Publikation

Was bedeutet “Stand der Technik”?

on 28. Mai 2018

Aus der DSGVO resultiert die Verpflichtung der Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, um den Schutz personenbezogener Daten sicherzustellen. Dabei soll der Stand der Technik dieser Maßnahmen berücksichtigt werden. Der Artikel zeigt einen methodischen Ansatz, um den Technologiestand der im Unternehmen eingesetzten Maßnahmen zu bestimmen und somit der aus der DSGVO geforderten Dokumentationspflicht nachzugehen.

Tomasz LawickiWas bedeutet “Stand der Technik”?

KES Sonderausgabe zu Cebit 2017

on 16. März 2017

(Neu-) Entdeckung des “Stand der Technik”

Der „Stand der Technik“ als vermeidlich „neue“ Erfindung der aktuellen Gesetzgebung bringt Unternehmen in die schwierige Lage, etwas zu erfüllen, was nicht hinreichend definiert ist. Was jedoch nicht konkret definiert ist, bietet viel Raum für Interpretationen. Im Streitfall wird die Rechtsprechung entscheiden, ob das geforderte Sicherheitsniveau eingehalten wurde. Unternehmen können jedoch vorsorgen und sich mit dem Thema rechtzeitig auseinander setzen.

Tomasz LawickiKES Sonderausgabe zu Cebit 2017

BvD News 2/2016

on 21. Oktober 2016

Bestimmung des “Stands der Technik”

Im Juli 2015 trat das IT-Sicherheitsgesetz (IT-SiG) in Kraft. Damit wurde ein branchenübergreifendes Fundament für die nachhaltige Verbesserung der IT-Sicherheit in Deutschland geschaffen. Obwohl sich IT-SiG augenscheinlich an die sogenannten Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) richtet, sind auch die Nicht-KRITIS-Betreiber mittelbar und unmittelbar dazu verpflichtet, den geforderten „Stand der Technik“ einzuhalten, denn die Verpflichtung zur Einhaltung der gesetzlichen Vorgaben werden die KRITIS-Betreiber bei ihren Dienstleistern vertraglich eingefordern. Eine weitere Verpflichtung beruht auf den mit dem IT-SiG eingeführten Änderungen im Telemediengesetz (TMG). Dort wird zumindest die Berücksichtigung des „Stands der Technik“ klar gefordert und zwar unabhängig von der KRITIS-Einordnung.

Doch was bedeutet „Stand der Technik“ konkret? Wie kann man ihn nachweisen und die geforderten technischen und organisatorischen Maßnahmen umsetzen? Welche Maßnahmen gilt es mindestens zu berücksichtigen? Diese Fragen werden weder im IT-SiG noch in der bisher veröffentlichten KRITIS-Verordnung zur Bestimmung der KRITIS-Betreiber beantwortet.

In der Gesetzgebung wird der Begriff „Stand der Technik“ gerne verwendet, weil er zeitlos, unverbindlich, aber dennoch zweckdienlich ist. Einerseits wird die vom Gesetzgeber gewollte Zielrichtung vorgegeben, andererseits bleibt der Gesetzestext unabhängig von der technologischen Entwicklung entkoppelt und ist somit stets aktuell. Doch wenn es darum geht, den „Stand der Technik“ einzuhalten und gar nachzuweisen, wird es für die Betroffenen schwierig, diesen praxistauglich zu bestimmen.

Der „Stand der Technik“ muss von den begrifflich ähnlich lautenden Generalklauseln wie „allgemein anerkannte Regeln der Technik“ und „Stand der Wissenschaft und Technik“ abgegrenzt werden.

Begrifflich ist der „Stand der Technik“ zwischen den beiden Generalklauseln anzusehen.[1]

Sollen bereits implementierte oder erst zu planende Maßnahmen eingeordnet werden, bedarf es einer Methodik mit eindeutigen und nachvollziehbaren Kriterien.[2] Die Methodik muss es ermöglichen, die Maßnahmen objektiv zu bewerten, mit Alternativen zu vergleichen und zu dokumentieren.

Neben den einzelnen Maßnahmen und deren Alternativen muss auch die Gesamtheit der Maßnahmen betrachtet werden, denn die Wirksamkeit der eingesetzten Maßnahmen ist nur so gut, wie ihr schwächster Bestandteil.

Für die initiale Analyse wird auf die vom TeleTrusT, Bundesverband für IT-Sicherheit im Mai dieses Jahres veröffentlichte „Handreichung zum Stand der Technik im Sinne des IT-Sicherheitsgesetzes“ verwiesen.[3] Das Dokument kann als Referenz für Vereinbarungen zu Sicherheitsmaßnahmen bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen. Da die heutigen, als „Stand der Technik“ geltenden, Maßnahmen aufgrund der evolutionsbedingten Verschiebung vielleicht schon morgen eher den „allgemein anerkannten Regeln der Technik“ zuzuordnen sind, muss ihre Aktualität fortlaufend geprüft werden.

