Wie ein Begriff die IT-Sicherheit entscheidend verändert: Unternehmen müssen den Spagat zwischen Bedrohungslage, gesetzlichen Anforderungen und eigenen Security-Ansprüchen meistern. Michael Schröder, Manager of Security Business Strategy DACH bei ESET Deutschland, im Interview. [...]
Auf den ersten Blick erscheint der Begriff „Stand der Technik“ absolut verständlich. Kunden verwenden ihn oft als Synonym für den aktuellen Entwicklungsstand von Technologien, Produkten oder Dienstleistungen. Das Ganze hat aber einen Haken: Je nach Branche und Anwendungsbereich kann die Definition von Stand der Technik unterschiedlich ausfallen.
Insbesondere in der sensiblen IT-Sicherheitsbranche gehört mehr dazu, als nur die Bedürfnisse und Anforderungen der Verbraucher zu erfüllen. Denn der Stand der Technik wird bereits vielfach in Vorschriften, Gesetzen – wie das Informationssicherheitsgesetz (Schweiz), das Netz- und Informationssystemsicherheitsgesetz (Österreich) oder das BSI-Gesetz (Deutschland) – und selbst in den Vertragsbedingungen von Cyberversicherungen genutzt. Damit hat der Begriff direkten Einfluss nicht nur auf Kritische Infrastrukturen, sondern letztlich sogar auf fast jede Organisation.
Offensichtlich ist dies noch längst nicht jedem Verantwortlichen geläufig. In einer aktuellen Umfrage von ESET zeigte sich, dass lediglich 37 Prozent der Befragten glaubten, den Stand der Technik in der IT-Security richtig definieren zu können. Ein Trugschluss, wie die dazu gewählte Kontrollfrage bewies: Nur etwas mehr die Hälfte von ihnen lag tatsächlich korrekt. Dieses Ergebnis zeigt eindeutig, dass noch viel Aufklärungsarbeit zu leisten ist.
„Hinter dem Begriff Stand der Technik in der IT-Sicherheit verbergen sich leider keine klar umgrenzten Handlungsempfehlungen oder eine eindeutige Definition, welche IT-Security-Technologien oder -Lösungen einzusetzen sind. Es handelt sich vielmehr um einen unbestimmten Rechtsbegriff, dessen Tragweite sich erst bei intensiver Betrachtung als vielschichtig und weitreichend herausstellt“, sagt Michael Schröder, Manager of Security Business Strategy DACH bei ESET Deutschland. „Dies gilt nicht nur für Kunden, sondern auch für Reseller, Fachhändler, Systemhäuser, Distributoren und schliesslich die Hersteller selbst. Anders als in anderen Branchen ist der Stand der Technik letztlich – und sogar im schlimmsten Fall – für das Überleben des Unternehmens entscheidend.“
Relevanz für den IT-Alltag
Wie stark sich der Stand der Technik bereits im IT-Alltag verfestigt hat, erleben aktuell viele Unternehmen, die an eine Cyberversicherung als Teil ihrer Sicherheitsstrategie denken. Immer mehr Versicherer gehen nämlich dazu über, die Security-Anforderungen für ihre Policen zu verschärfen – ganz im Sinne von Stand der Technik. Wer dem nicht nachkommt, muss mit einer Ablehnung des Versicherungsvertrags oder mit kostspieligen Aufschlägen rechnen.
Zwangsläufig stellt sich generell die Frage, welche Anforderungen an die IT-Sicherheit auf Unternehmen zukommen und wie angemessene Massnahmen aussehen könnten. Denn ein unbestimmter Rechtsbegriff hilft Entscheidern wenig, wenn sie die praktische Umsetzung der eigenen Security vorantreiben möchten. Es reicht nämlich längst nicht mehr aus, eine Sicherheitslösung und eine Firewall zu implementieren. Beispielsweise geht der Trend für Unternehmensrechner eindeutig zum sogenannten Multi Secured Endpoint mit Malwareschutz, Datenträgerverschlüsselung, Multi-Faktor-Authentifizierung und Cloud Sandboxing als Basisschutz. Zum Glück gibt es auf dem Markt eine Vielzahl dedizierter technologischer Lösungen und Services, die von Experten bereitgestellt werden. Zudem beraten externe Dienstleister und Security-Hersteller mit ihrer Expertise Organisationen umfassend bei der Einhaltung des Stands der Technik.
