UNSER BLOG

KES Sonderausgabe zu Cebit 2017

(Neu-) Entdeckung des „Stand der Technik“

Der „Stand der Technik“ als vermeidlich „neue“ Erfindung der aktuellen Gesetzgebung bringt Unternehmen in die schwierige Lage, etwas zu erfüllen, was nicht hinreichend definiert ist. Was jedoch nicht konkret definiert ist, bietet viel Raum für Interpretationen. Im Streitfall wird die Rechtsprechung entscheiden, ob das geforderte Sicherheitsniveau eingehalten wurde. Unternehmen können jedoch vorsorgen und sich mit dem Thema rechtzeitig auseinander setzen.

In den vergangenen zwei Jahren hat der Begriff „Stand der Technik“ durch die Gesetzgebung an Brisanz gewonnen: Aus dem IT-Sicherheitsgesetz (IT-SiG) resultiert die Verpflichtung zur Einhaltung des Stands der Technik augenscheinlich nur für die Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) sowie mittelbar, auch für ihre IT-Dienstleister. Augenscheinlich, da auch die Anbieter von Telemediendiensten durch das angepasste Telemediengesetz (TMG) zur Berücksichtigung des Stands der Technik verpflichtet wurden. Mit dem Kabinettsbeschluss vom 25. Januar 2017 zur Umsetzung der Europäischen Richtlinie zur Gewährleistung hoher Netz- und Informationssicherheit (NIS-RL) rücken die Anbieter von sogenannten „Digitalen Diensten“ stärker in den Fokus.[1] Auch die im Sommer 2016 veröffentlichte Europäische Datenschutz-Grundverordnung (DS-GVO) fordert die Berücksichtigung des „Stands der Technik“.[2]

Alle diese gesetzlichen Änderungen führen dazu, dass sich Unternehmen, nicht nur KRITIS, mit der Bestimmung, der Einhaltung und dem Nachweis des „Stands der Technik“ ihrer technischen und organisatorischen Maßnahmen auseinander setzen müssen.

Begrifflichkeit

Der Begriff „Stand der Technik“ ist nicht gänzlich neu. In vielen Bereichen der Gesetzgebung ist der Begriff schon längst verankert und wird regelmäßig in öffentlichen oder privaten Ausschreibungen sowie in Verträgen seit Langem verwendet. Neu ist jedoch, dass die Einhaltung oder mindestens die Berücksichtigung des „Stand der Technik“ der technischen und organisatorischen Maßnahmen in Verbindung mit der IT-Sicherheit und dem Datenschutz gesetzlich vorgegeben ist und bei festgestellten Verstößen sehr hohe Strafen drohen.

Und damit beginnt schon die mehrschichtige Problematik, wenn es darum geht, das geforderte Sicherheitsniveau, also den „Stand der Technik“, einzuhalten oder nachzuweisen. Der Gesetzgeber fordert den „Stand der Technik“, nennt jedoch keine Kriterien zur seiner Bestimmung. Was jedoch nicht konkret definiert ist, kann nicht bewertet und auch nicht eingehalten werden. Erschwerend kommt hinzu, dass die gesetzlichen Vorgaben aus dem IT-SiG und DS-GVO nicht aufeinander abgestimmt sind. Für einen CIO ist es von daher schwierig, die konkreten Maßnahmen am gesetzlich geforderten „Stand der Technik“ praxistauglich zu bestimmen und nachhaltig auszurichten.

Die Bestimmung des „Stands der Technik“ ist komplex. Entgegen der in vielen Debatten vertretenen Meinung, reicht es nicht aus, die Software-Patches einer Sicherheitsmaßnahme regelmäßig zu installieren, um das geforderte Sicherheitsniveau nachzuweisen. Es müssen mehrere Aspekte betrachtet werden.

„Stand der Technik“ muss von den begrifflich ähnlich lautenden Technologieständen wie den „allgemein anerkannten Regeln der Technik“ und dem „Stand der Wissenschaft und Forschung“ sprachlich und messbar abgegrenzt werden. Diese drei Technologiestände lassen sich aus der „Drei-Stufen-Theorie“ der Kalkar-Entscheidung[3] des Bundesverfassungsgerichts ableiten. Einfach ausgedrückt: Der „Stand der Technik“ ist innovativer als die „allgemein anerkannten Regeln der Technik“ und veralteter gegenüber dem „Stand der Wissenschaft und Forschung“. Diese Unterscheidung ist die wesentliche Grundlage für die Bestimmung des geforderten Sicherheitsniveaus. Wie viele Beispiele aus der Praxis zeigen, werden diese drei Begriffe gleichermaßen in der Rechtsprechung und in der Öffentlichkeit vermischt oder gar verwechselt. [4]

