Wer kennt den „Stand der Technik“?

Das IT-Sicherheitsgesetz (ITSiG) verpflichtet die davon betroffenen Unternehmen, bei der Umsetzung von Sicherheitsmaßnahmen den aktuellen „Stand der Technik“ zu berücksichtigen. Was aber der „Stand der Technik“ in der IT konkret ist, lässt sich dem Gesetz leider nicht entnehmen. Hinzu kommt, dass auch Sicherheitsmaßnahmen in aller Regel „wirtschaftlich zumutbar“ sein müssen. Nicht nur die Unternehmen, sondern auch die Berater/Auditoren tun sich aktuell schwer mit klaren Aussagen zu diesem wichtigen Thema. Dieser Artikel versucht etwas Klarheit in das Dunkel zu bringen.

Der „Stand der Technik“ wird nicht erst durch das ITSiG referenziert, sondern ist ein schon länger eingeführter Begriff, der in den verschiedensten Bereichen verwendet wird. So ist davon auch in der im Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) die Rede, ebenso in einigen anderen europäischen Vorschriften. So hat beispielsweise auch der  Betreiber eines Onlineshops künftig Art. 32 DSGVO zu beachten. Dieser verpflichtet ihn dazu, die Sicherheit der Verarbeitung von personenbezogenen Daten durch technische und organisatorische Maßnahmen, die den Stand der Technik berücksichtigen, abzusichern. 

Wer seine Infrastruktur nicht danach ausrichtet, muss mit starken Sanktionen rechnen. Neben persönlicher Haftung der handelnden Geschäftsführer drohen Bußgelder, der Verlust des Versicherungsschutzes und unter Umständen kann sogar das Unternehmen selbst in Haftung genommen werden. 

Doch leider lässt sich in der IT der „Stand der Technik“, anders als etwa im Umweltschutz der Schadstoffausstoß von Motoren, nicht so einfach messen. So gibt es weder gesetzliche Schwellwerte noch einheitliche Methoden zur Feststellung des Grades der IT-Sicherheit, folgerichtig gibt es deshalb auch keine vorgegebene Definition. Dennoch fordern die eingangs genannten Gesetze von Unternehmen den ordnungsgemäßen Umgang mit dem „Stand der Technik“ und dies unter Androhung von Bußgeldern bei Missachtung. Was also meint der Gesetzgeber, wenn er von Unternehmen die Umsetzung des „Standes der Technik“ fordert?

In der DIN EN 45020 (Normierung und damit zusammenhängende Tätigkeiten – allgemeine Begriffe) erfolgt zumindest die Einordnung einer Maßnahme in einen der „Technologiestandards“, basierend auf den jeweils vorhandenen Erkenntnissen und Erfahrungen zu den geplanten Sicherheitsmaßnahmen. Wie und wo diese Kenntnisse und Erfahrungen gewonnen werden, wer letztendlich die Autorität hat, darüber zu entscheiden, welche Erkenntnisse und Erfahrungen den Standard bilden und welche nicht, das bleibt weitgehend im Dunkeln. 

Am besten lässt sich wohl eine Einordnung durch ein vor längerer Zeit eingeführtes Drei-Stufen-Modell (siehe Kalkar-Entscheidung des Bundesverfassungsgerichts 1978 [1]), bestehend aus den allgemein anerkannten Regeln der Technik, dem Stand der Technik und dem Stand von Wissenschaft und Technik, vornehmen. Diese Dreiteilung der Technikstandards ist mittlerweile auch weitgehend anerkannt. 

 

Abbildung: 3-Stufen-Modell zum „Stand der Technik“

Auf der untersten Stufe sind die Regeln der Technik anzusiedeln, die unter Fachleuten allgemeinen anerkannt, praktisch erprobt und ausreichend bewährt sind. Wegen dieser breiten fachlichen Zustimmung werden aber erst mit deutlichen zeitlichen Verzögerungen  Neuerungen und technische Fortschritte aufgegriffen. Die Entwicklung verläuft also nicht kontinuierlich sondern eher stufenförmig. 

Deutlich dynamischer ist auf der nächsten Stufe der Stand der Technik, der auf eine formale Anerkennung verzichtet und deshalb technischen Neuerungen schneller zur Durchsetzung verhilft. Die Forderungen „praktisch erprobt“ und „ausreichend bewährt“ gelten aber auch hier. 

