Ziele und Aufgaben

Das secUnity-Motto „Supporting the Security community“ beschreibt unser Ziel, IT-Sicherheitsforschung in Deutschland und Europa zu stärken. Wir streben eine nachhaltige und interdisziplinäre Vernetzung aller Forschenden, Expert*innen, Software-Ingenieur*innen und Anwendender*innen an, und beziehen insbesondere auch ökonomische- und rechtliche Perspektiven der IT-Sicherheit ein.

Bestehende Forschungskonsortien sollen unterstützt, neue etabliert und Gemeinschaften aus Nachwuchsforscher*innen aufgebaut werden. Um die Vielfalt und unterschiedlichen Kompetenzen in der IT-Sicherheitsforschung transparent zu machen, wird eine IT-Sicherheitslandkarte erarbeitet. Sie enthält eine differenzierte Auflistung der Forschungsschwerpunkte und wird für ständige Ergänzungen offen sein.

Darüber hinaus entwickeln wir in SecUnity einen Prozess, um gemeinsame Forschungsthemen zu identifizieren. Im intensiven Dialog mit allen Forschenden, Expert*innen, Software-Ingenieur*innen, Anwender*innen werden wir Lücken im Bereich der IT-Sicherheit mit dem Ziel erfassen, eine Vision für die langfristige Ausrichtung der IT-Sicherheitsforschung heraus zu kristallisieren. Ein Instrument für diesen Dialog ist die Push-Pull-Plattform. Darüber hinaus entwickeln wir in secUnity eine Roadmap hochrelevanter Forschungsthemen, die als Basis für zukünftige Konsortialprojekte dienen kann.

Wir organisieren und unterstützen Veranstaltungen unterschiedlichster Art von wissenschaftlichen Workshops zu offenen mitunter politischen Themenabenden, die den Dialog der unterschiedlichen Akteure auf vielfältige Weise fördern.

Zusätzlich werden wir mit interdisziplinären Summer bzw. Winter Schools aktiv den Nachwuchs im Bereich der IT-Sicherheit fördern.

Recht und IT-Sicherheit

Das rechtswissenschaftlich noch weitgehend unerschlossene Rechtsgebiet „IT-Sicherheitsrecht“ steht beispielhaft für die Schwierigkeiten, die sich im regulatorischen Umgang mit dem beschleunigten technischen Wandel ergeben: Neue Rechtsgebiete im Bereich der Informations- und Telekommunikationstechnik entwickelten sich regelmäßig nur verzögert, obwohl aus dem flächendeckenden Einsatz von IT im Rahmen der Digitalisierung kontinuierlich neue rechtliche Fragestellungen in allen juristischen Bereichen resultieren. Auch dürfte sich die Rechtsinformatik heute und in Zukunft verstärkt auf alle klassischen Rechtsgebiete (Öffentliches-, Straf- und Zivilrecht) auswirken. Neben diesen unterschiedlichen tangierten Rechtsbereichen tragen verschiedene, weit verstreute Rechtsquellen zur Unübersichtlichkeit der Rechtsmaterie, insbesondere aus der Perspektive des Rechtsanwenders bei. Ein einheitliches Rechtsgebiet oder gar eine zentrale Kodifikation des IT-Sicherheitsrechts ist bislang nicht in Sicht.

Schwerer wiegt jedoch der Umstand, dass sich im Gegensatz zur technischen Seite eine sichtbare juristische Community im Bereich des IT-Sicherheitsrechts nur langsam etabliert. Neue rechtswissenschaftliche Impulse im fächerübergreifenden Dialog können aber nur aus einer solchen Community entstehen.

Der Fokus der rechtlichen Arbeiten im Projekt secUnity liegt daher auf der Identifikation rechtswissenschaftlicher Akteure, die sich schwerpunktmäßig mit den unterschiedlichen Facetten des IT-Sicherheitsrechts beschäftigen. Ziel ist es insoweit, zur Bildung einer interdisziplinären und offenen Austauschplattform beizutragen und so im Spannungsverhältnis zwischen rechtlichen Rahmenbedingungen und technischer Innovationsfreiheit zu vermitteln.

