Stand der Technik

Stand der Technik in der IT-Sicherheit

Mit dem "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" (IT-Sicherheitsgesetz bzw. ITSiG) verfolgt der Gesetzgeber das Ziel, Defizite in der IT-Sicherheit abzubauen. Daneben gilt seit dem 25.05.2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die technischen und organisatorischen Maßnahmen. Beide Rechtsquellen fordern die Orientierung der IT-Sicherheit am Stand der Technik, lassen aber unbeantwortet, was im Detail darunter zu verstehen ist.

Das am 25.07.2015 in Kraft getretene ITSiG soll eine Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland herbeiführen. Die dadurch eingeführten Gesetzesänderungen dienen dem Schutz dieser Systeme hinsichtlich der aktuellen und zukünftigen Gefährdungen der Schutzgüter Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität. Ausweislich der Gesetzesbegründung ist das Ziel des Gesetzes die Verbesserung der IT-Sicherheit von Unternehmen, der verstärkte Schutz der Bürgerinnen und Bürger im Internet und in diesem Zusammenhang auch die Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA).

Bei dem IT-Sicherheitsgesetz handelt es sich um ein sogenanntes Artikelgesetz: Es dient lediglich der Änderung mehrerer anderer Gesetze. Durch das neue Gesetz wurden unter anderem Regelungen für Kritische Infrastrukturen (KRITIS) im Gesetz über das Bundesamt für die Sicherheit in der Informationstechnik (BSIG) geschaffen und gesetzliche Änderungen im Atomgesetz (AtomG), Energiewirtschaftsgesetz (EnWiG), Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) vorgenommen. Die relevanten "KRITIS"-Betreiber wurden durch die im Februar 2016 veröffentlichte Verordnung konkretisiert. Obwohl das Gesetz augenscheinlich nur auf die Betreiber kritischer Infrastrukturen abstellt, sind von den beschlossen Änderungen auch Anbieter in den Bereichen Telemedien und Telekommunikation betroffen.

Das ITSiG sowie Kommentierungen sind auf https://www.teletrust.de/it-sicherheitsgesetz/ abrufbar.

Täglich zeigen Meldungen zu Sicherheitsvorfällen in Unternehmen und Behörden, dass dringender Handlungsbedarf zur Verbesserung der IT-Sicherheit besteht. Artikel 32 DSGVO regelt zur "Sicherheit der Verarbeitung", dass "unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen sind." Damit soll ein dem Risiko angemessenes Schutzniveau gewährleistet werden, z.B. durch Maßnahmen wie Verschlüsselung.

Sowohl der nationale als auch der europäische Gesetzgeber enthalten sich jedoch konkreter, detaillierter technischer Anforderungen und Bewertungskriterien für die sicherheitsrelevanten technischen und organisatorischen Maßnahmen. Den Gesetzesadressaten werden auch keinerlei methodische Ansätze geliefert. Diese Ausgestaltung, zumal in einem dynamischen Marktumfeld, muss den Fachkreisen überlassen bleiben.

TeleTrusT flankiert und ergänzt die Rechtslage mit der fachlichen Kompetenz der organisierten IT-Sicherheitswirtschaft in Deutschland. TeleTrusT hat deshalb einen verbandsinternen Arbeitskreis "Stand der Tech­nik" initiiert, um aus Sicht der IT-Sicherheitslösungs­anbieter und ‑berater, den betroffenen Wirtschaftskreisen Handlungsempfehlungen und Orientierung zu geben. Der Arbeitskreis hat den "Stand der Technik" für die relevanten Systeme, Komponenten und Prozesse im Sinne des IT-Sicherheitsgesetzes in einer Handreichung zusammengefasst. Das Dokument gibt konkrete Hinweise und Handlungsempfehlungen.

TeleTrusT-Podcast "Stand der Technik"
soundcloud.com/user-550807873/stand-der-technik

heise/c't-Podcast Stand der Technik
www.heise.de/hintergrund/Auslegungssache-76-Zum-Stand-der-Technik-7337713.html

"Gemeinschafts-Workshop TeleTrusT + CISO Alliance"