NIFIS e.V. - die Nationale Initiative für Informations- und Internet-Sicherheit lädt alle Interessierten recht herzlich dazu ein, sich auf dem 2. NIFIS-Forum für angewandte Informations-Sicherheit am 26. März 2009 aus erster Hand über aktuelle Trends und Risiken, die die Sicherheit von morgen bestimmen werden, zu informieren.

Das NIFIS-Forum soll den Mitgliedern und „Freunden“ von NIFIS eine Plattform schaffen, um sich über aktuelle Entwicklungen im Bereich der Informations- und Internetsicherheit zu informieren uns auszutauschen.

Die Teilnehmer erwartet ein interessantes Programm mit hochkarätigen Referenten, praxisbezogenen Vorträgen und sicherlich spannenden Diskussionen zu aktuellen Sicherheitsthemen. Experten aus Wirtschaft und Wissenschaft werden aktuelle Themen aus unterschiedlichen Blickwinkeln beleuchten.

Die Teilnahme am NIFIS-Forum ist kostenfrei.

Termin: 26. März 2009, 11.30 - 17.00 Uhr
Veranstaltungsort: Titania Event Theater, Basaltstraße 23, 60487 Frankfurt

Agenda:

• 11.30 - 11.45
  Begrüßung
  Dr. Thomas Lapp, IT-Kanzlei Dr. Lapp - Vorstand NIFIS e.V.
• 11.45 - 12.00
  Sicherheitsphilosophie und die sich daraus ergebenden Managementnotwendigkeiten
  Prof. Dr. Maximilian Herberger, IFRI
• 12.00 - 12.45
  Frühwarnsysteme im Internet
  Prof. Dr. Norbert Pohlmann, Ifis
• 12.45 -13.30
  Mittagspause
• 13.30 - 14.15
  Sichere IT als Grundlage zuverlässiger Geschäftsprozesse
  Ingrid Dubois, dubois it-consulting
• 14.15
  Betrieb vorübergehend wegen Strahlung geschlossen –
  Assessment einer betrieblichen Störung
  Thomas Teichmann, Schmitz & Teichmann
• 15.00 -15.15
  Pause
• 15.15 - 15.45
  Vorstellung des neuen Datenschutz-eLearning-Tools
  Rainer Eßig, Systemhaus ESSIG / Dr. Thomas Lapp, IT-Kanzlei Dr. Lapp
• 15.45 - 16.30
  Data Leak Prevention (DLP) -
  kontrollierter Informationsfluss als Allzweckwaffe zum Schutz vor Wirtschaftsspionage?
  Manfred Rothkuogel, Controlware GmbH
• 16.30 - 17.00
  Abschlussdiskussion / Zusammenfassung

Update: Das für den 26. März geplante 2. NIFIS-Forum für angewandte Informationssicherheit kann leider nicht wie geplant stattfinden. Die Veranstalter habe das Forum aus organisatorischen Gründen abgesagt. Eventuell wird die Veranstaltung zu einem späteren Zeitpunkt stattfinden.

Das Zentrale Schutzschriftenregister und das Team Datenschutzaudit wurden im Arbeitskreis der Europäischen EDV-Akademie des Rechts (EEAR)vorgestellt.

Assessorin Katrin Wolf erläuterte die Vorteile des von der EEAR betriebenen Zentralen Schutzschriftenregisters (ZSR) und demonstrierte die Vorgehensweise für Rechtsanwälte sowie Gerichte. So können Schutzschriften nach erfolgter Registrierung (noch kostenlos, später wird eine Gebühr von 45€ erhoben werden) durch einen Rechtsanwalt im word-, pdf- oder tif- Format im Register abgelegt werden. Dazu sind Angaben zum Antragsteller, möglichen Antragsgegner sowie die Antragsschrift zwingend notwendig.
Die Geschäftsstellen der derzeit beteiligten Gerichte haben sich dazu verpflichtet, bei Antragseingang auf Erlass einer einstweiligen Verfügung zuerst im ZSR nach möglicherweise hinterlegten und für den Antrag relevanten Schutzschriften zu suchen. Wird eine solche Schutzschrift gefunden, gelangt sie durch die Geschäftsstelle zum zuständigen Richter. Die Landgerichte Bremen, Mannheim, Mosbach, Nürnberg-Fürth, Saarbrücken, Heidelberg, Hamburg und Waldshut-Tiengen sind bereits registriert, weitere Anträge auf Registrierung liegen vor.
Besonders hervorgehoben wurde die Zeit- und Kostenersparnis gegenüber der konventionellen Methode. So entfällt für die Gerichte der Aufwand der Registrierung, Verwahrung und Archivierung eingereichter Schutzschriften. Auch Rechtsanwälte profitieren, da sowohl Aufwand als auch Druck- und Versandkosten eingespart werden können. Ein weiterer Vorteil ist in der bundesweiten Verfügbarkeit zu sehen, was besonders bei einem fliegenden Gerichtsstand eine enorme Arbeitserleichterung bedeutet.
Der Vorstellung folgte eine Diskussion über eine mögliche Ausweitung des Projekts sowie den notwendigen Datenschutz. Zudem wurden Bedenken bezüglich der Überprüfung der Nutzer geäußert, die Suchfunktion thematisiert, sowie die Notwendigkeit der Einreichung einer signierten Schutzschrift erörtert.

