Stand der Technik in der IT-Sicherheit - von Rechts wegen kritisch? | Folge 14

Shownotes

Der Stand der Technik ist in der IT-Branche seit der Einführung der neuen Datenschutzgrundverordnung 2016 in aller Munde. Auf den ersten Blick scheint der Begriff verständlich. Doch was steckt dahinter? Was will der Gesetzgeber damit erreichen? Was sind die Herausforderungen für Organisationen in den nächsten Monaten? Christian Lueg spricht in der aktuellen Folge mit dem IT-Rechtsanwalt Stefan Sander von SDS Rechtsanwälte.

Über den Gast Stefan Sander ist „Fachanwalt für Informationstechnologierecht“. Aufgrund seiner Doppelqualifikation – abgeschlossenes IT-Studium und Fachanwalt für IT-Recht in einer Person – ist Stefan deutschlandweit gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz. Seit 2015 hat er zusammen mit Rechtsanwalt Heiko Schöning die Kanzlei SDS Rechtsanwälte in Duisburg (https://sds.ruhr/).

In Zusammenarbeit mit Stefan Sander hat ESET ein Whitepaper zum Thema "Stand der Technik in der IT-Sicherheit" herausgebracht. Das Paper gibt es hier: https://www.eset.com/de/stand-der-technik/

Woher kommt der Stand der Technik? Die Formulierung ist alt. Der Gesetzgeber hat den Begriff in vielen Zusammenhängen verwendet. Immer wenn Recht auf Technik trifft hat der Gesetzgeber das Problem, dass sich die Welt weiter dreht und sich Technologie weiterentwickelt. Hierfür braucht er eine Lösung, um nicht dauernd hinterherzuhinken. Mit solchen unbestimmten Rechtsbegriffen wie Stand der Technik kann er diese Brücke schlagen. Einen solchen Stand zu bestimmen ist gar nicht so leicht. Der Stand der Technik ist eine mittlere Stufe mit mittleren Anforderungen. Darunter gibt es die allgemeinen anerkannten Regeln der Technik mit niedrigeren Anforderungen und darüber den Stand von Wissenschaft und Technik mit noch höheren Anforderungen. Bei der Definition solcher Anforderungen landet man häufig bei Standerdisierungen (ISO-/DIN-Normen bspw.). Zu Abgrenzungen den älteren allgemein anerkannten Regeln der Technik setzt sich der Stand der Technik ab, da er fortschrittlicher und ein besonders hohes Maß an Sicherheit verspricht. Hierbei wird jedoch wissentlich auf den Punkt verzichtet, dass sich Technologie bewährt haben muss, da dies in der rasch fortschreitenden Digitalisierung kein sinnvolles Merkmal darstellt und zum Bremsklotz werden kann. Der Stand der Technik beschreibt fortschrittliche Technologien und bezeichnet laut Stefan salopp gesat das neuste vom neusten. Diese Technologien werden häufig aus "Elfenbeintürmen" heraus definiert, für ein Unternehmen sind diese Vorgaben sehr schwer zu fassen und auch umzusetzen.

Herausforderungen Was der Stand der Technik ist, ist nicht nur für Organisationen schwer zu fassen, sondern auch für Gerichte, wenn es zu einem Streitfall kommt. Dieser Stand lässt sich nur zu einem bestimmten Datum in einem bestimmten Kontext festlegen. Ganz wichtig ist es, sich bewusst zu machen, dass der Stand der Technik kein einmalig definierter Ist-Zustand ist, sondern vielmehr ein Prozess, der immer wieder neu bewertet und analysiert werden muss.

Gesetzliche Rahmenbedingungen Deutschland hat als Mitgliedsstaat der Europäischen Union die Aufgabe die Richtlinienvorgaben umzusetzen und in nationales Recht umzusetzen. Das nationale Recht spielt die maßgebende Rolle. Die NIS2 Richtlinie wurde im Amtsblatt der EU Ende 2022 angekündigt. Derzeit läuft die Umsetzungsfrist. Im Zuge der Umsetzung haben die Länder Spielräume, daher muss man immer das finale Gesetz abwarten.

Die NIS1-Richtlinie aus dem Jahr 2016 wurde parallel zum IT-Sicherheitsgesetz umgesetzt. Das IT-Sicherheitgesetz gibt es nicht irgendwo zum Nachlesen, wie beispielsweise das Bürgerliche Gesetzbuch. Das IT-Sicherheitsgesetz war ein Änderungsgesetz und hat bestimmte andere Stammgesetze wie das BSI-Gesetz geändert. Das Bundesamt für Sicherheit in der Informationstechnik wurde dadurch nicht nur gegründet und hat Kompetenzen erhalten, sondern es wurden auch Aufgaben und Pflichten für andere Unternehmen dort festgeschrieben. Betreiber kritischer Infrastrukturen finden beispielsweise ihre Pflichten in diesem BSI-Gesetz. Mit Umsetzung der NIS2-Richtlinie ist zu erwarten, dass der Gesetzgeber an dieses BSI Gesetz herangeht und Änderungen vornimmt. Es gibt hierzu über auch Überlegungen, die Inhalte, die in erster Linie nichts mit dem BSI zu tun haben herauszunehmen und in ein eigenes Gesetz zu kippen.

