Stop! – Sicherheit hat höchste Relevanz

Über die steigende Bedeutung von Safety und Security in der Kanzlei-IT

(shg) – Die steigende Vernetzung der Welt – auch der juristischen – erhöht auch die Verwundbarkeit von IT-Infrastrukturen. Wir alle werden sogar im öffentlichen Raum mit Energie- und Wasserversorgung immer abhängiger von der Informationstechnik. Daher soll dieses knappe Essay den Sicherheitsgedanken einmal mehr ins Bewusstsein holen, denn die Bedeutung von Safety und Security darf niemals unterschätzt werden. Die Unterschiede und Gemeinsamkeiten beleuchten wir weiter unten.

Im Jahr 2012 konfrontierte der Roman „Blackout“ von Marc Elsberg die geneigten Leser mit den potenziellen Risiken einer vernetzten Welt nach dem Zusammenbruch der Stromnetze. Anhand dieses plastischen Beispiels führte er dem Betrachter die Verletzlichkeit öffentlicher Infrastrukturen vor Augen. Die Empfindlichkeit und Abhängigkeit des Alltagslebens gegenüber unsichtbaren und als sicher eingestuften Systemen traf die Menschen im Roman unerwartet. Und das würde sie auch in unserer Realität. Dient das Ganze als Anregung zum Nach- oder Umdenken, so hat der Roman eines seiner Ziele sicher erreicht.

Betrachten wir die Welt der Juristerei, so ist zwischenzeitlich unstrittig, dass die Digitalisierung auch hier fortschreiten wird. Und irgendwann wird es eine rein elektronische Kommunikation geben, mit oder ohne beA. Damit stellt sich das digitale Sicherheitsthema – neben der generellen Sicherheit und Verschwiegenheit, die schon der analoge Kanzleibetrieb forderte – zunehmend auch dem niedergelassenen Rechtsanwalt. Eines sei vorweg gesagt: Um hier zu besten Ergebnissen zu kommen, wird die Unterstützung durch IT-Sicherheitsprofis zur unabdingbaren Pflicht.

Die Vernetzung von zuvor abgeschotteten Infrastrukturen – den Netzwerken in einer Kanzlei und in der Justiz beispielsweise – bildet nun ein Anwendungsszenario, für das deren Systeme anfänglich nicht konzipiert waren. Daher wurden potenzielle Risiken auch meist nicht umfassend analysiert.

Mit der Vernetzung steigt die Komplexität

Eine erfreuliche Erkenntnis vorweg: Systeme und Infrastrukturen werden durch Vernetzung besser! Vielfältige, aktuelle Informationen erlauben im juristischen Alltag bessere Entscheidungen. Intelligent aufbereitete und kumulierte Informationen, beispielsweise aus Gerichtsentscheidungen und Literatur, sind für Menschen einfacher und schneller zu erfassen. Automatisierte Systeme entlasten von Routineaufgaben und verhindern menschliches Versagen. Ein Beispiel, wie so etwas künftig aussehen kann, ist das bereits vorgestellte KI-System LawKI von ReNoStar.

Systeme und Infrastrukturen werden durch Vernetzung jedoch auch potenziell unsicherer. Verbindet man zwei jeweils sichere Systeme, so entsteht dadurch nicht automatisch ein sicheres vernetztes Gesamtsystem. Zuvor erfolgreiche einzelne Sicherheitsmaßnahmen können auch entgegengesetzt wirken und sich im schlimmsten Falle gegenseitig aufheben. Ebenso können sich vorhandene Sicherheitslücken aus beiden Systemen potenzieren. Daher sind neue Verfahren und Maßnahmen erforderlich, um auch den Verbund von Systemen und Geräten nachweislich abzusichern.

IT-Systemsicherheit ist eine technische und organisatorische Aufgabe, bei der Mensch, Technik und Umgebung zusammengeführt werden müssen. Die Gefahrenabwehr durch lediglich technische Mechanismen reicht nicht. Dem Menschen als Benutzer solcher Systeme kommt eine entscheidende Rolle zu. Schließlich kann er die Technik wahlweise mustergültig nutzen oder beinahe jede technische Lösung durch „kriminelle Energie“ aushebeln. In einer ausführlichen Betrachtung von Sicherheit muss außerdem die Umgebung des Systems berücksichtigt werden, weil sie einen sicheren Betrieb ebenfalls beeinflusst

Safety oder Security – ein Unterschied?

Safety zielt darauf ab, die Umgebung vor dem Fehlverhalten eines Systems zu schützen. Im Fokus steht die Unversehrtheit von Umwelt und Mensch.