Auch die Europäische Datenschutz-Grundverordnung (DS-GVO) fordert bei der Umsetzung von technischen und organisatorischen Maßnahmen die Berücksichtigung des „Stands der Technik“. Auch in diesem Fall wurden die geforderten Schutzmaßnahmen nicht eindeutig konkretisiert. Der Arbeitskreis „Stand der Technik“ des TeleTrust wird daher weitere Unterstützung leisten und die oben erwähnte Handreichung im Hinblick auf die datenschutzrechtlichen Bestimmungen aus technischer Sicht ergänzen. So kann die Forderung zur Einhaltung des „Stands der Technik“ als verbindendes Element eine Brücke zwischen dem geforderten Datenschutz und der IT-Sicherheit schlagen.

[1] Vgl. Bundesministerium für Justiz und Verbraucherschutz, Handbuch der Rechtsförmlichkeit, Seite 4,
http://hdr.bmj.de/page_b.4.html

[2] Vgl. dazu Michaelis, Der „Stand der Technik“ im Kontext regulatorischer Anforderungen, DuD 2016, S. 458 ff.

[3] Die „Handreichung zum Stand der Technik im Sinne des IT-Sicherheitsgesetzes“ ist frei abrufbar auf der
Internetseite von TeleTrust unter: https://www.teletrust.de/publikationen/broschueren/stand-der-technik/.

Der Artikel ist erstmals erschienen in der Ausgabe 2/2016 der BvD News: https://www.bvdnet.de/bvdnews.html

Den Artikel finden Sie unter: BvDNews16-2_Tomasz_Lawicki

 

Tomasz Lawicki

TOMASZ LAWICKI
Mehr über Tomasz Lawicki

Tomasz LawickiBvD News 2/2016

Das ITSiG und der Stand der Technik

on 3. November 2015

Mit dem IT Sicherheitsgesetz (ITSiG) werden vom Gesetzgeber Mindeststandards für die IT-Sicherheit von Betreibern besonders gefährdeter Infrastrukturen gefordert. Doch kann Sicherheit angeordnet werden? Welche technischen Herausforderungen stehen betroffenen Unternehmen ins Haus?

Das Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde 1995 veröffentlicht und ist inzwischen 20 Jahre alt. 20 Jahre, in denen sich die Leistung von IT-Systemen rasant weiterentwickelt hat. Doch haben sich die IT-Sicherheitsorganisationen und IT-Managementsysteme in dieser Zeit gleichermaßen entwickelt? Die Frage darf klar verneint werden.

Der Staat greift nun regulativ ein und für einige werden Erinnerungen an 1975 wach. „Sicherheit verkauft sich schlecht“ sagte VW-Chef Kurt Lotz 1970 im Zuge der Diskussion um die Anschnallpflicht. Der Spiegel titelte in 50/1975 „Gefesselt ans Auto“ und stellte die Frage: „Soll und darf der liberale Staat die Auto-Bürger zum Überleben zwingen?“.

Wie im Straßenverkehr geht es im Cyberraum nicht nur darum, Schaden vom Einzelnen abzuwenden. Es geht um den Schutz der Gemeinschaft, um die negativen Auswirkungen – nicht nur finanzieller Art – auf uns alle zu minimieren. Aufklärung und Werbekampagnen haben in den frühen siebziger Jahren keine nennenswerten Erfolge beim Verhalten deutscher Autofahrer gebracht. Nur durch die Verpflichtungen für Hersteller, Bußgelder und den dadurch eingetretenen stetigen Prozess der Einsicht, haben wir nach 40 Jahren in Deutschland eine Anschnallquote von über 98 Prozent erreicht.

Der Nutzen des Sicherheitssystems, wenn es richtig konstruiert und angelegt ist, steht beim Gurt außer Frage. Beim Thema „Cyberrisiken“ bedarf es aber scheinbar noch einiger Aufklärung und Darstellungen potentieller Szenarien, um diesen Prozess weiter voranzutreiben.

Als Artikelgesetz beinhaltet das ITSiG eine Reihe anderer Gesetze und Vorschriften. Auch wenn es primär als Gesetz für die Betreiber kritischer Infrastrukturen (KRITIS) gedacht war, ist davon auszugehen, dass auch Zulieferer, Dienstleister oder Kooperationspartner solcher Betreiber mittelbar vom ITSiG betroffen sein werden, sofern ihre Leistungen Einfluss oder Auswirkungen auf die Sicherheit der betrachteten Infrastrukturen haben.

„Stand der Technik“ – ein unbestimmter Rechtsbegriff

Für die direkt betroffenen Unternehmen fordert das ITSiG angemessene organisatorische und technische Maßnahmen unter Einhaltung des „Stands der Technik“. Der „Stand der Technik“ ist dabei keine direkt messbare Größe, sondern ein Grundsatz für die Festlegung von Maßnahmen und die branchenspezifische Präzisierung von Anforderungen.

Was genau das für das einzelne Unternehmen bedeutet, ob und inwieweit je nach Unternehmensgröße unterschiedliche Maßstäbe angelegt werden können oder müssen, ist derzeit ungeklärt und sorgt weiterhin für Unsicherheit bei der Umsetzung. Am Ende wird es klare Definitionen geben müssen oder Sachverständige werden aufgefordert, im Einzelfall zu prüfen, ob die Maßgaben des Gesetzes eingehalten wurden.