Eine mögliche Lösung zur effektiven Risikominimierung sind Zero Trust Security-Ansätze, die auf einem mehrschichtigen, aufeinander aufbauenden Reifegradmodell basieren. Sie bringen die Bedürfnisse einer Vielzahl von Organisationen in eine klare Reihenfolge. Eine umfassende Sicherheitsstrategie beinhaltet in jedem Fall eine zusätzliche individuelle Bewertung sowie Absicherung möglicher Angriffsvektoren – und hebt die Security auf den aktuellen Stand der Technik.
Der Stand der Technik ist ein „Muss“ und keine Option
IT-Sicherheit ist ein stetiger Prozess von Überprüfung und Anpassung der getroffenen Maßnahmen. Doch nicht immer entspricht alles dem Stand der Technik und ruft so enorme Risiken hervor.
In der Diskussion um den Stand der Technik tauchen acht Fragen auf, die immer wieder von Kunden und Partnern gestellt werden. Michael Schröder, Manager of Security Business Strategy bei ESET Deutschland, kennt die Antworten:
Was ist der Stand der Technik?
Im rechtlichen Kontext handelt es sich bei der Formulierung „Stand der Technik“ um einen sogenannten unbestimmten Rechtsbegriff, mit dem sich der Gesetzgeber auf eine abstrakte Regelung beschränkt, die für eine Vielzahl an Fällen Geltung beanspruchen kann. Auf den Arbeitsalltag gemünzt bedeutet dies, dass zu einem unbestimmten Zeitraum konkrete notwendige technische Anforderungen in einer Organisation erfüllt sein müssen, ohne dass jedoch explizite Maßnahmen festgelegt wurden. Festgelegt ist hingegen das angestrebte Qualitätsniveau, welches sich bezogen auf eine konkrete technische Einrichtung typischerweise mit Zeitablauf verschlechtert, weil neuere (und bessere) Techniken in den Markt eintreten. Fordert das Gesetz die Einhaltung des Standes der Technik, muss demzufolge stetig geprüft und gegebenenfalls neu investiert werden sowie die jeweils beste am Markt verfügbare IT-Sicherheitsmaßnahme beschafft und eingesetzt werden, die die Erreichung eines hohen Schutzniveaus für die IT-Sicherheit als voraussichtlich gesichert erscheinen lässt.
Was gilt aktuell und was wird sich ändern?
Das BSI-Gesetz regelt – aktuell noch in Umsetzung der NIS-Richtlinie – Pflichten unter anderem für die Betreiber von Kritischen Infrastrukturen. Zentraler Inhalt ist die Aufforderung, die Resilienz der Systeme im Hinblick auf die Cybersicherheit zu stärken. Konkret müssen KRITIS-Betreiber die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse sicherstellen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. In diesem Zusammenhang entschied der Gesetzgeber, dass der Stand der Technik einzuhalten ist. Das bezieht sich nicht nur auf einen bestimmten Zeitpunkt, etwa die Genehmigung oder die Inbetriebnahme einer solchen Anlage, sondern grundsätzlich fortlaufend beim Betrieb der Anlage – wenn keine konkretisierenden Angaben festgelegt wurden. Mit der NIS-2-Richtlinie werden über die bislang regulierten wesentlichen Organisationen hinaus demnächst auch wichtige Organisationen (ab einer Größe von 50 Mitarbeitern) als Adressaten des Gesetzes in den Fokus geraten. Der Anwendungsbereich der gesetzlichen Pflichten steigert sich damit um eine enorme Anzahl von Organisationen.
Gibt es ein allgemeines Mindestniveau für den „Stand der Technik“ in der IT-Security?
