Security

All posts tagged Security

Was ist der „Stand der Technik“?

Der „Stand der Technik“ im Kontext regulatorischer Anforderungen

Das IT-Sicherheitsgesetz (ITSiG) verpflichtet eine Reihe von Unternehmen, bei der Umsetzung von Sicherheitsmaßnahmen den jeweiligen „Stand der Technik“ einzuhalten. Für die betroffenen Unternehmen bedeutet dies, dass sie im Falle einer Nachweispflicht darlegen müssen, dass ihre Maßnahmen den Anforderungen des Gesetzes genügen und die Zuweisung zu der Generalklausel „Stand der Technik“ rechtfertigen.

Bisher lag eine Methodik für den Nachweis zum „Stand der Technik“ im Bereich der Informationstechnologie bzw. Informationssicherheit nicht vor. In diesem Beitrag wird daher ein Verfahren für die Bestimmung des „Stands der Technik“ von IT-Sicherheitsmaßnahmen aus vorhandenen Überlegungen anderer Fachrichtungen abgeleitet.

„Stand der Technik“

Schema zur Zuweisung in die Generalklausel „Stand der Technik“

Als unbestimmter Rechtsbegriff gliedert sich der „Stand der Technik“ in den Kanon der Generalklauseln zwischen den „allgemein anerkannten Regeln der Technik“ und dem „Stand der Wissenschaft und Technik“ ein. Der Übergang zwischen den einzelnen Regeln und Standards ist dabei erfahrungsgemäß fließend, was einen Unsicherheitsfaktor für alle einschlägigen Planungen darstellt. Im Interesse der vom ITSiG betroffenen Unternehmen ist diesem Umstand sachgerecht zu begegnen.

The Auditing Company, Sachverständigen-Sozietät Dr. Schwerhoff (AC)  möchte durch die hier skizzierte Methodik der Herausforderung von Unternehmen begegnen, den formellen Nachweis des „Stands der Technik“ und die Abgrenzung zwischen dem „Stand der Technik“ und den „anerkannten Regeln der Technik“ gesetzeskonform und praxistauglich zu führen.

Wegen der fließenden und sich ständig ändernden Abgrenzung der Generalklauseln bedarf es im Rahmen der Nachweispflicht des ITSiG einer Bewertung des „Stands der Technik“, die es den Unternehmen ermöglicht, seine umgesetzten technischen und organisatorischen Maßnahmen nachvollziehbar darzustellen, so dass ein sachkundiger Dritter sie fundiert und notfalls gerichtsfest überprüfen kann. Da die Generalklausel „Stand der Technik“ das obere Ende des technisch Möglichen und praktisch Bewährten abbildet, stellt die stichtagsbezogene Abgrenzung zwischen dem „Stand der Technik“ und den „anerkannten Regeln der Technik“ eine besondere Herausforderung dar und sollte je nach Kritikalität und Schutzbedarf der Daten und Anwendungen sogar durch sachkundige Experten, wie z.B. Sachverständige, begründet und anhand nachvollziehbarer und vergleichbarer Kriterien dokumentiert werden.

Der Artikel ist erschienen in der Zeitschrift „Datenschutz und Datensicherheit – DuD, 40(7), 458-462

Eine Kopie des vollständigen Artikels können Sie hier herunterladen:

Patrick-Michaelis
PATRICK MICHAELIS
MEHR ÜBER PATRICK MICHAELIS

Patrick MichaelisWas ist der „Stand der Technik“?

Handreichung zum „Stand der Technik“

Im Mai 2016 hat der TeleTrusT – Bundesverband IT-Sicherheit e.V. die „Handreichung zum ‚Stand der Technik‘ im Sinne des IT-Sicherheitsgesetzes“ veröffentlicht.

The Auditing Company, Sachverständigen Sozietät Dr. Schwerhoff (AC) hat mit Co-Autoren und dem Leiter des gleichnamigen Arbeitskreises „Stand der Technik“ federführend an der Entstehung dieser Handreichung mitgewirkt. Das Dokument liefert praxistaugliche Handlungsempfehlungen und kann als Leitlinie und Orientierungshilfe für zukünftige Betrachtungen dienen.

