In mehreren europäischen Ländern verfolgen die nationalen Gesetzgeber das Ziel, Defizite in der IT-Sicherheit abzubauen. Daneben gilt seit dem 25.05.2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die technischen und organisatorischen Maßnahmen. Beide Rechtsquellen fordern die Orientierung der IT-Sicherheit am „Stand der Technik“, lassen jedoch unbeantwortet, was im Detail darunter zu verstehen ist. In Deutschland haben die im Bundesverband IT-Sicherheit e.V. (TeleTrust) organisierten Fachkreise eine Handreichung erarbeitet, deren englische Sprachfassung in Kooperation mit der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) vor Kurzen veröffentlicht wurde.

Täglich zeigen Meldungen zu Sicherheitsvorfällen in Unternehmen und Behörden, dass dringender Handlungsbedarf zur Verbesserung der IT-Sicherheit besteht. Artikel 32 DSGVO regelt zur „Sicherheit der Verarbeitung“, dass „unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen sind“. Dies soll ein dem Risiko angemessenes Schutzniveau gewährleisten.

Sowohl die nationalen als auch der europäische Gesetzgeber enthalten sich jedoch konkreter, detaillierter technischer Anforderungen und Bewertungskriterien für die sicherheitsrelevanten technischen und organisatorischen Maßnahmen, so TeleTrust. Die Gesetzesadressaten erhalten auch keinerlei methodische Ansätze, so die Experten weiter. Diese Ausgestaltung, zumal in einem dynamischen Marktumfeld, müsse folglich den Fachkreisen überlassen bleiben.

Das veröffentlichte Dokument zum „Stand der Technik“ in der IT Security gebe vor diesem Hintergrund konkrete Hinweise und Handlungsempfehlungen. Die Handreichung soll Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des Stands der Technik in der IT-Sicherheit geben und soll als Referenz zum Beispiel für vertragliche Vereinbarungen, Vergabeverfahren oder für die Einordnung implementierter Sicherheitsmaßnahmen dienen. Es ersetze jedoch nicht eine technische, organisatorische oder rechtliche Beratung oder die Bewertung im Einzelfall.

Durch die nun veröffentlichte englische Fassung des Dokumentes weill manUnternehmen in allen europäischen Ländern bei der Bestimmung des geforderten Sicherheitsstands in der IT-Sicherheit unterstützen.

ENISA Executive Director Dr. Udo Helmbrecht: „Die Mitwirkung an diesem Handbuch ist Teil der Unterstützung, die ENISA für die EU-Mitgliedsstaaten leistet. Die Inhalte bieten konkrete Informationen und Empfehlungen, wie die IT-Sicherheit verbessert werden kann. Für IT-Experten ist die Handreichung eine nützliche Leitlinie, um in der Praxis den rechtlichen Anforderungen technisch gerecht zu werden.“ TeleTrust-Vorsitzender Professor Dr. Norbert Pohlmann: „Mit Hilfe der Bestimmung des Standes der Technik wird es uns gelingen, den Level an IT-Sicherheit angemessen zu erhöhen, unsere Robustheit gegen Cyberangriffe zu stärken und damit das Risiko der fortscheitenden Digitalisierung deutlich zu reduzieren.“

Es gehe um eine technische, organisatorische und rechtliche Aufgabe für die Unternehmen und Behörden. Dier Leitfaden helfe auf diesen drei Ebenen sehr konkret – und dies sowohl bei der operativen Umsetzung als auch bei deren Dokumentation.

Die Deutsche Version ist unter www.teletrust.de/publikationen/broschueren/stand-der-technik/ abrufbar. Die englische Version unter www.teletrust.de/en/publikationen/broschueren/state-of-the-art-in-it-security/.

Dr. Jörg Schröper ist Chefredakteur der LANline.