TeleTrusT engagiert sich

TeleTrusT - Bundesverband IT-Sicherheit e.V. ist Mitglied des European Telecommunications Standards Institute.

Für TeleTrusT-Infos

E-Mailadresse:

TeleTrusT-Video

TeleTrusT-Video

TeleTrusT-Kooperationen

Allianz für Cyber-Sicherheit Logo: Cryptocharta Logo: Cyber Security Challenge SecuPedia Logo: Sicherheits Expo München OMNISECURE Logo Mobile World Congress Logo: secIT RSA Conference Logo Logo: IT Security Insights Logo: Security World Vietnam InfoSecurity Logo: SDW 2018 D-A-CH Security Logo Innovation World qSkills Security Summit it-sa Logo Logo: it-sa India it-sa Brasil Logo: Internet Security Days 9. Österreichischer IT-Sicherheitstag 2012 Logo German Silicon Valley Accelerator Koordinierungsstelle IT-Sicherheit im DIN Deutsches Institut für Normung Logo: eab – European Association for Biometrics Verbraucher sicher online Open Signature Initiative SkIDentity Logo

Pressemitteilung

Donnerstag, den 14.06.2018, 08:00 Uhr

Was ist "Stand der Technik" nach IT-Sicherheitsgesetz und DSGVO?

Bundesverband IT-Sicherheit e.V. (TeleTrusT) veröffentlicht revidierte und erweiterte Handreichung zum Stand der Technik in der IT-Sicherheit

Berlin, 14.06.2018 - Mit dem "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" (IT-Sicherheitsgesetz bzw. ITSiG) verfolgt der Gesetzgeber das Ziel, Defizite in der IT-Sicherheit abzubauen. Daneben gilt seit dem 25.05.2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die technischen und organisatorischen Maßnahmen. Beide Rechtsquellen fordern die Orientierung der IT-Sicherheit am Stand der Technik, lassen aber unbeantwortet, was im Detail darunter zu verstehen ist. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat seine Handreichung zum Stand der Technik überarbeitet und im Lichte neuer Erkenntnisse erweitert.

Täglich zeigen Meldungen zu Sicherheitsvorfällen in Unternehmen und Behörden, dass dringender Handlungsbedarf zur Verbesserung der IT-Sicherheit besteht. Artikel 32 DSGVO regelt zur "Sicherheit der Verarbeitung", dass "unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen sind." Damit soll ein dem Risiko angemessenes Schutzniveau gewährleistet werden, z.B. durch Maßnahmen wie Verschlüsselung.

Sowohl der nationale als auch der europäische Gesetzgeber enthalten sich jedoch konkreter, detaillierter technischer Anforderungen und Bewertungskriterien für die sicherheitsrelevanten technischen und organisatorischen Maßnahmen. Den Gesetzesadressaten werden auch keinerlei methodische Ansätze geliefert. Diese Ausgestaltung, zumal in einem dynamischen Marktumfeld, muss den Fachkreisen überlassen bleiben.

TeleTrusT flankiert und ergänzt die Rechtslage mit der fachlichen Kompetenz der organisierten IT-Sicherheitswirtschaft in Deutschland. Eine Expertengruppe hat die bestehende "TeleTrusT-Handreichung zum Stand der Technik" überarbeitet und ergänzt. Das Dokument gibt konkrete Hinweise und Handlungsempfehlungen.

Link: https://www.teletrust.de/arbeitsgremien/recht/stand-der-technik/

RA Karsten U. Bartels LL.M. (HK2 Rechtsanwälte; TeleTrusT-Vorstand und Leiter der TeleTrusT-AG "Recht"): "Unsere Handreichung zum Stand der Technik soll Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des 'Standes der Technik' im Sinne des IT-Sicherheitsgesetzes und der Datenschutz-Grundverordnung geben. Das Dokument kann dabei als Referenz für vertragliche Vereinbarungen, Vergabeverfahren bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen."

Tomasz Lawicki (AC Schwerhoff; Leiter des TeleTrusT-AK "Stand der Technik"): "Mit der Handreichung in der Auflage 2018 setzen wir einen weiteren Meilenstein in der Bestimmung des 'Standes der Technik' von technischen und organisatorischen Sicherheitsmaßnahmen. Das soll auch in Zukunft so bleiben."

Die Handreichung versteht sich als Ausgangspunkt bei der Ermittlung von gesetzlichen IT-Sicherheitsmaßnahmen. Sie ersetzt nicht eine technische, organisatorische oder rechtliche Beratung bzw. Bewertung im Einzelfall.