ITS.APT - IT-Security Awareness Penetration Testing

Kurzbeschreibung

Sicherheitsexperten spekulieren, ob und in welchem Maße das Sicherheitsbewusstsein von IT-Benutzern den Ausgang sicherheitsrelevanter Vorfälle beeinflussen kann.
Zur Unterstützung derartiger Hypothesen liegen jedoch nur wenige empirische Daten vor, unter anderem weil die Datenerhebung mit hohen Kosten verbunden ist und datenschutzrechtlich problematisch sein kann. Das Projekt ITS.APT - "IT-Security Awareness Penetration Testing" adressiert diese Schwierigkeiten mit dem Ziel, klassisches Penetration-Testing auf die Benutzer der IT-Infrastruktur zu erweitern. Es entsteht ein Werkzeug, das erstmalig eine kosteneffiziente Bewertung von IT-Sicherheitsbewusstsein unter Berücksichtigung rechtlicher und datenschutzrechtlicher Rahmenbedingungen ermöglicht.

Im Rahmen dieses Projekts wird eine umfassende Lösung entwickelt, die tiefere Einblicke in das IT-Sicherheitsbewusstsein von Benutzern gewährt, als bisher möglich. Die Evaluation findet im Umfeld Kritischer Infrastrukturen statt, um aussagekräftige und verwertbare Ergebnisse zu erhalten. Dabei wird der gesamte Entwicklungsprozess von Beginn an durch erfahrene Juristen und Datenschützer begleitet und abschließend begutachtet.

Projektwebseite (extern): https://itsec.cs.uni-bonn.de/itsapt/

 

Projektergebnisse

Die Arbeitsrechtliche Risikoabschätzung (D2.1) beschreibt die relevanten Grundlagen zum Arbeitnehmerdatenschutz. Sollen in einer öffentlichen oder nicht-öffentlichen Stelle verdeckte Erhebungen zum IT-Sicherheitsbewusstsein durchgeführt werden ist die Beteiligung des Betriebs- bzw. Personalrates von zentraler Bedeutung. Zum einen werden dadurch die Mitbestimmungsrechte der Belegschaftsvertretung gewahrt. Zum anderen stellen solche Kollektivvereinbarungen eine wirksame Rechtsgrundlage für die Datenverarbeitung. Das Dokument stellt die Rechtslage mit Stand bis März 2016 dar und wurde in enger Zusammenarbeit mit dem Institut für Informations-, Telekommunikations- und Medienrecht der Uni Münster (ITM) erstellt.

"D2.3 Datenschutzrechtliche Betrachtung": Das Dokument „Datenschutzrechtliche Betrachtung“ (D2.3) stellt im Detail die Rechtslage dar. Die geplanten Tests bei Betreibern kritischer Infrastrukturen im Allgemeinen und dem als dem als Anwendungspartner agierenden Klinikum im Besonderen könnten bei unbedachter Durchführung eine erheblicher datenschutzrechtlicher Relevanz haben. So war unter der Rechtslage zu Beginn des Projekts sicherzustellen, dass die Testleitung keine Patientendaten einsehen kann, da andernfalls ohne Einwilligung aller Betroffenen auch strafrechtliche Konsequenzen im Raum standen. Weiter wurden die technischen Anforderungen an die Testdurchführung aufgezeigt, insbesondere mit detaillierten Ausführungen zum Vorgang der Anonymisierung. Schließlich wurde dargestellt, wie die Umsetzung später außerhalb vom Forschungsvorhaben sowohl in rechtlicher Hinsicht als auch mit Blick auf die Berücksichtigung technischer Aspekte erfolgen kann.

Die Handlungsempfehlungen (D2.4) fassen die im Rahmen des Forschungsprojekts ITS.APT erlangten rechtlichen Erkenntnisse und Ergebnisse zusammen. Sie adressieren Betreiber kritischer Infrastrukturen, die mittels verdeckter Erhebungen das IT-Sicherheitsbewusstsein der Beschäftigten messen wollen, um darauf aufbauend zielgerichtete Schulungen anzubieten. Die Handlungsempfehlungen stellen die rechtlichen Anforderungen und Schranken an die Gestaltung eines solchen Verfahrens aus Sicht des Datenschutzes und des Arbeitsrechts dar. Dem Dokument sind eine Muster-Betriebsvereinbarung als Grundlage für die Erörterungen mit der Vertretung der Beschäftigten sowie ein Muster-Verfahrensverzeichnis nach Art. 30 DSGVO beigefügt, um eine Übernahme in der Praxis in diesen Punkten zu erleichtern. Das Dokument wurde in enger Zusammenarbeit mit dem Institut für Informations-, Telekommunikations- und Medienrecht der Uni Münster (ITM) erstellt und bildet den Stand der Gesetzgebung, Rechtsprechung und Literatur bis Dezember 2017 ab.

Projektblatt

Projektstart: 1. Januar 2015
Projektdauer: 36 Monate
Projektende: 31. Dezember 2017
Projektpartner: 6 Partner aus den Bereichen Industrie, Hochschulen und Datenschutzaufsichtsbehörden
Projektförderung: Bundesministerium für Bildung und Forschung
Projektkoordinator:      Rheinische Friedrich-Wilhelms-Universität Bonn
Projektwebseite https://itsec.cs.uni-bonn.de/itsapt/
Veranstaltungen, Veröffentlichungen

Felix Bieker, "Muster-Betriebs-/Dienstvereinbarung zur Implementierung der ITS.APT-Lösung" in Rudel/Lechner, "IT-Sicherheit für Kritische Infrastrukturen – State of the Art Ergebnisse des Förderschwerpunkts IT-Sicherheit für Kritische Infrastrukturen ITS|KRITIS des BMBF", Oktober 2018.