In der Gesetzesbegründung des IT-SiG wird der „Stand der Technik“ wie folgt beschrieben:

„Auf Grund der weitreichenden gesellschaftlichen Auswirkungen ist bei den technischen und organisatorischen Vorkehrungen der Stand der Technik zu berücksichtigen. Stand der Technik in diesem Sinne ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt. Bei der Bestimmung des Standes der Technik sind insbesondere einschlägige internationale, europäische und nationale Normen und Standards heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden. Die Verpflichtung zur Berücksichtigung des Stands der Technik schließt die Möglichkeit zum Einsatz solcher Vorkehrungen nicht aus, die einen ebenso effektiven Schutz wie die anerkannten Vorkehrungen nach dem Stand der Technik bieten.“

Der Stand von Wissenschaft und Technik ist hingegen deutlich weiter gehend und umfasst auch die neuesten technischen und wissenschaftlichen Erkenntnisse. Dabei geht es neben bereits anerkannten und etablierten auch um Maßnahmen, die sich bislang noch nicht unbedingt breit durchgesetzt haben müssen. Passender wäre deshalb eigentlich der im Englischen gebrauchte Begriff „Beste verfügbare Technik“ ("best available techniques"). Er ist deshalb auch der weitest gehende Stand, aber eben auch der am schwierigsten zu ermittelnde, da im Einzelfall der technische und wissenschaftliche Erkenntnisstand bei der Entscheidung von Streitfragen präzisiert werden muss. 

Problematisch hierbei ist generell der hohe Technikbezug nicht nur bei den Maßnahmen sondern bereits bei der Einstufung: Vorrangig bestimmen demzufolge Techniker mit der unter ihnen "herrschenden Auffassung", was der "Stand der Technik" ist und streiten darüber, was dann evtl. später vor Gericht bewertet werden muss. In Zuspitzung der o.g. Einschätzungen heißt das dann sogar: Es bestimmen nicht allein die Techniker, sondern sogar noch die Hersteller, was „Stand der Technik“ ist. Das kann eigentlich keine Lösung sein, die die Unternehmen und noch weniger die Verbände oder die Rechtsprechung befriedigen kann. 

Wenn sich die Juristen nicht nur an der Technik, sondern sogar am Marktgeschehen orientieren müssen, werden alle, die z.B. aus gutem Grunde auf Antiviren-Software verzichten (z.B. wegen bereits aufgetretener Anfälligkeit gegen Kompromittierung), rechtlich angreifbar sein, weil es ja viele Anbieter solcher Software mit hohen Sicherheitsversprechen gibt. Wer will da entscheiden, was der „Stand der Technik“ ist?

Eigenes Vorgehen zur Ermittlung des „Standes der Technik“

Bezogen auf IT-Sicherheitsmaßnahmen bedeutet der „Stand der Technik“, dass man zumindest momentan allein durch Auswertung von öffentlichen Quellen wie Sicherheitsforen, Produktevaluierungen und den allgemein gemachten Erfahrungen ermittelt, ob die getroffenen Maßnahmen dem „Stand der Technik“ entsprechen. Zusätzlich sollte man immer auch Fachmagazine oder andere öffentlich zugängliche Quellen heranziehen, die einen Vergleich der eigenen Maßnahmen mit anderen empfohlenen Maßnahmen ermöglichen. Erschwerend kommt hinzu, dass dieser Prozess der Einstufung in steter Regelmäßigkeit erfolgen muss, da sich ja auch der „Stand der Technik“ ständig ändert. 

Eine Maßnahme entspricht dem „Stand der Technik“, wenn sie geeignet ist, eine positive Wirkung auf die Schutzziele (Verfügbarkeit, Integrität, Authentizität, Vertraulichkeit) zu erzielen. Wenn die eingesetzte Maßnahme im konkreten Einzelfall nicht geeignet ist, d.h. zum Beispiel wenn Virenangriffe doch Erfolg haben sollten, bedeutet das nicht, dass die eingesetzte Maßnahme zum Virenschutz nicht dem „Stand der Technik“ entspricht. Beispiele:

Wenn der Virenscanner, den man einsetzt, deutlich weniger Virenangriffe abwehrt, als andere Virenscanner, dann entspricht der eingesetzte Virenscanner offensichtlich nicht dem „Stand der Technik“. Evaluierungen von Virenscannern unter Nutzung von verschiedenen Angriffspattern gibt es zur Genüge im Internet nachzulesen. 

Wenn der eingesetzte Virenscanner aber zu den besten der Evaluierten zählt, er aber einen konkreten Angriff nicht abwehrt, bedeutet das wiederum eben nicht, dass er nicht dem „Stand der Technik“ entspricht. Damit besagt das Tatbestandsmerkmal „Stand der Technik“ nicht mehr, als dass man Maßnahmen treffen muss, die ohnehin jedes andere Unternehmen mit gleichen Vorgaben einsetzen wird. 