In der IT geht es um die technische Verarbeitung, Speicherung und Übertragung von Informationen. Bei Security steht der Schutz der Systeme vor unerwünschten Einwirkungen von außen im Brennpunkt.

Sicherheit betrifft daher vornehmlich die Systemgrenzen und Schnittstellen. Also von innen nach außen oder umgekehrt. Nur innerhalb der Systemgrenzen kann ein erwünschtes Sicherheitsniveau realisiert werden. Schnittstellen hingegen dienen von Natur aus der Beeinflussung des Systems von außen. Traditionell verfolgt man daher das Paradigma der sog. Perimeter-Sicherheit, oder anders gesagt: ein System wird durch die Einrichtung von Sicherheitsfunktionen an seinen Öffnungen nach außen geschützt. Für komplexe, offene oder automatisierte IT-Systeme reicht dieser Ansatz allein jedoch auf Dauer nicht mehr aus.

Exkurs in die „echte“ Welt

Durch vernetzte IT-Systeme und Infrastrukturen entstehen neue Gefährdungen für diese vormals als Insellösungen agierenden Systeme.

Autos, Schiffe, Flugzeuge, Häuser und sogar Herzschrittmacher werden künftig zunehmend vernetzt und sind daher von außen erreichbar. So ist es keine Science Fiction, dass bei mangelhaften Sicherheitsvorkehrungen zukünftig das von außen erreichbare Infotainmentsystem eines Fahrzeugs als Einfallstor benutzt werden könnte, um die Motorsteuerung oder Bremselektronik zu beeinflussen und im schlimmsten Fall außer Betrieb zu setzen. In ähnlicher Weise könnten über Fernwartungsschnittstellen für Industrieanlagen gezielte Systemstörungen wie z. B. Stromausfälle ausgelöst werden. Somit wären technische Fehlfunktionen nicht mehr allein vom betreffenden System abhängig, sondern könnten bewusst von externen Systemen oder Anwendungen ausgelöst werden.

Die Security-Welt möchte Integrität Vertraulichkeit, und Verfügbarkeit von Informationen schützen. Dieser Wunsch betrifft in besonderer Weise auch die juristische Datenverarbeitung. Und diese Schutzziele gilt es auch gegen externe Einflüsse wie Naturkatastrophen, Stromausfälle oder die fehlerhafte Bedienung von technischen Geräten zu erreichen. Schließlich könnten diese zu dauerhaften Schäden an IT-Systemen und Daten führen. Selbst fehlerhafte Funktionen ohne Einfluss von außen könnten zu einer unbeabsichtigten „Veröffentlichung“ von Informationen führen.

Die unaufhaltsam fortschreitende Digitalisierung und Vernetzung unserer Gesellschaft lässt den Schluss zu, das Safety- und Security-Aspekte nicht mehr getrennt betrachtet werden dürfen. Die steigende Komplexität unserer vernetzten IT-Systeme erfordert einen interdisziplinären Ansatz. Warum? Ganz einfach: Die fachspezifische Betrachtung richtet sich stets nur auf diejenigen Risiken, die man aus dem eigenen Erfahrungsbereich kennt.

Leider ist diese Erkenntnis noch nicht überall gelebte Realität. So müssen sich künftig auch die Standardisierungsgremien in der Welt der IT-Sicherheit an diesem Paradigmenwechsel orientieren. Denn bisher werden Standards im Safety- oder Security-Bereich noch überwiegend stand-alone und ohne gegenseitigen Bezug behandelt. Ein Grund dafür sind die ebenfalls unterschiedlichen Standardisierungsvereinigungen.

Zu den wenigen Standards, die sowohl Security als auch Safety-Umfeld betreffen, gehören die elektrotechnischen Normen der Reihe IEC 62443. Sie spezifizieren das IT-Sicherheitsmanagement in industriellen Automatisierungssystemen und kritischen Infrastrukturen (z. B. Energie-, Gas- und Wassernetze). Leider sind viele andere Sicherheitsfragen, auch bei den uns betreffenden anwaltlichen IT-Systemen, noch nicht übergreifend in Standards abgebildet.

Safety-Standards werden in der Industrie schon sehr viel länger entwickelt. Von Anlagen soll keine Gefahr für die Umgebung ausgehen. Daher ist für den Informationssicherheitsbereich die Übernahme und Anpassung etablierter, erfolgreicher Konzepte sinnvoll. Im Gegenzug wiederum sind kryptographische Lösungen aus der Security-Welt, beispielsweise für Identifizierung, Authentisierung, Verschlüsselung und Zugriffkontrolle in Safety-Standards kaum verankert. Um Sicherheit ganzheitlich zu betrachten und beide Welten mit ihren unterschiedlichen Herangehensweisen zu verbinden, ist es wünschenswert, übergreifende Standards zu schaffen.