Ausgehend vom gewollten Zweck der Gesetzgebung wird mit dem „Stand der Technik“ ein hohes Sicherheitsniveau und hoher Datenschutz mittels fortschrittlicher Verfahren angestrebt. Die implementierten Sicherheits­maßnahmen müssen daher regelmäßig hinsichtlich ihrer Wirksamkeit im Hinblick auf die geforderten Schutzziele, ihrer Aktualität sowie ihres Innovationsgrads untersucht werden. Daraus resultiert auch ein Vergleich der Sicherheitsmaßnahmen gegen die am Markt vorhandenen Sicherheitsprodukte. Denn was heute als „Stand der Technik“ gilt, kann vielleicht schon morgen aufgrund der „innovationsbedingten Verschiebung“, also der vermeidlichen „Alterung“ der Sicherheitsmaßnahme, eher den „allgemein anerkannten Regeln der Technik“ zugeordnet werden.

Um die implementierten oder die geplanten Sicherheitsmaßnahmen einzuordnen, bedarf es einer transparenten Methodik mit eindeutigen und nachvollziehbaren Kriterien. Diese Methodik muss ermöglichen, die Sicherheitsmaßnahmen objektiv zu bewerten, sie mit Alternativen zu vergleichen und zu Nachweiszwecken zu dokumentieren. Bei der Bewertung muss neben der einzelnen Sicherheitsmaßnahme (vertikale Betrachtung) auch die Gesamtheit der Maßnahmen entlang der Datenströme untersucht werden (horizontale Betrachtung).

Basis

Als Grundlage der Bewertung können die vom BSI erarbeiteten Technischen Richtlinien oder die Branchenstandards (B3S) verwendet werden. Aber auch hier gilt es genau hinzuschauen, ob die dort definierten Standards auch dem „Stand der Technik“ entsprechen. Normen und Standards neigen zur Alterung und können nur eingeschränkt als Referenz zur Einhaltung des geforderten Sicherheitsniveaus verwendet werden. Ausgehend von der zuvor erwähnten „Drei-Stufen-Theorie“ wären sie die geeigneten Kandidaten für die Kategorie „allgemein anerkannte Regeln der Technik“ und entsprechen daher nicht dem gewollten Zweck der Gesetzgebung.

Praxisnaher ist die vom Arbeitskreis „Stand der Technik“ des TeleTrusT, Bundesverband für IT-Sicherheit herausgegebene „Handreichung zum Stand der Technik im Sinne des IT-Sicherheits­gesetzes“[5], die auf einige BSI Richtlinien verweist. Das Dokument betrachtet in erster Linie die Vorgaben aus dem IT-SiG und liefert einige Beispiele zum „Stand der Technik“ aus den Bereichen „Vernetzung“, „Internetzugang“, „Digital Enterprise Security“, „Client- und Serversicherheit“, „Mobile Security“ sowie den relevanten Prozessen. Die technischen Grundlagen, die sich aus der DSGVO ergeben, befinden sich derzeit in Erarbeitung.

Fazit

Unternehmen wird angeraten, sich mit dem „Stand der Technik“ im Zusammenhang mit dem IT-SiG und der DSGVO frühzeitig zu beschäftigen, um unternehmensweite Strategien am geforderten Sicherheitsniveau nachhaltig auszurichten. Angesichts der schnell vorübergehenden Übergangsfristen für die Umsetzung der gesetzlichen Vorgaben sowie der stetig wachsenden Bedrohung durch Cyber-Kriminalität, bleibt nicht allzu viel Zeit.

Hersteller sind aufgefordert, Unternehmen aktiv zu unterstützen und innovative Sicherheitsprodukte anzubieten, die nach den Prinzipien „security by design“ und „privacy by design“ ausgerichtet sind und eine modulare, unternehmensspezifische Einhaltung der Vorgaben aus dem IT-SiG und DSGVO ermöglichen.

[1] http://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2017/01/nis-umsetzungsgesetz.html

[2] EUR-Lex: http://eur-lex.europa.eu/, Verordnung (EU) 2016/679

[3] BVerfGE, 49, 89 [135 f]

[4] Dr. Mark Seibel, Richter am OLG, https://www.dthg.de/resources/Definition-Stand-der-Technik.pdf

[5] Die „Handreichung zum Stand der Technik im Sinne des IT-Sicherheitsgesetzes“ ist frei abrufbar auf der
Internetseite von TeleTrust unter: https://www.teletrust.de/publikationen/broschueren/stand-der-technik/.

Der Artikel ist erstmals erschienen in der <KES> Sonderausgabe zu Cebit 2017.

Den Artikel können Sie hier abrufen: kes2017n1-S.045-050-FREI

Tomasz Lawicki_100x100

TOMASZ LAWICKI
Mehr über Tomasz Lawicki

Tomasz LawickiKES Sonderausgabe zu Cebit 2017

Related Posts

Take a look at these posts