Bei einer vorzunehmenden Bewertung spielt neben der reinen Technik aber noch ein weiterer Tatbestand eine große Rolle. Dies ist die Beachtung der „möglichen, wirtschaftlich zumutbaren Maßnahmen“. Das ITSiG sagt aus, dass derjenige, der die „möglichen, wirtschaftlich zumutbaren Maßnahmen“ ergriffen hat, die dem „Stand der Technik“ entsprechen, alles getan hat, was er tun soll. Dies gilt aber nicht allgemein, im Bereich der Kritischen Infrastrukturen wird die Latte aus naheliegenden Gründen deutlich höher gelegt, hierzu später mehr. 

Bereits vorliegende Arbeiten zum „Stand der Technik“

Ganz auf sich allein gestellt sind die Unternehmen bei der Ermittlung des „Standes der Technik“ nun aber auch nicht, erste Arbeiten hierzu liegen mittlerweile vor. So hat das BSI im Juli 2016 ein Diskussionspapier [2] zur Absicherung von Telemediendiensten nach dem „Stand der Technik“ veröffentlicht, das unter Beteiligung des Bitkom e.V. und der Allianz für Cyber-Sicherheit entstanden ist. Das Papier schlägt Maßnahmen vor, wie Telemediendienste gegen unerlaubte Zugriffe auf technische Einrichtungen, Verletzung des Schutzes personenbezogener Daten oder Störungen abgesichert werden können. Bei den vorgeschlagenen Maßnahmen wird jeweils der „Stand der Technik“ berücksichtigt, d.h. hier nicht ganz überraschend, dass die Maßnahmen auf den Erfahrungen des BSI sowie den Vertretern der Internetbranche zu fortschrittlichen Verfahren und Techniken zur Absicherung von Telemediendiensten basieren. Die Sicherheitsempfehlung richtet sich vornehmlich an Anbieter und Verantwortliche von geschäftsmäßig angebotenen Telemediendiensten, beispielsweise Betreiber von Webshops und Unternehmen, die Hosting- und Server-Dienstleistungen anbieten.

Die Bitte des BSI um kritische Kommentierung des Diskussionspapiers fand baldigst Gehör. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT), ein Netzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst, reichte umgehend beim BSI eine ausführliche Stellungnahme ein. Kritisiert wurde darin insbesondere der fehlende methodische Ansatz, um auch zukünftig dem steten technologischen Wandel bei der Weiterentwicklung solcher Vorgaben und Empfehlungen Rechnung zu tragen. Nicht gut aufgenommen wurde auch, dass sich das Diskussionspapier nahezu ausschließlich mit rein praktischen Inhalten des "Standes der Technik“ beschäftigen würde und den Bereich der Sicherheitsorganisation weitgehend außer Acht lassen würde. Dies alles zum einen völlig losgelöst von dem rechtlichen Kontext und zum anderen ohne zu erklären, wie das BSI eigentlich zu der Erkenntnis gelangt war, dass die genannten Maßnahmen dem "Stand der Technik" entsprechen würden. Das alles erinnert sehr an die langjährigen Versuche des BSI die IT-Grundschutz-Kataloge aktuell zu halten – leider war auch das nicht immer erfolgreich. So finden sich auch in dem Diskussionspapier des BSI viele Hinweise auf Maßnahmenempfehlungen, die bereits mehrere Jahre alt sind und damit kaum noch dem aktuellen „Stand der Technik“ entsprechen. 

Ein weiterer Kritikpunkt in der Stellungnahme von TeleTrust war, dass im Diskussionspapier des BSI der Bereich der Verhältnismäßigkeitsprüfung nicht ausgearbeitet wurde. Telemedienanbieter sind zur Anwendung der ermittelten Vorkehrungen nach dem „Stand der Technik“ nur verpflichtet, wenn dies „technisch möglich“ und „wirtschaftlich zumutbar“ ist. Gerade wegen der rechtlichen Relevanz wäre hier eine Klärung unabdingbar, unter welchen Voraussetzungen der „Stand der Technik“ aus subjektiven Gründen auch unterschritten werden darf. Dies wird sicher auch noch ein gesondertes Thema im Bereich Kritischer Infrastrukturen werden, da hier besonders hohe Maßstäbe an die Erreichung der Sicherheitsziele (z.B. Verfügbarkeit) anzulegen sind. 