Die NIS2 Richtlinie wird den Anwendungsbereich deutlich erweitern. Aber bereits heute gibt es mit dem Risikomanagement Punkte, die von Organsiationen befolgt werden müssen. Mit dem Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen (kurz: Starug), das 2021 in Kraft getreten ist, sind Regelungen modernisiert und ein Streitfragen aus dem Aktionärsrecht endgültig geklärt worden. Geschäftsführer haben die Aufgabe bestandssichernd zu agieren. Hier betrifft es insbesondere die GmbH als beliebteste Rechtsform in Deutschland. Hier findet sich ein Anker für IT-Compliance und IT-Sicherheit, denn Geschäftsführer einer GmbH sind dadurch verpflichtet, sich aktiv mit IT-Sicherheit zu beschäftigen und sich kümmern zu müssen. Aktuelle Berichte über Cyberangriffe und hybride Bedrohungen haben zu Betriebsausfällen geführt, da vieles vernetzt ist. Deswegen ist es wichtig im Risikomanagement auch IT-Sicherheit einen großen Stellenwert einzuräumen. Zudem kommt auch eine Schulungsverpflichtung im Bereich IT-Sichertheit für Vorstände und Geschäftsführer. Das Top-Management muss das Thema verstehen, hier will der Gesetzgeber nachbessern und den Nachholbedarf verbessern.

Neben der NIS2-Richtlinie steht der Cyber Resilience Act in den Startlöchern. Dieser Act ist aber, anders als eine Richtlinie, direkt als Verordnung rechtsgültig und tritt unmittelbar in Kraft. Der Act schreibt vor, dass IT-Sicherheit in Produkten gewährleistet werden muss. Das heisst, dass Produkte ohne IT-Sicherheit dürfen nicht mehr auf den europäischen Binnenmarkt. In den USA und China schaut man sehr genau auf diese Vorgänge, da in einer global vernetzten Welt eine solche Vorgabe für alle weltweiten Hersteller ein Thema ist. Gerade auch im Bereich Smart Home haben diese Vorgaben Auswirkungen und versprechen ein Plus an Sicherheit.

Vorgaben Stand der Technik Konkrete Vorgaben zum Stand der Technik gibt es in den Gesetzen nicht. Es ist bewusst gewählt, da sich die technische Welt zu schnell dreht und die Gesetzgebung damit nicht Schritt halten kann. Daher ist eine flexible Formulierung wichtig. Es macht aber einen Unterschied wie es der Gesetzgeber im Kontext benutzt. Schreibt der Gesetzgeber die "Einhaltung" des Standes der Technik vor, dann bin ich gezwungen fortlaufend zu investieren, um modernste Technologien einzusetzen. An anderen Stellen sagt er, dass der Stand der Technik ein Kriterium sein kann. Hierbei definiert der Gesetzgeber dann ein Ziel, um bspw. ein angemessenes Schnutzniveau zu gewährleisten. Es lässt sich nicht so leicht sagen, wer den Stand der Technik beachten bzw. einhalten muss. Klar definiert sind die Betreiber kritischer Infrastrukturen. Dennoch ist es ein "Ritt auf der Rasierklinge" wenn man den Stand der Technik nicht versucht umzusetzen. In einer zweiten Folge von WeTalkSecurity werden wir stärker noch auf die technischen Maßnahmen zur Einhaltung des Stands der Technik eingehen.

Ausblick Cyberversicherungen Auch bei Versicherungen spielt der Stand der Technik eine große Rolle. In den vergangenen Jahren waren Cyberversicherungen sehr beliebt. Ein wichtiger Punkt sind hier Obliegenheiten des Versicherungsnehmers. Beispielsweise schreibt eine Hausratversicherung vor, dass die Wohnung bei verlassen abgeschlossen werden muss. Das ist auch bei Cyberversicherungen ähnlich. Damit ein Versicherungsschutz greift haben auch hier Unternehmen gewisse Obliegenheiten zu erfüllen. Der Stand der Technik ist hier ein möglicher Punkt. Aus diesem Vertrag ergibt sich dann auch diese Investitionspflicht in IT-Sicherheit. Auch bei der IST-Abfrage eines Antragsstellers spielt dieser Zustand eine Rolle. Einzelne Versicherer sind auch dazu übergegangen keine Cyberversicherungen mehr zu verkaufen, da diese Schäden nicht versicherbar sind. Auch viele Unternehmenslenker sind dazu übergegangen sich auf der Police auszuruhen und keine weiteren Sicherheitsmaßnahmen zu treffen. Das ist ebenfalls ein Trugschluß.

In Zusammenarbeit mit Stefan Sander hat ESET ein Whitepaper zum Thema "Stand der Technik in der IT-Sicherheit" herausgebracht. Das Paper gibt es hier: https://www.eset.com/de/stand-der-technik/

Aktuelle Cyberbedrohungen und Entwicklung Über viele Jahre war Stefan Sander auch Vorstand beim Networker NRW, einem IT-Verband. Aus seiner Sicht haben Cyberangriffe zugenommen und Stefan begrüßt es sehr, dass die mediale Aufmerksamkeit zugenommen hat. Ein Umdenken bei der IT-Sicherheit ist aus seiner Sicht wichtig. Die Auswirkungen eines Incidents können so gravierend sein, dass auch der Gesetzgeber hier nachbessert. Weggucken ist keine Option mehr. Stand der Technik einzuhalten ist das Gebot der Stunde.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.