicherheit positiv, sondern vor allem die Tendenz zu mehr Datensicherheit wird auch zu Vorteilen beim Datenschutz gerade hier in der EU führen. Und man darf auch nicht unterschätzen: „Made in Europe“ wird mit Sicherheit zukünftig ein Wettbewerbsvorteil sein, wenn es um diese Fragen geht. Nicht umsonst haben wir eines der weltweit höchsten gesetzlich geforderten Niveaus für Datensicherheit und Datenschutz. Politik und Gesetzgeber sind hier zurzeit sehr aktiv, und das hat auch Vorbildcharakter für andere Staaten weltweit.

IT und Rechtsblog:The Future of Cybersecurity. Was halten Sie von den neuen Trends wie Blockchain, Quantencomputing, IoT oder KI?Wird das die Cybersecurity-Welt auf den Kopf stellen?

Dennis Kenji-Kipker: Ich glaube, das kann man zurzeit noch nicht abschließend beurteilen. Im Bereich dieser Technologien wird momentan wahnsinnig viel entwickelt, nicht weniges ist noch Grundlagenforschung, für manche anderen technischen Ideen werden zurzeit noch konkrete Anwendungsfelder gesucht. Sicher wird man aber sagen können, dass diese Technologien auch das Thema Cybersicherheit verändern werden. Die KI z.B. hat schon jetzt vielfältige Einsatzszenarien, z.B. in der automatischen Erkennung von Schadsoftware. Aber wie gesagt, es ist in meinen Augen hier noch zu früh, um sagen zu können, dass dadurch die „Welt auf den Kopf“ gestellt wird. Aber bahnbrechende technologische Entwicklungen ziehen eben auch Veränderungen nach sich, die nicht immer genau vorhersehbar sind.

IT und Rechtsblog: Unsere beliebte Abschlussfrage – Was können Juristen von Informatikern und Informatiker von Juristen lernen?

Dennis Kenji-Kipker:

Juristen von Informatikern: Juristen können ganz klar eines von Informatikern lernen: es gibt nicht immer für alles eine Definition, und man braucht manchmal auch etwas Flexibilität im Denken, gerade auch jenseits der typischen juristischen Schubladen, in denen man insbesondere im Studium denken lernt. Informatiker sind hier mehr Kreativität gewohnt, und das kann auch für den einen oder anderen Juristen ganz erfrischend sein.

Informatiker von Juristen: Man braucht nicht immer für alles und jede Kleinigkeit einen Anwalt, denn ein grundlegendes systematisches Verständnis von Gesetzen kann man sich selbst als Fachfremder auch erschließen. Gesetze sind ja schließlich für den Bürger gemacht. Und ganz wichtig: Bitte, bitte keine Datenschutzschutzhinweise beliebig aus dem Web ohne Anpassungen auf die eigene Website kopieren, und keine DS-GVO-Generatoren ungeprüft nutzen!

Vielen Dank für das Gespräch!