Publikation

KES Sonderausgabe zu Cebit 2017

(Neu-) Entdeckung des „Stand der Technik“

Der „Stand der Technik“ als vermeidlich „neue“ Erfindung der aktuellen Gesetzgebung bringt Unternehmen in die schwierige Lage, etwas zu erfüllen, was nicht hinreichend definiert ist. Was jedoch nicht konkret definiert ist, bietet viel Raum für Interpretationen. Im Streitfall wird die Rechtsprechung entscheiden, ob das geforderte Sicherheitsniveau eingehalten wurde. Unternehmen können jedoch vorsorgen und sich mit dem Thema rechtzeitig auseinander setzen.

Tomasz LawickiKES Sonderausgabe zu Cebit 2017

BvD News 2/2016

Bestimmung des „Stands der Technik“

Im Juli 2015 trat das IT-Sicherheitsgesetz (IT-SiG) in Kraft. Damit wurde ein branchenübergreifendes Fundament für die nachhaltige Verbesserung der IT-Sicherheit in Deutschland geschaffen. Obwohl sich IT-SiG augenscheinlich an die sogenannten Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) richtet, sind auch die Nicht-KRITIS-Betreiber mittelbar und unmittelbar dazu verpflichtet, den geforderten „Stand der Technik“ einzuhalten, denn die Verpflichtung zur Einhaltung der gesetzlichen Vorgaben werden die KRITIS-Betreiber bei ihren Dienstleistern vertraglich eingefordern. Eine weitere Verpflichtung beruht auf den mit dem IT-SiG eingeführten Änderungen im Telemediengesetz (TMG). Dort wird zumindest die Berücksichtigung des „Stands der Technik“ klar gefordert und zwar unabhängig von der KRITIS-Einordnung.

Doch was bedeutet „Stand der Technik“ konkret? Wie kann man ihn nachweisen und die geforderten technischen und organisatorischen Maßnahmen umsetzen? Welche Maßnahmen gilt es mindestens zu berücksichtigen? Diese Fragen werden weder im IT-SiG noch in der bisher veröffentlichten KRITIS-Verordnung zur Bestimmung der KRITIS-Betreiber beantwortet.

In der Gesetzgebung wird der Begriff „Stand der Technik“ gerne verwendet, weil er zeitlos, unverbindlich, aber dennoch zweckdienlich ist. Einerseits wird die vom Gesetzgeber gewollte Zielrichtung vorgegeben, andererseits bleibt der Gesetzestext unabhängig von der technologischen Entwicklung entkoppelt und ist somit stets aktuell. Doch wenn es darum geht, den „Stand der Technik“ einzuhalten und gar nachzuweisen, wird es für die Betroffenen schwierig, diesen praxistauglich zu bestimmen.

Der „Stand der Technik“ muss von den begrifflich ähnlich lautenden Generalklauseln wie „allgemein anerkannte Regeln der Technik“ und „Stand der Wissenschaft und Technik“ abgegrenzt werden.

Begrifflich ist der „Stand der Technik“ zwischen den beiden Generalklauseln anzusehen.[1]

Sollen bereits implementierte oder erst zu planende Maßnahmen eingeordnet werden, bedarf es einer Methodik mit eindeutigen und nachvollziehbaren Kriterien.[2] Die Methodik muss es ermöglichen, die Maßnahmen objektiv zu bewerten, mit Alternativen zu vergleichen und zu dokumentieren.

Neben den einzelnen Maßnahmen und deren Alternativen muss auch die Gesamtheit der Maßnahmen betrachtet werden, denn die Wirksamkeit der eingesetzten Maßnahmen ist nur so gut, wie ihr schwächster Bestandteil.

Für die initiale Analyse wird auf die vom TeleTrusT, Bundesverband für IT-Sicherheit im Mai dieses Jahres veröffentlichte „Handreichung zum Stand der Technik im Sinne des IT-Sicherheitsgesetzes“ verwiesen.[3] Das Dokument kann als Referenz für Vereinbarungen zu Sicherheitsmaßnahmen bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen. Da die heutigen, als „Stand der Technik“ geltenden, Maßnahmen aufgrund der evolutionsbedingten Verschiebung vielleicht schon morgen eher den „allgemein anerkannten Regeln der Technik“ zuzuordnen sind, muss ihre Aktualität fortlaufend geprüft werden.

