Der komplexe Stand der Technik

Was ist eigentlich der sogenannte „Stand der Technik“? Jedenfalls kein zu unterschätzender Begriff. Das hat Michael Schröder, Manager of Security Business Strategy DACH bei Eset, dem IT-Business-Magazin erzählt. Hinter dem Stand der Technik verberge sich vor allem ein unbestimmter Rechtsbegriff für die IT-Sicherheit.

Auf der einen Seite bietet der Stand der Technik keine klaren Handlungsempfehlungen und auch keine eindeutige Antwort darauf, welche IT-Security-Technologien oder -Lösungen ein Unternehmen einsetzen sollte, um seine Daten zu schützen. Auf der anderen Seite ist der Begriff in diversen Gesetzen und Vorschriften zu finden. So sollten die IT-Security-Maßnahmen eines Betriebs auf dem Stand der Technik sein, wenn es beispielsweise eine Cyberversicherung abschließt. Die konkreten technischen Anforderungen und der Zeitraum, die dabei erfüllt sein müssen, sind jedoch nie festgelegt.

Das Ziel bewegt sich ständig

Da ständig neuere und bessere Techniken auf den Markt kommen, muss der Stand der Technik auch ständig erneuert werden. Unternehmen müssen praktisch ein sich bewegendes Ziel erreichen. Daher verlangt das Bundesamt für Sicherheit in der Informationstechnik (BSI) von den Betreibern kritischer Infrastrukturen (KRITIS), dass sie die Resilienz ihrer Systeme – was die Cybersicherheit angeht – auch im laufenden Betrieb der Anlage stärken.

Statt wie bislang acht sollen in Zukunft 18 Sektoren in den Geltungsbereich der Vorgaben des Gesetzgebers fallen. Dann betreffen die Bestimmungen auch die Dienstleister und Zulieferer der KRITIS-Unternehmen und nicht mehr nur sie selbst. Es geht um Unternehmen, die in einem der 18 Sektoren tätig sind, mehr als 50 Mitarbeiter haben oder mindestens zehn Millionen Euro Umsatz im Jahr machen.

Risikoanalyse ist von Vorteil

Für diese Betriebe heißt das, dass sie die Technologien und Methoden ständig überprüfen müssen, um das gesetzlich geforderte Mindestniveau der IT-Sicherheit zu erfüllen. Was angemessen ist, hängt von der Bedrohungslage und den Risiken ab – das unterscheidet sich allerdings von Firma zu Firma und muss durch eine Risikoanalyse festgelegt werden. Helfen kann hier der Bundesverband IT-Sicherheit (Teletrust), der organisatorische Maßnahmen, technologische Ansätze und Lösungen auflistet.

Wichtig ist das auch bei Punkten wie der Weiterentwicklung der Cyberkriminellen und deren Strategien oder geopolitischen Veränderungen und deren Auswirkungen auf die Arbeitswelt. Da ist der IT-Infrastruktur-Schutz besonders wichtig. Es gibt zwar generelle Handlungsempfehlungen, aber der Einsatz von Sicherheitslösungen muss individuell – natürlich nach dem berühmten Stand der Technik – an den Bedarf des betroffenen Unternehmens angepasst werden.

Stefan Lanz

Autor:
Stefan Lanz
Ich bin IT-Experte für Digitale Transformation, Daten- und IT-Sicherheit. Ich bin IT-Sicherheitsbeauftragter, IT-Sachverständiger, Datenschützer, Coach und Berater für Unternehmen seit 1995. Mehr zu mir finden Sie hier.