Herr Rechtsanwalt Jürgen Kuck der Kanzlei Hoffmann, Liebs, Fritsch & Partner referierte über das Team Datenschutzaudit. Erläutert wurden die Funktion und die Bemühungen der interdisziplinären Spezialistengruppe, welche trotz mangelnder nationaler Ausgestaltung von Datenschutzvorschriften gegründet wurde. Das Team hofft, dem Gesetzgeber konkrete Vorschläge zur Verbesserung unterbreiten zu können, um Defizite der datenschutzrechtlichen Vorschriften auf nationaler und europäischer Ebene zu beheben. Eine Ausnahme bildet das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), welches sich mit dem Thema Datenschutz in Sachen Recht und Technik befasst. Durch die Einführung eines Datenschutzaudits wird eine Vereinheitlichung sowie Verbesserung auf dem Felde des Datenschutzes durch Zertifizierung angestrebt. Durchgeführt werden könnte dies durch die Beteiligung verantwortlicher Stellen, die ihre Verfahren und Produkte beim späteren Zertifikataussteller registrieren und anschließen anhand einer standardisierten Methode mit veröffentlichten Kriterien überprüfen lassen. Die Überprüfung erfolgt durch speziell ausgebildete Auditoren, das Zertifikat bestätigt Geschäftspartnern und Mitarbeitern gegenüber, dass die Einhaltung von Datenschutzvorschriften überprüft wurde. Die EEAR käme dabei die Position der Zertifizierungsstelle zu. Weitere Ziele sind die ständige Aktualisierung und Fortschreibung des Kriterienkatalogs, der Vorgehensweisen bei einem Audit sowie die ständige Verbesserung der Ausgestaltung des Akkreditierungsverfahren.
Im Anschluss an die Präsentation wurde angeregt über den Unterschied der Produkt- bzw. Prozesszertifizierung sowie die jeweiligen Vorteile diskutiert, mögliche Konkurrenzen mit anderen Zertifikaten angesprochen und der Vorschlag, Anbieter statt deren Produkte zu zertifizieren um das Vertrauen zu stärken, zur Sprache gebracht.

Das LAWgical-Team dankt Anna Marie Tschirley für ihren Bericht

Zu Beginn stellte Daniela Freiheit, Geschäftsführerin der Europäischen EDV-Akademie des Rechts und Moderatorin des Arbeitskreises, den organisatorischen Stand der Dinge im Bereich Geschäftsprozessmodellierung (GPM) in der Justiz vor und machte deutlich, dass auf diesem Gebiet bislang erst wenige interdisziplinäre Aktivitäten zu verzeichnen sind.

Es folgte eine allgemeine Einführung durch Dipl. Kff. Angela Dovifat, wiss. Mitarbeiterin an der FHVR Berlin, zu Zielsetzungen und Methoden der Modellierung von Geschäftsprozessen (u. a. Vor- und Nachteile von klassischer und exemplarischer Geschäftsprozessmodellierung) und zu den wichtigsten Unterschieden, die dabei zwischen Justiz und Wirtschaftswelt zu beachten sind. Vor allem bei Strukturen, in denen verschiedene Arbeitsprozesse ineinander greifen und auch verschiedene Organisationseinheiten an ein und demselben Vorgang beteiligt seien, könne die Modellbildung zu umfassender Optimierung beitragen. Betont wurde von Frau Dovifat auch, dass eine Modellierung nie Selbstzweck sein dürfe, sondern immer im Vorhinein klar sein müsse, was damit erreicht werden soll.

Es schloss sich an ein Vortrag von StA Matthias Kegel, IT-Dezernent der Generalstaatsanwaltschaft Brandenburg, in welchem die Sinnhaftigkeit von Modellierung in der Justiz beleuchtet wurde. Ein Pilotprojekt dazu ist inzwischen in Zusammenarbeit mit Fraunhofer FOKUS in Berlin angelaufen. StA Kegel machte deutlich, dass sich die Justiz sich in mancherlei Hinsicht in einer ähnlichen Situation befindet wie die Privatwirtschaft Anfang der 1990er Jahre, als dort die Modellierung von Geschäftsprozessen sehr massiv Einzug hielt. Es sei jedoch zu beachten, dass in der Justiz historisch geprägte Organisationsformen vorherrschen, und dass eine GPM auch darauf abgestimmt sein müsse, dass das „Unternehmensziel“ der Justiz nicht Profitmaximierung, sondern möglichst effiziente Justizgewährung für die Bürger sei. StA Kegel leitete dann zum folgenden Vortrag über, bei dem ein einzelner Vorgang exemplarisch und mit Hilfe des Werkzeugs ADONIS modelliert und anschaulich gemacht wurde.