Auch die Europäische Datenschutz-Grundverordnung (DS-GVO) fordert bei der Umsetzung von technischen und organisatorischen Maßnahmen die Berücksichtigung des „Stands der Technik“. Auch in diesem Fall wurden die geforderten Schutzmaßnahmen nicht eindeutig konkretisiert. Der Arbeitskreis „Stand der Technik“ des TeleTrust wird daher weitere Unterstützung leisten und die oben erwähnte Handreichung im Hinblick auf die datenschutzrechtlichen Bestimmungen aus technischer Sicht ergänzen. So kann die Forderung zur Einhaltung des „Stands der Technik“ als verbindendes Element eine Brücke zwischen dem geforderten Datenschutz und der IT-Sicherheit schlagen.

[1] Vgl. Bundesministerium für Justiz und Verbraucherschutz, Handbuch der Rechtsförmlichkeit, Seite 4,
http://hdr.bmj.de/page_b.4.html

[2] Vgl. dazu Michaelis, Der „Stand der Technik“ im Kontext regulatorischer Anforderungen, DuD 2016, S. 458 ff.

[3] Die „Handreichung zum Stand der Technik im Sinne des IT-Sicherheitsgesetzes“ ist frei abrufbar auf der
Internetseite von TeleTrust unter: https://www.teletrust.de/publikationen/broschueren/stand-der-technik/.

Der Artikel ist erstmals erschienen in der Ausgabe 2/2016 der BvD News: https://www.bvdnet.de/bvdnews.html

Den Artikel finden Sie unter: BvDNews16-2_Tomasz_Lawicki

 

Tomasz Lawicki_100x100

TOMASZ LAWICKI
Mehr über Tomasz Lawicki

Tomasz LawickiBvD News 2/2016

Was ist der „Stand der Technik“?

Der „Stand der Technik“ im Kontext regulatorischer Anforderungen

Das IT-Sicherheitsgesetz (ITSiG) verpflichtet eine Reihe von Unternehmen, bei der Umsetzung von Sicherheitsmaßnahmen den jeweiligen „Stand der Technik“ einzuhalten. Für die betroffenen Unternehmen bedeutet dies, dass sie im Falle einer Nachweispflicht darlegen müssen, dass ihre Maßnahmen den Anforderungen des Gesetzes genügen und die Zuweisung zu der Generalklausel „Stand der Technik“ rechtfertigen.

Bisher lag eine Methodik für den Nachweis zum „Stand der Technik“ im Bereich der Informationstechnologie bzw. Informationssicherheit nicht vor. In diesem Beitrag wird daher ein Verfahren für die Bestimmung des „Stands der Technik“ von IT-Sicherheitsmaßnahmen aus vorhandenen Überlegungen anderer Fachrichtungen abgeleitet.

„Stand der Technik“

Schema zur Zuweisung in die Generalklausel „Stand der Technik“

Als unbestimmter Rechtsbegriff gliedert sich der „Stand der Technik“ in den Kanon der Generalklauseln zwischen den „allgemein anerkannten Regeln der Technik“ und dem „Stand der Wissenschaft und Technik“ ein. Der Übergang zwischen den einzelnen Regeln und Standards ist dabei erfahrungsgemäß fließend, was einen Unsicherheitsfaktor für alle einschlägigen Planungen darstellt. Im Interesse der vom ITSiG betroffenen Unternehmen ist diesem Umstand sachgerecht zu begegnen.

The Auditing Company, Sachverständigen-Sozietät Dr. Schwerhoff (AC)  möchte durch die hier skizzierte Methodik der Herausforderung von Unternehmen begegnen, den formellen Nachweis des „Stands der Technik“ und die Abgrenzung zwischen dem „Stand der Technik“ und den „anerkannten Regeln der Technik“ gesetzeskonform und praxistauglich zu führen.