Das BSI stellt fest, dass es nicht möglich ist, den „Stand der Technik“ allgemeingültig und abschließend zu beschreiben. Er lasse sich jedoch „anhand existierender nationaler oder internationaler Standards wie DIN oder ISO-Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln“. Für die vom ITSiG direkt und indirekt betroffenen Unternehmen bedeutet dies, dass eine Vielzahl von allgemeinen und branchenspezifischen Normen und Standards einzuhalten, geprüft und ggf. zertifiziert werden müssen.

Die branchenspezifischen Mindeststandards für die Informationssicherheit werden dabei flankiert durch die Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) sowie einer Meldepflicht für Unternehmen gegenüber Kunden und dem BSI. Um im Rahmen der regelmäßigen Nachweispflicht festzustellen, ob und inwieweit der „Stand der Technik“ eingehalten wurde, bedarf es einer fachlichen sowie branchenbezogenen Interpretation der umgesetzten Maßnahmen.

Die IT-Sicherheitsbranche in der Pflicht

Für Unternehmen ist eine konkrete, wenn auch nicht abschließend beschriebene Umsetzung erforderlich und es muss einer kontinuierlichen Fortentwicklung der Systeme Rechnung getragen werden. Insbesondere Betreiber kritischer Infrastrukturen müssen dem BSI alle zwei Jahre nachweisen, dass die Anforderungen an die organisatorischen und technischen Maßnahmen eingehalten werden.

Es wird die Aufgabe der Unternehmen, der fachlichen Gremien, Branchen- und Wirtschaftsverbände sowie unabhängiger Experten sein, konkrete, objektive und vergleichbare Anforderungen festzulegen und Handlungsempfehlungen abzugeben. Die Ergebnisse müssen es ermöglichen, dass ein Unternehmen die umgesetzten technischen und organisatorischen Maßnahmen nachvollziehbar darstellen, ein Sachverständiger sie nachvollziehbar prüfen und die Judikative sie bewerten kann.

Kompetenznetzwerke wie der Bundesverband IT-Sicherheit e.V. (TeleTrusT) bieten hierzu Hilfestellungen. So gibt der TeleTrusT-Arbeitskreis zum „Stand der Technik“ Handlungsempfehlungen und Orientierungen für betroffene Wirtschaftskreise: Was gilt jeweils als „Stand der Technik“ in Bezug auf IT-Sicherheit.

Das IT Sicherheitsgesetz – Motor für unternehmensspezifische Lösungen?

Im Rahmen der Nachweispflicht ist darzustellen, dass entsprechende Maßnahmen dem „Stand der Technik“ entsprechend geplant und umgesetzt sind. Mit Hinblick auf die zeitlichen Vorgaben verspricht eine inkrementelle und iterative Strategie Vorteile bei der notwendigen Überprüfung, ohne den laufenden Betrieb überproportional zu belasten.

Eine Priorisierung der Systeme und ihrer Sicherheitsmaßnahmen sollte nach Wichtigkeit und Wirkung erfolgen. Dabei sind Systeme und Maßnahmen mit besonderer Bedeutung für die Aufrechterhaltung der angebotenen Leistung vorrangig zu betrachten. Ein besonderes Augenmerk ist hierbei auf die systemübergreifenden Effekte und Einflüsse zu legen.

Für Unternehmen kann und muss daher eine individuelle Betrachtung der Angemessenheit und Wirtschaftlichkeit erfolgen und nachvollziehbar dokumentiert werden. So ist es einem Auditor später möglich zu bewerten, ob der „Stand der Technik“ eingehalten wurde und die Maßnahmen geeignet sind, die Sicherheitsziele und -anforderungen zu erreichen.

Ein ISMS liefert dabei den Rahmen für eine konsequente Umsetzung der Sicherheitsstrategie. Im Fall eines Sicherheitsvorfalls ist aber zu erwarten, dass die technische Umsetzung – die bei ISO/IEC 27001 nicht definiert ist – ausschlaggebend für eine Bewertung sein wird, ob und/oder in welchem Umfang die regulatorischen Anforderungen umgesetzt wurden.

Spätestens mit der Veröffentlichung der Rechtsverordnung im ersten Quartal 2016 gilt daher für die betroffenen Unternehmen, dass die Anforderungen an den „Stand der Technik“ für die eigene IT-Infrastruktur durch einen unabhängigen Dritten festgestellt werden sollte. Anschließend kann die Sicherheit umfassend geplant, dokumentiert und entschlossen vorangetrieben werden. So lässt die Analogie des ITSiG zur Gurtpflicht hoffen, dass wir auch im Bereich der Informationssicherheit in einigen Jahren eine hohe Akzeptanz der Notwendigkeit und des Nutzens von Sicherheitssystemen erreicht haben.

Erstmalig erschienen im Security Insider am 2.11.2015

 

Tomasz LawickiDas ITSiG und der Stand der Technik