In der Diskussion um den Stand der Technik tauchen acht Fragen auf, die immer wieder von Kunden und Partnern gestellt werden. Michael Schröder, Manager of Security Business Strategy bei ESET Deutschland, kennt die Antworten:
1. Was ist der Stand der Technik?
Im rechtlichen Kontext handelt es sich bei der Formulierung „Stand der Technik“ um einen sogenannten unbestimmten Rechtsbegriff, mit dem sich der Gesetzgeber auf eine abstrakte Regelung beschränkt, die für eine Vielzahl an Fällen Geltung beanspruchen kann. Auf den Arbeitsalltag gemünzt bedeutet dies, dass zu einem unbestimmten Zeitraum konkrete notwendige technische Anforderungen in einer Organisation erfüllt sein müssen, ohne dass jedoch explizite Maßnahmen festgelegt wurden. Festgelegt ist hingegen das angestrebte Qualitätsniveau, welches sich bezogen auf eine konkrete technische Einrichtung typischerweise mit Zeitablauf verschlechtert, weil neuere (und bessere) Techniken in den Markt eintreten. Fordert das Gesetz die Einhaltung des Standes der Technik, muss demzufolge stetig geprüft und gegebenenfalls neu investiert werden sowie die jeweils beste am Markt verfügbare IT-Sicherheitsmaßnahme beschafft und eingesetzt werden, die die Erreichung eines hohen Schutzniveaus für die IT-Sicherheit als voraussichtlich gesichert erscheinen lässt.
2. Was gilt aktuell und was wird sich ändern?
Das BSI-Gesetz regelt – aktuell noch in Umsetzung der NIS-Richtlinie – Pflichten u.a. für die Betreiber von Kritischen Infrastrukturen. Zentraler Inhalt ist die Aufforderung, die Resilienz der Systeme im Hinblick auf die Cybersicherheit zu stärken. Konkret müssen KRITIS-Betreiber die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse sicherstellen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. In diesem Zusammenhang entschied der Gesetzgeber, dass der Stand der Technik einzuhalten ist. Das bezieht sich nicht nur auf einen bestimmten Zeitpunkt, etwa die Genehmigung oder die Inbetriebnahme einer solchen Anlage, sondern grundsätzlich fortlaufend beim Betrieb der Anlage – wenn keine konkretisierenden Angaben festgelegt wurden. Mit der NIS-2-Richtlinie werden über die bislang regulierten wesentlichen Organisationen hinaus demnächst auch wichtige Organisationen (ab einer Größe von 50 Mitarbeitern) als Adressaten des Gesetzes in den Fokus geraten. Der Anwendungsbereich der gesetzlichen Pflichten steigert sich damit um eine enorme Anzahl von Organisationen.
3. Gibt es ein allgemeines Mindestniveau für den “Stand der Technik” in der IT-Security?
Nein, im Grunde genommen nicht. Es gilt immer, die individuelle Situation der eigenen Organisation zu betrachten. Erst anhand einer Risikoanalyse kann man bestimmen, welche technischen Maßnahmen ein „angemessenes Schutzniveau“ versprechen. Im gleichen Zuge sind verschiedene Aspekte zu betrachten wie z.B. die wirtschaftliche Machbarkeit und die Fähigkeit zur Umsetzung. Von einem Freelancer kann niemand ernsthaft eine EDR-Lösung für seinen PC verlangen. Inzwischen besteht ein gewisser Common Sense, was für jeden umsetzbar, bezahlbar und leistbar ist. Seit etwa zwei Jahren empfehlen wir den „Multi Secured Endpoint“ als Basis für jede Organisationsgröße in Anbetracht der aktuellen Bedrohungslage und der aktuellen Datenschutzgesetze.
4. Was verbirgt sich in diesem Zusammenhang hinter dem sogenannten Reifegradmodell?
Das Reifegradmodell ist elementarer Bestandteil von „Zero Trust Security“-Konzepten wie beispielsweise dem von ESET. Es bietet IT-Verantwortlichen ein modular aufgebautes Sicherheitskonzept zur Orientierung. Je nach Ausgangslage – beispielsweise die Anzahl und Art der eingesetzten Geräte, die genutzten Technologien oder das vorhandene Budget – werden verschiedene Schutzlevel beschrieben, in die Organisationen ihren IST-Zustand einordnen können. Hieraus ergibt sich der Bedarf an Sicherheitslösungen, die zur Erreichung des jeweiligen Schutzlevels notwendig sind. Dieses Reifegradmodell kann stufenweise umgesetzt werden und ist für jede Organisationsgröße sinnvoll.