Nein, im Grunde genommen nicht. Es gilt immer, die individuelle Situation der eigenen Organisation zu betrachten. Erst anhand einer Risikoanalyse kann man bestimmen, welche technischen Maßnahmen ein „angemessenes Schutzniveau“ versprechen. Im gleichen Zuge sind verschiedene Aspekte zu betrachten wie zum Beispiel die wirtschaftliche Machbarkeit und die Fähigkeit zur Umsetzung. Von einem Freelancer kann niemand ernsthaft eine EDR-Lösung für seinen PC verlangen. Inzwischen besteht ein gewisser Common Sense, was für jeden umsetzbar, bezahlbar und leistbar ist. Seit etwa zwei Jahren empfehlen wir den „Multi Secured Endpoint“ als Basis für jede Organisationsgröße in Anbetracht der aktuellen Bedrohungslage und der aktuellen Datenschutzgesetze.
Was verbirgt sich hinter dem sogenannten Reifegradmodell?
Das Reifegradmodell ist elementarer Bestandteil von „Zero Trust Security“-Konzepten wie beispielsweise dem von ESET. Es bietet IT-Verantwortlichen ein modular aufgebautes Sicherheitskonzept zur Orientierung. Je nach Ausgangslage – beispielsweise die Anzahl und Art der eingesetzten Geräte, die genutzten Technologien oder das vorhandene Budget – werden verschiedene Schutzlevel beschrieben, in die Organisationen ihren IST-Zustand einordnen können. Hieraus ergibt sich der Bedarf an Sicherheitslösungen, die zur Erreichung des jeweiligen Schutzlevels notwendig sind. Dieses Reifegradmodell kann stufenweise umgesetzt werden und ist für jede Organisationsgröße sinnvoll.
Wie setze ich den Stand der Technik um?
Ein (betreuter) Aufbau eigener Schutzmaßnahmen und (regelmäßige) Investments in die Infrastruktur sind also unerlässlich. Ergänzend dazu sollte eine Cyberversicherung bei den meisten Organisationen ein fester Bestandteil der ganzheitlichen Risikomanagementstrategie sein. Damit können sich Organisationen beispielsweise vor Störungen im Alltag, Datenverschlüsselungen durch Ransomware-Angriffe oder Haftpflichtschäden bei Datenschutzvorfällen absichern. Zudem soll das Risiko der damit verbundenen Kosten für die Wiederherstellung des (Geschäfts-)Betriebs, die Lohnfortzahlung oder den Gewinnausfall minimiert werden. Versicherungen werden einen Schaden allerdings nur dann ersetzen oder zuvor absichern, wenn die getroffenen Maßnahmen für die jeweilige Organisation als angemessen angesehen werden können und somit das Risiko von Sicherheitsvorfällen nachweislich minimiert wurde.
Klar ist, dass sich die Anforderungen und der tatsächliche Handlungsbedarf individuell von Organisation zu Organisation unterscheiden. Wir haben dennoch ein paar allgemeine Maßnahmen formuliert, die für einen Großteil der Unternehmen in der DACH-Region relevant sind und bleiben werden. Die Handlungsempfehlungen helfen (IT)-Verantwortlichen, ein angemessenes Schutzniveau in der Organisation zu gewährleisten.
Welche organisatorischen Maßnahmen sollten Unternehmen hinsichtlich IT-Security und deren Stand der Technik ergreifen?
Organisatorische Maßnahmen sind nur ein Teil der Umsetzung von IT-Sicherheitsanforderungen. Sie tragen dazu bei, dass die eingesetzten Produkte und Services optimal strukturiert und konfiguriert sind. Erst eine durchgeführte Risikoanalyse zeigt, welche Maßnahmen ergriffen werden sollten. Dazu zählen beispielsweise die Schulung und Sensibilisierung der Mitarbeiter, ein belastbares IT-Notfallmanagement sowie die regelmäßige Überprüfung und Aktualisierung der IT-Sicherheitsrichtlinien und -verfahren. Für größere Organisationen kommt zum Beispiel auch die Einführung eines Information Security Management Systems infrage.