Vorgestellt wurde diese Arbeit von Anne Kathrin Müller, Diplomandin an der FHVR Berlin, die im Rahmen ihrer Diplomarbeit die „Anforderung und Zusendung von Anklageschriften“ zwischen zwei Staatsanwaltschaften beispielhaft analysiert hat. In einer Schritt-für-Schritt-Darstellung wurde nachvollziehbar dargestellt, welche Vielzahl von Arbeitsschritten den relativ einfachen Anforderungsvorgang einer Strafakte ausmacht. Dank der dadurch entstandenen Transparenz der Abläufe konnten anschließend Maßnahmen aufgezeigt werden, die die Zahl der daran beteiligten Akteure von 7 auf 2 reduzieren und die durchschnittliche Durchlaufzeit einer Aktenanfrage drastisch reduzieren helfen.

Den Abschluss des Vortragsteils bildete eine Präsentation von Dietmar Kirschbaum, Ri OVG Thüringen, und Dr. Lars Algermissen, ERCIS Münster zur prozessorientierten Modernisierung der Justizverwaltung mit der PICTURE-Methode. Dieses Verfahren steht in gewisser Weise methodisch zwischen der klassischen Geschäftsprozessmodellierung und der exemplarischen Modellierung, die sich auf einzelne Szenarien beschränkt. Aufgrund von Forschungsergebnissen konnten im Bereich öffentliche Verwaltung insgesamt 24 Bausteine ermittelt werden, durch die sich jeweils verschiedene wiederkehrende Arbeitsabläufe kapseln lassen, was den Weg zu einer wesentlich schnelleren und besser handhabbaren Modellierung komplexer Verwaltungsvorgänge eröffnet. So kann die benötigte Zeit pro Geschäftsprozess im Schnitt auf ein Sechstel reduziert werden und die Modellierung – nach einer kurzen Einführung – auch direkt durch die beteiligten Mitarbeiter erfolgen. Die Übersichtlichkeit der Modelle ist größer als bei vielen anderen Modellierungsmethoden, wobei nicht zwangsläufig eine als problematisch einzustufende Verkürzung der Komplexität eintritt, da die einzelnen Bausteine sich über Attribute inhaltlich genauer beschreiben lassen. Nun sei man dabei, die bisher nur für die öffentliche Verwaltung entwickelten Bausteine auf ihre Übertragbarkeit auf den Justizbereich zu überprüfen. Richter Kirschbaum berichtete, dass die Stabsstelle am OVG Thüringen das Ziel verfolgt, bis 2009 die gesamte IT-Infrasturktur zu vereinheitlichen, zukunftsfähig zu machen und alle zukünftigen Anforderungen (insb. bzgl. ERV) abbilden zu können. Man stoße dabei aber schnell auf technische Probleme, und das vorhandene Personal ist entweder kaum involviert oder aber eher verwirrt durch Prozessanalysen. So sein man nun auf die PICTURE-Methode umgestiegen und habe durchweg bessere Ergebnisse erzielt als zuvor mit den hauseigenen Versuchen mit der VISIO-Software. Sowohl bei der Modellierung als auch bei anschließenden Eingriffen in die Abläufe müssten alle Beteiligten mitgenommen werden, und insbesondere die Richter auch tatsächlich mitentscheiden können. Dies werde durch die Verwendung von PICTURE möglich.

In der anschließenden Diskussion trat vor allem die Frage in den Vordergrund, ob die Reduktion der Modellkomplexität durch Kapselung von wiederkehrenden Mustern in nur wenigen verschiedenen Bausteinen nicht gerade viele Optimierungsmöglichkeiten verdecke, da man oft doch gerade die untersten Ebenen der Abläufe analysieren müsse, um sinnvolle Optimierungen vornehmen zu können. Dr. Algermissen verwies dazu zunächst auf die Attribute der Bausteine, die eine Vielzahl von Anpassungen erlaubten, räumte darüber hinaus aber ein, dass das Verfahren durchaus kein Wunderwerkzeug und nicht für jede erdenkliche Analyse geeignet sei. Häufig sei aber gerade die Komplexität einer Modellierung die Ursache dafür, dass sie nicht vorgenommen wird oder damit in der Praxis nichts angefangen werden könne.