Strategisches Sicherheitsdenken ist Pflicht

Sicherheit sollte nicht abhängig sein vom Benutzer. Dies ist heute noch hehres Wunschdenken. Wer Informationssicherheit gewährleisten möchte, stellt meist besondere Anforderungen an die Fähigkeiten der Nutzer. So etwa Einhaltung von Passwortregeln, regelmäßige Durchführung von Updates oder sachgerechte Umsetzung von Installationsanweisungen.

In IT-fernen Anwendungen, beispielsweise in der Industrie, ist der Schutz vor Fehlbedienung seit Jahrzehnten verbreiteter Standard. Man denke beispielsweise an 2-Hand-Bedienungen an gefährlichen Maschinen. Daher sollte es ein Ziel sein, in der Zukunft auch IT-bezogene Produkte und Systeme so zu gestalten, dass sie eine sichere Benutzung garantieren.

Natürlich müssen Sensibilisierung und Fähigkeiten der Menschen für Sicherheitsaspekte weiter gefördert werden. Dennoch ist es erstrebenswert, die entscheidende Verantwortung für „gelebte“ Sicherheit nicht mehr einfach von den Herstellern und Betreibern auf den Endnutzer abzuwälzen. Dies jedoch setzt voraus, dass die Sicherheit so weit wie möglich von Benutzer und Benutzung unabhängig wird. Man darf auf die Überlegungen und Lösungen gespannt sein.

Strategisches Ziel: IT-Sicherheit kombiniert mit Hilfe zur Selbsthilfe

Sicherheitsmanagement ist nicht nur ein Thema für „IT-Fuzzis“ und „Nerds“. Vielmehr muss Sicherheit ressortübergreifend betrachtet werden. Dazu ist es notwendig, IT- und Fachabteilungen zum intensiven Austausch ihrer Wünsche und Belange zu drängen. Der Mensch mit all seinen Stärken und Schwächen muss in diesem Spannungsfeld stets als entscheidender Teil des Sicherheitsmanagementsystems berücksichtigt werden. Daher geht auch eine wichtige Forderung an die Politik, die Rahmenbedingungen für sicheres Leben und Arbeiten in der digitalisierten, vernetzen Welt zu schaffen.

Nach Ansicht desKompetenzzentrums Öffentliche IT im Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) sollen IT-Hersteller und -Diensteanbieter haften für Datenschutz- und IT-Sicherheitsmängel ihrer Produkte. „Das IT-Sicherheitsgesetz und die geplante Cybersicherheitsrichtlinie der EU sind erste Schritte, um bestimmte Meldepflichten für Sicherheitsvorfälle einzuführen. Allerdings besteht dadurch noch keine Verpflichtung für Hersteller, bekannte Sicherheitslücken in Hardware- und Softwareprodukten zu beseitigen bzw. für mögliche Schäden zu haften. Hier muss die Politik den nächsten Schritt gehen, um Hersteller stärker in die Verantwortung zu nehmen. So eine Schlussfolgerung des Dokuments „S²: Safety und Security aus dem Blickwinkel der öffentlichen IT“ aus dem Jahr 2015.

Fazit

Auf unsere Welt der Anwälte, Gerichte und Behörden übertragen, lässt sich zusammenfassen: Die Digitalisierung ist nicht aufzuhalten. Daher gilt es, sich den neuen Herausforderungen zu stellen, um größtmöglichen Nutzen aus der Technologie zu ziehen. Wegen der erhöhten Verschwiegenheits- und Vertraulichkeitsanforderungen im juristischen Umfeld muss bei aller Euphorie – aber auch bei aller Unsicherheit gegenüber Neuem – die Sicherheit einen besonderen Stellenwert bei allen Überlegungen und „Erfindungen“ einnehmen. So wie die Technologie seit Erfindung der Speicherschreibmaschine, des Diktiergeräts und des Telefax die Arbeit in der Kanzlei verändert hat, findet eine evolutionäre Fortentwicklung auch im digitalen Sektor statt. Letztlich wird die Rückschau irgendwann zeigen, dass die Digitalisierung trotz aller anfänglichen Zweifel und Bedenken echte positive Fortschritte gebracht hat. Machen Sie mit. Sperren Sie sich nicht, nur weil es neu ist. Seien Sie kritisch. Decken Sie Schwachstellen auf. Sprechen Sie mit den entsprechenden Organisationen (Gerichte, Behörden, Softwarehersteller). So entwickelt sich eine demokratische Gesellschaft fort!