Wegen der fließenden und sich ständig ändernden Abgrenzung der Generalklauseln bedarf es im Rahmen der Nachweispflicht des ITSiG einer Bewertung des „Stands der Technik“, die es den Unternehmen ermöglicht, seine umgesetzten technischen und organisatorischen Maßnahmen nachvollziehbar darzustellen, so dass ein sachkundiger Dritter sie fundiert und notfalls gerichtsfest überprüfen kann. Da die Generalklausel „Stand der Technik“ das obere Ende des technisch Möglichen und praktisch Bewährten abbildet, stellt die stichtagsbezogene Abgrenzung zwischen dem „Stand der Technik“ und den „anerkannten Regeln der Technik“ eine besondere Herausforderung dar und sollte je nach Kritikalität und Schutzbedarf der Daten und Anwendungen sogar durch sachkundige Experten, wie z.B. Sachverständige, begründet und anhand nachvollziehbarer und vergleichbarer Kriterien dokumentiert werden.

Der Artikel ist erschienen in der Zeitschrift „Datenschutz und Datensicherheit – DuD, 40(7), 458-462

Eine Kopie des vollständigen Artikels können Sie hier herunterladen:

Patrick-Michaelis
PATRICK MICHAELIS
MEHR ÜBER PATRICK MICHAELIS

Patrick MichaelisWas ist der „Stand der Technik“?

Handreichung zum „Stand der Technik“

Im Mai 2016 hat der TeleTrusT – Bundesverband IT-Sicherheit e.V. die „Handreichung zum ‚Stand der Technik‘ im Sinne des IT-Sicherheitsgesetzes“ veröffentlicht.

The Auditing Company, Sachverständigen Sozietät Dr. Schwerhoff (AC) hat mit Co-Autoren und dem Leiter des gleichnamigen Arbeitskreises „Stand der Technik“ federführend an der Entstehung dieser Handreichung mitgewirkt. Das Dokument liefert praxistaugliche Handlungsempfehlungen und kann als Leitlinie und Orientierungshilfe für zukünftige Betrachtungen dienen.

Der TeleTrust sagt hierzu: „Die Handreichung soll den anwendenden Unternehmen und Anbietern (Hersteller, Dienstleister) gleichermaßen Hilfestellung zur Bestimmung des „Standes der Technik“ geben“. [1]

Tomasz Lawicki, Associated Senior Auditor bei AC und Leiter des TeleTrusT-Arbeitskreises „Stand der Technik“ sagt in der Pressemeldung des TeleTrusT:

Durch das ITSiG sind Unternehmen („KRITIS“ und „Nicht-KRITIS“) gefordert, ihre Sicherheitsmaßnahmen im Hinblick auf die Aktualität und Wirksamkeit zu überprüfen. Die TeleTrusT-Handreichung zum Stand der Technik unterstützt Unternehmen dabei, den Zustand der Sicherheitsmaßnahmen realistisch einzuschätzen und gegebenenfalls Nachbesserungen abzuleiten und trägt dadurch branchenübergreifend zur Erhöhung der Informationssicherheit bei.

Um den „Stand der Technik“ für unsere Klienten messbar zu gestalten und damit mögliche Pönalen oder Bußgelder abzuwenden, hat AC darüber hinaus eine Prüfmethodik entwickelt, die es ermöglicht, den „Stand der Technik“ für die umgesetzten technischen und organisatorischen Maßnahmen nachzuweisen.

Gerne erläutern wir Ihnen unsere Leistungen in einem persönlichen Gespräch oder beantworten Ihre Fragen, um zu klären, inwieweit Sie bereits der Nachweispflicht unterliegen oder entsprechende Nachweise von Ihren Lieferanten benötigen.

Bei Bedarf unterstützen wir Sie auch im Rahmen eines ersten Check-ups ausgewählter Maßnahmen bei der Identifizierung möglichen Handlungsbedarfs.

Die Handreichung des TeleTrusT können Sie hier herunterladen.

Patrick-Michaelis
PATRICK MICHAELIS
MEHR ÜBER PATRICK MICHAELIS


[1] TeleTrusT Pressemeldung vom 26. Mai 2016

Patrick MichaelisHandreichung zum „Stand der Technik“