5. Wie setze ich den Stand der Technik um?
Ein (betreuter) Aufbau eigener Schutzmaßnahmen und (regelmäßige) Investments in die Infrastruktur sind also unerlässlich. Ergänzend dazu sollte eine Cyberversicherung bei den meisten Organisationen ein fester Bestandteil der ganzheitlichen Risikomanagementstrategie sein. Damit können sich Organisationen beispielsweise vor Störungen im Alltag, Datenverschlüsselungen durch Ransomware-Angriffe oder Haftpflichtschäden bei Datenschutzvorfällen absichern. Zudem soll das Risiko der damit verbundenen Kosten für die Wiederherstellung des (Geschäfts-)Betriebs, die Lohnfortzahlung oder den Gewinnausfall minimiert werden. Versicherungen werden einen Schaden allerdings nur dann ersetzen oder zuvor absichern, wenn die getroffenen Maßnahmen für die jeweilige Organisation als angemessen angesehen werden können und somit das Risiko von Sicherheitsvorfällen nachweislich minimiert wurde.
Klar ist, dass sich die Anforderungen und der tatsächliche Handlungsbedarf individuell von Organisation zu Organisation unterscheiden. Wir haben dennoch ein paar allgemeine Maßnahmen formuliert, die für einen Großteil der Unternehmen in der DACH-Region relevant sind und bleiben werden. Die folgenden Handlungsempfehlungen helfen Ihnen als (IT)-Verantwortlicher, ein angemessenes Schutzniveau in Ihrer Organisation zu gewährleisten.
6. Welche organisatorischen Maßnahmen sollten Unternehmen hinsichtlich IT-Security und deren Stand der Technik ergreifen?
Organisatorische Maßnahmen sind nur ein Teil der Umsetzung von IT-Sicherheitsanforderungen. Sie tragen dazu bei, dass die eingesetzten Produkte und Services optimal strukturiert und konfiguriert sind. Erst eine durchgeführte Risikoanalyse zeigt, welche Maßnahmen ergriffen werden sollten. Dazu zählen beispielsweise die Schulung und Sensibilisierung der Mitarbeiter, ein belastbares IT-Notfallmanagement sowie die regelmäßige Überprüfung und Aktualisierung der IT-Sicherheitsrichtlinien und -verfahren. Für größere Organisationen kommt zum Beispiel auch die Einführung eines Information Security Management Systems infrage.
7. Wie können Unternehmen sicherstellen, dass die ergriffenen Maßnahmen auch dem erforderlichen Standard entsprechen?
Eine regelmäßige Überprüfung der eigenen Maßnahmen ist unerlässlich. Wie hat sich die Technologie am Markt entwickelt? Gibt es mittlerweile Veränderungen in meinen Prozessen sowie meiner Arbeitsweise und bilden sich dadurch neue Risiken? Penetrationstests und auch die Expertise externe Spezialisten helfen hier weiter. Neben diesen rein organisatorischen Fragen spielt auch der Anbieter der eingesetzten Security-Lösungen eine zentrale Rolle. Dieser sollte immer die neusten Technologien und Schutzmodule anbieten. Viele Antworten finden Verantwortliche in der Handreichung zum Stand der Technik vom TeleTrust-Verband oder im kostenlosen Whitepaper von ESET.
8. Welche Tipps können Sie Unternehmen, die sich Gedanken über eine Cyberversicherung machen, mit auf den Weg geben?
Eine Cyberversicherung stellt das i-Tüpfelchen eines umfassenden IT-Sicherheitskonzeptes dar und kann dieses keinesfalls ersetzen. Es sichert das Restrisiko ab, dass trotz aller eingesetzten Maßnahmen und getroffenen Vorkehrungen der Worst Case – ein erfolgreicher Cyberangriff – eintritt. In diesem Fall hilft die Police, die entstandenen Schäden auf ein vertretbares Minimum zu reduzieren. Wer so vorgeht, dürfte wenig Schwierigkeiten haben, einen geeigneten Versicherungsgeber zu finden. Und genauso wichtig: Die Höhe der Versicherungsbeiträge dürften sich in einem angemessenen Rahmen bewegen. Je anfälliger die eigene IT-Sicherheit aus Sicht der Cyberversicherung ist, desto teurer wird die Police – wenn sie überhaupt zustande kommt.
Das Whitepaper „IT-Security auf dem Stand der Technik“ vermittelt kompakt, was sich hinter dem vermeintlich einfachen Begriff versteckt und welche direkten Auswirkungen er auf die Gestaltung der eigenen Security von Unternehmen und Organisationen hat. Es kann kostenlos unter https://www.eset.de/stand-der-technik heruntergeladen werden.