TeleTrusT selber hat zu dieser Problematik einen verbandsinternen Arbeitskreis "Stand der Technik" initiiert, um aus Sicht der IT-Sicherheitslösungsanbieter und -berater, den betroffenen Wirtschaftskreisen Handlungsempfehlungen und Orientierung zu geben. Dieser Arbeitskreis hat den "Stand der Technik" für die relevanten Systeme, Komponenten und Prozesse im Sinne des IT-Sicherheitsgesetzes in Form einer sog. „Handreichung zum Stand der Technik im Sinne des IT-Sicherheitsgesetzes (ITSiG)“ [3] herausgegeben. TeleTrust findet diese Ausarbeitung selber, nicht ganz unerwartet, angemessener als das Diskussionspapier des BSI. Leider werden aber gerade zu den Kritikpunkten am BSI-Papier (Methodischer Ansatz, Verhältnismäßigkeit) auch keine besseren Vorschläge gemacht. Die Empfehlungen sind (bewusst?) nicht allzu technisch gehalten, deshalb fehlt ihnen aber auch oft die fachliche Tiefe. 

Branchenspezifische Sicherheitsstandards (B3S)

Das BSI-Gesetz (BSIG) sieht vor, dass zur Festlegung der Anforderungen an die Umsetzung von § 8a (1) (inkl. "Stand der Technik") von Betreibern Kritischer Infrastrukturen oder ihren Fachverbänden branchenspezifische Sicherheitsstandards (B3S) erarbeitet werden können. Eine gesetzliche Pflicht zur Erarbeitung eines solchen B3S besteht nicht. Die Erstellung eines B3S ermöglicht den Branchen jedoch, ausgehend von der eigenen Expertise, selber Vorgaben zum "Stand der Technik" zu formulieren. Darüber hinaus gibt er den Betreibern, die sich nach einem solchen anerkannten B3S prüfen lassen, Rechtssicherheit bzgl. "Stand der Technik", der bei einem Audit verlangt und überprüft wird.

Die Erarbeitung von B3S erfolgt vorzugsweise in den Branchenarbeitskreisen (BAK) des UP KRITIS. Der UP KRITIS stellt als etablierte Kooperationsplattform zwischen Betreibern und Staat hierfür die entsprechenden Strukturen zur Verfügung. Voraussetzung für die Mitgliedschaft in einem BAK ist die Teilnahme am UP KRITIS sowie die Zustimmung der übrigen Mitglieder des Arbeitskreises. [4]

Bisher sind folgende B3S abgenommen oder zumindest in Arbeit:

• Branchenstandard IT-Sicherheit Wasser/Abwasser (Eignung durch das BSI festgestellt)

• Branchenstandard Datacenter & Hosting (in Arbeit)

• Branchenstandard Informations- und Kommunikationstechnik (in Arbeit)

• Sicherheitsstandard  für den Lebensmitteleinzelhandel (in Arbeit)

• Sicherheitsstandards für das Finanz- und Versicherungswesen (in Arbeit)

Abgrenzung B3S und IT-Sicherheitskatalog BNetzA

Der § 8a BSIG hat in einigen Bereichen der Kritischen Infrastrukturen keine Gültigkeit, weil hier spezialgesetzliche Regelungen herangezogen werden. Dies gilt insbesondere für die Bereiche der öffentlichen Telekommunikation, Energienetze und Energieanlagen. Für die beiden erstgenannten Bereiche hat die Bundesnetzagentur (BNetzA) Kataloge mit konkreteren Sicherheitsanforderungen erstellt (der Katalog für Energieanlagen ist Stand 08/2ß17 noch in Erarbeitung).

Ein angemessener Schutz liegt gemäß § 11 Absatz 1a S. 4 EnWG vor, wenn der Katalog der Sicherheitsanforderungen vom Betreiber eines Energieversorgungsnetzes eingehalten wird. Der IT-Sicherheitskatalog stellt insofern einen Mindeststandard dar. Dabei hat der Netzbetreiber insbesondere auch den allgemein anerkannten „Stand der Technik“ in Bezug auf die Absicherung der jeweils eingesetzten Systeme zu beachten, sowie die allgemeine IKT-Bedrohungslage und die spezifische Bedrohungslage für die eingesetzten Systeme zu berücksichtigen. Dazu sind geeignete, für den jeweiligen Anwendungsbereich formulierte, ggf. branchen- oder sektorspezifische Sicherheitsstandards sowie relevante Empfehlungen, Anwendungsregeln etc. nach jeweils aktuellem Stand heranzuziehen. An der notwendigen Konkretisierung und Ausgestaltung des „Stands der Technik“ kann die Branche in den dafür zuständigen Gremien mitwirken.

