Security-Handlungsempfehlungen Der „Stand der Technik“ und seine Tücken

Anbieter zum Thema

ESET Deutschland GmbH

Bundesverband IT-Sicherheit e.V. (TeleTrusT)

Bundesamt für Sicherheit i.d.Informationstechnik

G DATA CyberDefense AG

WatchGuard Technologies GmbH

mehr weniger

XOPERO SOFTWARE S.A.

weniger

Software wird heutzutage schnell entwickelt. Bis ein Gesetz in trockenen Tüchern ist, dauert es dagegen lange. Zum Problem wird das, wenn es um vage juristische Begriffe geht, deren Bedeutung sich mit dem Stand der Technik quasi täglich ändert. Wie eben genau bei dem Begriff „Stand der Technik“.

Beim Abschluss einer Cyberversicherung ist eine Voraussetzung, dass die im Unternehmen des Versicherungsnehmers vorhandenen IT-Security-Maßnahmen dem aktuellen „Stand der Technik“ entsprechen. Auch in der DSGVO und weiteren Gesetzen und Vorschriften zur IT-Sicherheit kommt diese Formulierung vor. Er hat also eine wichtige Rolle, der Stand der Technik. Und der Begriff ist eigentlich auch völlig klar. Oder?

„Hinter dem Begriff ‚Stand der Technik in der IT-Sicherheit‘ verbergen sich leider keine klar umgrenzten Handlungsempfehlungen oder eine eindeutige Definition, welche IT-Security-Technologien oder -Lösungen einzusetzen sind. Es handelt sich vielmehr um einen unbestimmten Rechtsbegriff, dessen Tragweite sich erst bei intensiver Betrachtung als vielschichtig und weitreichend herausstellt“, weiß Michael Schröder, Manager of Security Business Strategy DACH bei Eset. Gemeinsam mit dem Fachanwalt für IT-Recht der Kanzlei SDS Rechtsanwälte Sander Schöning PartG mbB, Stefan Sander, hat Schröder ein ausführliches Whitepaper erstellt, das aus unterschiedlichen Perspektiven über den Begriff informiert.

Festgelegt sind weder der Zeitraum noch die konkreten technischen Anforderungen, die erfüllt sein müssen, um dem Stand der Technik zu entsprechen. Es ist lediglich klar, dass sich das Qualitätsniveau mit neueren und besseren Techniken, die auf den Markt kommen, stetig verschlechtert, und deshalb ständig angepasst werden muss. Das BSI-Gesetz fordert Betreiber kritischer Infrastrukturen (KRITIS) dazu auf, die Resilienz ihrer Systeme im Hinblick auf die Cybersicherheit zu stärken – auch im laufenden Betrieb der Anlage.

Künftig will der Gesetzgeber den Geltungsbereich der Vorgaben ausweiten: Statt wie bislang 8 sollen dann 18 Sektoren darunter fallen. Diese im NIS2-Gesetz festgelegten Bestimmungen, betreffen dann nicht mehr nur die KRITIS-Unternehmen an sich, sondern auch deren Dienstleister und Zulieferer. Ist ein Unternehmen in einem der Sektoren tätig und hat mehr als 50 Mitarbeiter oder einen Jahresumsatz von mindestens zehn Millionen Euro, zählt es als „für die Versorgungssicherheit der Bevölkerung kritisch“.

Permanente Überprüfung

Die eingesetzten Methoden und Technologien müssen also permanent überprüft werden, um das gesetzlich geforderte Mindestniveau der IT-Sicherheit aufrecht zu erhalten. Die Beurteilung der Angemessenheit bezieht sich auf die jeweilige Bedrohungslage und die Risiken. Und auch, was „angemessen“ ist, unterscheidet sich von Organisation zu Organisation und muss per Risikoanalyse festgelegt werden. Der Bundesverband IT-Sicherheit e.V. (Teletrust) stellt eine Handreichung zur Verfügung, die unter anderem organisatorische Maßnahmen, technologische Ansätze und Lösungen auflistet, ständig aktualisiert wird und als praxisorientiertes Modell dienen kann.

Auch das Thema Cyberversicherung zeigt, welche Herausforderungen der Stand der Technik für Unternehmen darstellt. Immer mehr Versicherer gehen dazu über, die Security-Anforderungen für ihre Policen zu verschärfen. Wer diese nicht erfüllen kann, muss mit einer Ablehnung des Versicherungsvertrags oder mit kostspieligen Aufschlägen rechnen.

Umsetzung der Anforderungen

Zur Umsetzung von IT-Sicherheitsanforderungen gehören neben organisatorischen auch technische Maßnahmen. Auch hier kann die Handreichung des Teletrust-Verbands Hilfestellung leisten. Auf Herausforderungen wie geopolitische Veränderungen (Krieg, Pandemie) und deren Auswirkungen auf die Arbeitswelt (Homeoffice) sowie der Weiterentwicklung der Cyberkriminellen und deren Strategien ist beim Schutz der IT-Infrastruktur besonderes Augenmerk zu richten. Ein Zero-Trust-Modell kann den IT-Verantwortlichen eine Orientierung geben, auf der sie ihre IT-Security-Strategie aufbauen können.

Handlungsempfehlungen

Konkrete Empfehlungen für den Einsatz von Sicherheitslösungen sind individuell an die Anforderungen und den Bedarf des jeweiligen Unternehmens anzupassen. Grundsätzlich gibt es aber einige Handlungsempfehlungen, die generell gelten.

• 1. Ein genau ausgearbeiteter Notfallplan unterstützt bereits beim Aufbau des Risikomanagements und hilft im Worst Case bei der Aufrechterhaltung des Betriebs, dem Backup-Management und den Wiederherstellungsmaßnahmen.

• 2. Eine zentrale Managementkonsole bewahrt den Überblick über den Status der Clients, Server und Mobilgeräte und kann automatisiert Updates ausrollen.

• 3. Daten sollten lokal oder zumindest innerhalb der EU gehostet werden.

• 4. Zero-Trust-Lösungen geben eine Orientierungshilfe und minimieren Datenlecks.

• 5. Die DSGVO empfiehlt Verschlüsselung von Daten explizit als geeignete Schutzmaßnahme für die Verarbeitung und Speicherung personenbezogener und sensibler Dateien.

• 6. Die Etablierung einer Multi-Faktor-Authentifizierung (MFA) sichert Logins und Zugriffe im und auf das Unternehmensnetzwerk.

• 7. Technologien wie Cloud Sandboxing oder Algorithmen zur Anomalieerkennung (EDR-/XDR-Lösungen) können potenzielle Bedrohungen aufspüren, analysieren und gegebenenfalls beseitigen.

• 8. Der Fachkräftemangel macht sich besonders in der IT-Security-Abteilung bemerkbar. Entsprechende Dienstleister und Automatisierung können das eigene Team entlasten.

• 9. Frei nach dem Spruch „Wer billig kauft, zahlt zweimal“ sollten Unternehmen keinesfalls an der IT-Security sparen. Investitionen können Störungen im Arbeitsalltag verhindern, Vorfällen vorbeugen und dadurch Mehrkosten reduzieren.

• 10. Auch die Supply Chain muss abgesichert werden. Entsprechende Richtlinien, die die Zusammenarbeit mit Dritten regeln, sind unabdingbar – spätestens mit dem Inkrafttreten von NIS2 am 18. Oktober 2024.

Download Whitepaper

DSGVO, NIS2, CRA

Cybersecurity-Gesetze: Missachtung wird teuer

(ID:49423730)