Der TeleTrust sagt hierzu: „Die Handreichung soll den anwendenden Unternehmen und Anbietern (Hersteller, Dienstleister) gleichermaßen Hilfestellung zur Bestimmung des „Standes der Technik“ geben“. [1]

Tomasz Lawicki, Associated Senior Auditor bei AC und Leiter des TeleTrusT-Arbeitskreises „Stand der Technik“ sagt in der Pressemeldung des TeleTrusT:

Durch das ITSiG sind Unternehmen („KRITIS“ und „Nicht-KRITIS“) gefordert, ihre Sicherheitsmaßnahmen im Hinblick auf die Aktualität und Wirksamkeit zu überprüfen. Die TeleTrusT-Handreichung zum Stand der Technik unterstützt Unternehmen dabei, den Zustand der Sicherheitsmaßnahmen realistisch einzuschätzen und gegebenenfalls Nachbesserungen abzuleiten und trägt dadurch branchenübergreifend zur Erhöhung der Informationssicherheit bei.

Um den „Stand der Technik“ für unsere Klienten messbar zu gestalten und damit mögliche Pönalen oder Bußgelder abzuwenden, hat AC darüber hinaus eine Prüfmethodik entwickelt, die es ermöglicht, den „Stand der Technik“ für die umgesetzten technischen und organisatorischen Maßnahmen nachzuweisen.

Gerne erläutern wir Ihnen unsere Leistungen in einem persönlichen Gespräch oder beantworten Ihre Fragen, um zu klären, inwieweit Sie bereits der Nachweispflicht unterliegen oder entsprechende Nachweise von Ihren Lieferanten benötigen.

Bei Bedarf unterstützen wir Sie auch im Rahmen eines ersten Check-ups ausgewählter Maßnahmen bei der Identifizierung möglichen Handlungsbedarfs.

Die Handreichung des TeleTrusT können Sie hier herunterladen.

Patrick-Michaelis
PATRICK MICHAELIS
MEHR ÜBER PATRICK MICHAELIS


[1] TeleTrusT Pressemeldung vom 26. Mai 2016

Patrick MichaelisHandreichung zum „Stand der Technik“

Veranstaltung „Lernen mit Sicherheit“

WISSEN IST DAS EINZIGE GUT, DAS SICH VERMEHRT, WENN MAN ES TEILT.“ (MARIE VON EBNER-ESCHENBACH)

Mit der Veranstaltung „Lernen mit Sicherheit“ wurde bei der Schwerhoff Gruppe eine Tradition fortgeführt, die den Mitarbeitern seit Jahren am Herzen liegt. Wir wollen jungen Menschen technisches und wirtschaftliches Wissen vermitteln, so dass sie für die Herausforderungen der modernen Welt gerüstet sind. Wir hoffen, durch unser Engagement neue Impulse zu entfachen und mit Praxisnähe und Bezügen zur „Realität“  ihr Potential, ihr Wissen und ihre Kreativität zu fördern.

In der kürzlich durchgeführten Veranstaltung im Bereich „Informationssicherheit“ ging es um die Sichtweise des „Hackers“ und um die Motivation, Systeme und deren Abläufe zu verstehen. Anhand praktischer Übungen wurde gezeigt, dass mögliche Schwachstellen bereits durch eine konsequente und durchdachte Planung und Analyse erkannt werden können.  Die frühzeitige Umsetzung von Gegenmaßnahmen sichert so bereits elementare Funktionen der Gesamtlösung.

„Der Vortrag machte den Schülerinnen und Schülern sichtlich Spaß, so dass wir auf eine Wiederholung im nächsten Jahr hoffen.“

(Bericht „Hacking und Sicherheit“ auf der Homepage des Gymnasiums Johanneum Lüneburg)

Neben der Sensibilisierung für die Arbeit an zukünftigen Software- oder IT-Projekten sollte der Vortrag anhand konkreter Fallbeispiele aufzeigen, wie wichtig der bewusste Umgang mit den eigenen Daten und der kritische Blick auf verlockende Angebote im Internet ist. Denn Informationssicherheit fängt weder beim komplexen Passwort an, noch hört sie beim Einsatz von Verschlüsselung auf. Im Vortrag diskutierten die Schülerinnen und Schüler unter anderem einen möglichen Social Engineering-Angriff als Grundlage für weitere betrügerische Aktivitäten. Beispiele und Erfahrungen aus der Praxis zeigten, dass die Bedrohungen längst Realität geworden sind und nicht nur Großkonzerne oder Regierungsorganisationen betreffen. Die Schülerinnen und Schüler konnten erkennen, dass ein kritischer Blick und bewusstes Handeln oft der beste Schutz vor Internetkriminalität und Angriffen durch Hacker sind.

Patrick-Michaelis
PATRICK MICHAELIS
MEHR ÜBER PATRICK MICHAELIS

Patrick MichaelisVeranstaltung „Lernen mit Sicherheit“