Zur Gewährleistung eines angemessenen Sicherheitsniveaus für TK- und DV-Systeme, die für einen sicheren Netzbetrieb notwendig sind, ist die bloße Umsetzung von Einzelmaßnahmen wie zum Beispiel der Einsatz von Antivirensoftware, Firewalls usw. nicht ausreichend. Zur Erreichung der Schutzziele ist stattdessen ein ganzheitlicher Ansatz nötig, der kontinuierlich auf Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf anzupassen ist. Hierfür fordert der ITSiKat von den (in Frage kommenden) Netzbetreibern die Implementierung eines ISMS nach ISO/IEC 27001. Auf eine Konkretisierung der zu treffenden Sicherheitsmaßnahmen wird auch hier verzichtet, aber es wird zumindest gefordert: Bei der Implementierung des ISMS sind die Normen ISO/IEC 27002 und ISO/IEC TR 27019 in der jeweils geltenden Fassung zu berücksichtigen. Beachtung soll auch das BDEW Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ finden. 

Nun liegt die Latte bei Prüfungen im Bereich der Kritischen Infrastrukturen recht hoch, da insbesondere auch Fragestellungen zur Verfügbarkeit in Notfallsituationen betroffen sind. So gilt etwa die Wirtschaftlichkeit hier nur noch sehr begrenzt als Entschuldigung, eine eigentlich erforderliche Maßnahme nicht umgesetzt zu haben. Beispielsweise kann der Prüfer durchaus den Einsatz von komplexen Steueranlagen bemängeln, die seit Jahren einwandfrei laufen und bisher quasi Branchenstandard waren, wenn diese inzwischen gravierende Schwachstellen aufweisen, bei deren Ausnutzung z.B. wesentliche Versorgungsengpässe bewirkt werden könnten. Das darf dann nicht ohne weiteres in Kauf genommen oder durch eine Versicherung kompensiert werden, es sei denn, der „Stand der Technik“ gibt keine besseren Lösungen her. Im Dialog mit dem BSI oder anderen Aufsichtsbehörden muss dann eine Lösung gesucht werden. 

Fazit

Unternehmen sind generell aufgerufen, die Anforderungen zur IT-Sicherheit vereinheitlicht umzusetzen. Dazu sind technische, organisatorische und rechtliche Prozesse und Methoden anzulegen, die ggfs. auch einer gerichtlichen Überprüfung standhalten aber dennoch praxistauglich und wirtschaftlich vertretbar sind. Insbesondere vor dem Hintergrund der Forderungen des ITSiG und der ab Mai 2018 geltenden DSGVO sind hierzu alle notwendigen Anstrengungen zu unternehmen. Bei Nichtbeachtung drohen empfindlichen Bußgelder oder schlimmer noch erhebliche rechtliche Konsequenzen bei Sicherheitsvorfällen. 

Wir vorstehend beschrieben, sind die Unternehmen jetzt leider noch weitgehend auf sich allein gestellt, was die Ermittlung des „Standes der Technik“ anbelangt. Fraglich ist, ob es die geforderten Methoden zur Ermittlung des objektiven Standes der Technik und zur subjektiven Umsetzung der Angemessenheitsfragen überhaupt geben wird. Bisher liegen hierzu nur unzureichende Diskussionspapiere vor, über eine kontinuierliche und gesicherte Weiterentwicklung scheint sich überhaupt noch niemand Gedanken gemacht zu haben. In erster Linie sind nun die zuständigen Aufsichtsbehörden in der Pflicht, klar zu kommunizieren, wie sie künftig diese neuen Anforderungen prüfen werden. 

Autor: Detlef Weidenhammer, GAI NetConsult GmbH

Literatur

 [1] Kalkar-Entscheidung des Bundesverfassungsgerichts, http://de.jurispedia.org/index.php/Kalkar-Entscheidung_(de), 08.08.1978

[2] BSI-Veröffentlichungen zur Cyber-Sicherheit, Absicherung von Telemediendiensten nach Stand der Technik https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_125.pdf?__blob=publicationFile&v=6 

[3] TeleTrust, Handreichung zum 'Stand der Technik' im Sinne des IT-Sicherheitsgesetzes, https://www.teletrust.de/fileadmin/docs/fachgruppen/ag-stand-der-technik/TeleTrusT-Handreichung_Stand_der_Technik.pdf  

[4] BSI: "Stand der Technik" umsetzen, https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/Was_tun/Stand_der_Technik/stand_der_technik_node.html 

 

Autor: Detlef Weidenhammer

Diesen Artikel empfehlen