Ökonomische Aspekte

Die zunehmende Digitalisierung und die allgegenwärtige Verfügbarkeit und Nutzung von internetbasierten Diensten verändern das wirtschaftliche Umfeld, das tägliche Leben des Einzelnen und die Gesellschaft als Ganzes. Unterdessen erhöht sich auch die Verwundbarkeit, und viele Unternehmen und Anwender sorgen sich um ihre Sicherheit und Privatsphäre. Um die Wahrscheinlichkeit und auch die Schadenhöhe von Sicherheitsvorfällen zu verringern, werden fortlaufend bessere technische Lösungen entwickelt. Jedoch ist es zur weiteren Verbreitung entscheidend, dass diese Lösungen benutzerfreundlich und zugleich kosteneffizient gestaltet werden. Vor diesem Hintergrund untersucht der Forschungsbereich „IT Security Economics“ die ökonomischen Spielregeln des Angebots und der Nachfrage von bzw. nach IT-Sicherheitslösungen.

Anwender von IT-Sicherheitslösungen können Menschen, Unternehmen oder andere Institutionen, wie etwa Behörden, sein. Ein wesentliches Ziel der Arbeiten in dem Forschungsbereich besteht hierbei zum einen darin, ökonomische Modelle zu entwickeln, die eine Entscheidungsunterstützung in Bezug auf die Frage anbieten, ob sich spezifische Investitionen in IT-Sicherheit lohnen oder nicht. Ein weiterer Baustein ist die Ermittlung von Zahlungsbereitschaften der Nutzer für IT-Sicherheitslösungen. Hierbei kommen zum einen betriebswirtschaftlich-empirische Verfahren zum Einsatz, zum anderen sind aber auch psychologische Aspekte zu berücksichtigen. Ein Beispiel ist das so genannte Privacy-Paradoxon, das besagt, dass Menschen in Befragungen angeben, dass Privatsphäre ihnen sehr wichtig ist, sie sich aber nicht entsprechend verhalten (Intention-Behavior-Gap). Ähnliche Verhaltensmuster lassen sich auch für IT-Sicherheitslösungen finden. Auch aus diesem Grund soll im Rahmen der Arbeiten in dem Profilbereich „IT Sicherheit“ für mehr „Awareness“ für IT-Sicherheit geworben werden.

Aus Anbietersicht, also aus der Perspektive von IT-Sicherheitsherstellern im engeren und weiteren Sinne steht die Entwicklung von Geschäftsmodellen im Mittelpunkt der Arbeiten. Dabei gilt es zum einen die Erkenntnisse aus Forschungsarbeiten und Praxiserfahrungen auf den Bereich IT-Sicherheit anzuwenden. Hierbei sind wiederum die ökonomischen Spielregeln der IT-Sicherheitsindustrie eine wichtige Grundlage – ebenso wie Erkenntnisse zu den Zahlungsbereitschaften (potenzieller) Nutzer für IT-Sicherheitslösungen. Auf diese Weise lassen sich Handlungsempfehlungen für IT-Sicherheitsanbieter aller Größen bis hin zu Startups ableiten, die dabei helfen können, die Wettbewerbsposition dieser Unternehmen nachhaltig zu verbessern.

Auf der Landkarte werden deswegen IT-Sicherheitshersteller aufgenommen um Kooperationen zu fördern und die Vernetzung weiter voranzutreiben. Dabei soll auch hier zwischen IT-Sicherheitsanbietern im engeren (z.B. Anbieter von spezialisierten IT-Sicherheitslösungen) sowie im weiteren Sinn (z.B. Anbieter von IT-Produkten mit gewissen IT-Sicherheitsmerkmalen) unterschieden werden.

Da die zunehmende Digitalisierung besonders den (akademischen) Nachwuchs tangiert, ist bereits für 2017 eine Summer School zum Thema „Economics of IT Security and Privacy“ an der TU Darmstadt in Planung und soll internationalen Studierenden wertvolle Kenntnisse zu den ökonomischen Aspekten der IT-Sicherheit vermitteln.