Stand der Technik in der IT-Sicherheit: Lösungsansätze und Tipps aus der Praxis | Folge 16

Shownotes

Der Begriff Stand der Technik geistert seit der Datenschutzgrundverordnung (DSGVO) durch die IT-Landschaft. Auch mit der neuen Gesetzgebung im Rahmen der NIS2-Richtlinie kommt der Begriff wieder in den Fokus. Bereits in einer vorherigen Folge haben wir den Stand der Technik aus juristischer Sicht beleuchtet. In der heutigen Folge wollen wir aber einen Schritt weitergehen und über konkrete Maßnahmen sprechen, um einen Stand der Technik in der IT-Sicherheit einzuhalten. Christian Lueg spricht hierzu mit Michael Schröder, Manager of Security Business Strategy DACH bei ESET.

Über den Gast Michael Schröder ist als Technologieexperte und Datenschutzbeauftragter für die strategische Ausrichtung von ESET Produkten und Services in Deutschland, Österreich und der Schweiz zuständig. Michael ist seit mehr als 25 Jahren in der IT-Welt unterwegs und kennt die Branche aus verschiedenen Blickwinkeln. Neben seiner umfassenden Expertise im Bereich Datenschutz und -sicherheit verfügt er über ein vertieftes Wissen rund um Authentifizierungslösungen, Verschlüsselung, Cloud-Sandboxing, Endpoint Detection and Response und Threat-Intelligence Services.

WeTalkSecurity hat in der heutigen Folge ein Heimspiel und nimmt die Folge im Trainingszentrum von Borussia Dortmund auf. Der BVB hat uns dankenswerter Weise einen Raum zur Verfügung gestellt. Bereits in einer der vorherigen Folgen ging es um den juristischen Begriff "Stand der Technik" und was das für die IT-Sicherheit bedeutet. Michael Schröder hat zusammen mit Stefan Sander das ESET Whitepaper zum Thema "Stand der Technik" geschrieben. Das Whitepaper ist hier verfügbar: https://www.eset.com/de/stand-der-technik/

Was bedeutet der Begriff "Stand der Technik"? Laut Michael glauben viele Menschen den Begriff "Stand der Technik" erklären zu können. Wenn es aber konkret wird im Hinblick auf IT-Security, ist es meist sehr schwer und viele stoßen schnell an Grenzen. "Stand der Technik" bezeichnet zunächst einen gängigen juristischen Begriff, der jedoch von keinem anerkannten Institut oder Behörde konkret erläutert und sagt, wie der Stand der Technik in der IT-Sicherheit erreicht wird. Daher muss der Stand der Technik immer wieder neu bewertet werden und festgelegt werden.

Warum ist es so schwer geeignete Maßnahmen abzuleiten? Ob Verein oder DAX-Unternehmen, viele erwarten eine Handlungsanleitung an die ich mich orientieren kann. Das funktioniert beim Stand der Technik nicht und ist für jede Organisation unterschiedlich und individuell in Hinblick auf Größe und Risiken. Zero Trust Security ist hier eine konkreter Lösungsansatz. Bereits in der Vergangenheit haben wir bei WeTalkSecurity darüber gesprochen (https://wetalksecurity.podigee.io/5-zero-trust-digitale-souveraenitaet). Mit diesem Zero Zrust Security-Modell und dem zugrundeliegenden Reifegradmodell sollen Hilfesuchende eine Handreichung bzw. Orientierung mit zahlreichen Empfehlungen erhalten. Es geht dabei immer um den Grundsatz Risikominimierung. Beispiele für angemessene Maßnahmen sind immer schwer zu geben. Es gibt laut Michael Schröder aber einen Common Sense in der IT-Security. Wichtig und für jede Organisation entscheidend ist eine Risikoanalyse und sollte dokumentiert werden. Hierdurch kommen auch organisatorische Maßnahmen hinzu wie Risikomanagement, Schulung der Mitarbeiter usw. Das ist ein kontinuierlicher Prozess. Sind diese Hausaufgaben gemacht, können technische Maßnahmen folgen. So können bestimmte, in der Risikoanalyse festgestellte, Angriffsvektoren gezielt mit passgenauen technischen Lösungen geschlossen werden. Ein konkretes Beispiel ist eine Organisation mit vielen Mobilgeräten wie eine mobile Krankenpflege. Hier sind sensible Daten im Umlauf, die im Hinblick auf die DSGVO besonders schützenswert sind. Hier ist der Schutzbedarf natürlich deutlich höher wie bei einer Hotelrezeption, die einen festen PC im Einsatz hat. Auch Borussia Dortmund hat mit hochsensiblen Daten andere Anforderungen. Wie diese aussehen, haben wir bei WeTalkSecurity im vergangenen Jahr mit dem IT-Chef des BVB Stephan Horst besprochen (https://wetalksecurity.podigee.io/8-bvb). Viele Organisationen können diese Risikoanalyse gar nicht alleine durchführen. Hier ist es wichtig auf externe Hilfe und geschulte Experten in dem Bereich zurückzugreifen.

**Was bringt ein Reifegradmodell und wie setze ich das um? ** Das Reifegradmodell besteht aus verschiedenen Stufen und beginnt mit der Stufe 0. Diese erste Stufe bietet für die heutige Zeit keinen ausreichenden Schutz mehr. Mit Stufe 1 ist aber bereits ein Level der IT-Sicherheit vorhanden, die für jedes Unternehmen machbar sein sollte. Ein KRITIS-Unternehmen hat sicherlich ein höheres Sicherheitsniveau und hier muss natürlich auch ein höheres Schutzlevel zum Einsatz kommen.

NIS2 und deren Herausforderungen an Organisationen Mit NIS2 wird auf Organisationen zahlreiche neue Anforderungen zukommen. Wie genau lässt sich im Detail heute noch nicht sagen, aber zahlreiche Unternehmen werden betroffen sein. Der Umfang der KRITIS-Unternehmen wird von heute 4.000 auf ein vielfaches zunehmen. Selbst das BSI kann das heute noch nicht genau sagen. Daher ist es so wichtig jetzt schon die Weichen zu stellen, um später nicht in Hektik zu verfallen. Das Bewusstsein für IT-Sicherheit ist gestiegen, jedoch besteht weiterhin Nachholbedarf, insbesondere im Mittelstand. Viele setzen noch auf einen Virenschutz, Firewall und punktuell eine Verschlüsselung für Notebooks. Das reicht heute nicht mehr aus. Deswegen sollte das eigene Risiko neu bewertet werden und Themen wie Cloud-Sandboxing angehen. So mache ich bereits vorab meine Hausaufgaben für die Zukunft und bin bestens aufgestellt.

Das Whitepaper zum Stand der Technik gibt es hier: https://www.eset.com/de/stand-der-technik/