Wie können Unternehmen sicherstellen, dass die ergriffenen Maßnahmen auch dem erforderlichen Standard entsprechen?
Eine regelmäßige Überprüfung der eigenen Maßnahmen ist unerlässlich. Wie hat sich die Technologie am Markt entwickelt? Gibt es mittlerweile Veränderungen in meinen Prozessen sowie meiner Arbeitsweise und bilden sich dadurch neue Risiken? Penetrationstests und auch die Expertise externe Spezialisten helfen hier weiter. Neben diesen rein organisatorischen Fragen spielt auch der Anbieter der eingesetzten Security-Lösungen eine zentrale Rolle. Dieser sollte immer die neusten Technologien und Schutzmodule anbieten. Viele Antworten finden Verantwortliche in der Handreichung zum Stand der Technik vom TeleTrust-Verband oder im kostenlosen Whitepaper von ESET.
Welche Tipps können Sie Unternehmen, die sich Gedanken über eine Cyberversicherung machen, mit auf den Weg geben?
Eine Cyberversicherung stellt das i-Tüpfelchen eines umfassenden IT-Sicherheitskonzeptes dar und kann dieses keinesfalls ersetzen. Es sichert das Restrisiko ab, dass trotz aller eingesetzten Maßnahmen und getroffenen Vorkehrungen der Worst Case – ein erfolgreicher Cyberangriff – eintritt. In diesem Fall hilft die Police, die entstandenen Schäden auf ein vertretbares Minimum zu reduzieren. Wer so vorgeht, dürfte wenig Schwierigkeiten haben, einen geeigneten Versicherungsgeber zu finden. Und genauso wichtig: Die Höhe der Versicherungsbeiträge dürften sich in einem angemessenen Rahmen bewegen. Je anfälliger die eigene IT-Sicherheit aus Sicht der Cyberversicherung ist, desto teurer wird die Police – wenn sie überhaupt zustande kommt.
Kostenloses Whitepaper: Informationen aus unterschiedlichen Perspektiven
ESET hat das Whitepaper IT-Security auf dem Stand der Technik herausgebracht, das kostenlos unter https://www.eset.at/stand-der-technik heruntergeladen werden kann. Es vermittelt kompakt, was sich hinter dem vermeintlich einfachen Begriff versteckt und welche direkten Auswirkungen er auf die Gestaltung der eigenen Security von Unternehmen und Organisationen hat.
Das kostenlose Whitepaper startet mit einer juristischen Beschreibung des Begriffs. Die gesetzlichen Rahmenbedingungen sowie das Mindestniveau von Stand der Technik werden detailliert beleuchtet. Auch auf den Geltungsbereich gehen die Autoren Michael Schröder (ESET) und Stefan Sander, Fachanwalt für IT-Recht, ein.
An die Rechtsbetrachtung schließen sich die Anforderungen an die IT-Sicherheit und angemessene Maßnahmen an. Sie gehen dann nahtlos zu den technischen Maßnahmen über, die praxisnah für den Leser aufbereitet sind. Um den heutigen Anforderungen an IT-Sicherheit gerecht zu werden, gibt es eine Vielzahl dedizierter technologischer Lösungen und Services, die von Experten bereitgestellt werden. Diese können Organisationen bei der Einhaltung des Stands der Technik maßgeblich unterstützen.
Wie stark sich der Stand der Technik bereits im IT-Alltag verfestigt hat, zeigt das Blickpunktkapitel „Cyberversicherung als Herausforderung für Unternehmen“ an. Immer mehr Versicherer gehen nämlich dazu über, die Security-Anforderungen für ihre Policen zu verschärfen – ganz im Sinne von Stand der Technik. Wer dem nicht nachkommt, muss mit einer Ablehnung des Versicherungsvertrags oder mit kostspieligen Aufschlägen rechnen.
https://www.eset.at/stand-der-technik
Der Artikel erschien in der Ausgabe transform! 02/2023.
Be the first to comment