Ob gesetzliche Vorschriften oder Cyberversicherung: Der »Stand der Technik« gewinnt in Sachen IT-Security an Bedeutung. Doch was steckt konkret dahinter? ESET hat zu diesem Thema ein Whitepaper veröffentlicht, das die rechtlichen und technischen Aspekte beleuchtet. ITWelt.at war bei der Präsentation dabei. [...]
Wenn es um Security geht, dann ist der Begriff »Stand der Technik« nicht weit. Er findet sich vielfach in Gesetzen, Vorschriften und in den Vertragsbedingungen von Cyberversicherungen. Beispiel im österreichischen Netz- und Informationssystem-Sicherheitsgesetz (NISG), Paragraph 17: »Zur Gewährleistung der NIS haben Betreiber wesentlicher Dienste in Hinblick auf die Netz- und Informationssysteme, die sie für die Bereitstellung des wesentlichen Dienstes nutzen, geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen. Diese haben den Stand der Technik zu berücksichtigen und dem Risiko, das mit vernünftigem Aufwand feststellbar ist, angemessen zu sein.« Die Erfahrung zeigt, dass der Begriff direkten Einfluss auf fast jede Organisation hat.
So einfach er auf den ersten Blick wirkt, so schwer lässt er sich fassen. In einer aktuellen Umfrage von ESET zeigt sich, dass lediglich 35 Prozent der Befragten glauben, den Begriff »Stand der Technik« richtig definieren zu können. Eine teilweise Fehleinschätzung: Nur die Hälfte dieser Gruppe liegt tatsächlich richtig.
»Hinter dem Begriff Stand der Technik in der IT-Sicherheit verbergen sich leider keine klar umgrenzten Handlungsempfehlungen oder eine eindeutige Definition, welche IT-Security-Technologien oder -Lösungen einzusetzen sind. Es handelt sich vielmehr um einen unbestimmten Rechtsbegriff, dessen Tragweite sich erst bei intensiver Betrachtung als vielschichtig und weitreichend herausstellt«, sagt Michael Schröder, Manager of Security Business Strategy DACH bei ESET Deutschland. Vor diesem Hintergrund hat ESET das Whitepaper »IT-Security auf dem Stand der Technik. Wie sind Unternehmen, CISOs, Vorstände und Geschäftsführer sicher aufgestellt?« herausgegeben.
Verschärfte Policen
Thorsten Urbanski, Director of Marketing and Communication DACH, weist bei der Präsentation des Whitepapers darauf hin, dass einer Pressemeldung zufolge fast 80 Prozent der Unternehmen bei ihrem Versicherer bereits Ansprüche geltend gemacht haben, mehr als die Hälfte davon mehrfach. Folglich würden Versicherungsunternehmen die Leistungen kürzen und sich vermehrt von der Deckung kritischer Risiken zurückziehen. So seien etwa Schäden durch Ransomware oder Kosten für Datenwiederherstellungen bei rund 50 Prozent der befragten Unternehmen von der Police nicht mehr abgedeckt, zitiert Urbanski. Anders formuliert: Die Versicherer verschärfen ihre Policen im Sinne von Stand der Technik. Dazu komme, dass nur 14 Prozent der von ESET befragten Unternehmen überzeugt sind, dass der aktuelle Schutzlevel den aktuellen Herausforderungen gewachsen ist. Ein weiterer Aspekt, der das Risiko verschärft, ist, dass nur bei 25 Prozent der Mittelständler ausreichend Cybersecurity-Knowhow vorhanden ist, bei Großunternehmen bzw. Konzernen sind es immerhin 55 Prozent. »Die gute Nachricht: Das eigene Unternehmen auf den Stand der Technik zu bringen, ist nicht schwer und kostet auch nicht viel«, so Thorsten Urbanski.
Unterschiedliche Perspektiven
Das kostenlose Whitepaper startet mit einer juristischen Beschreibung des Begriffs. Die Autoren Michael Schröder von ESET und Stefan Sander, Fachanwalt für IT-Recht, beleuchten dabei die gesetzlichen Rahmenbedingungen im deutschsprachigen Raum sowie das Mindestniveau von Stand der Technik. Daran anschließend: Anforderungen an die IT-Sicherheit und angemessene Maßnahmen. Um den heutigen Anforderungen an IT-Security gerecht zu werden, gibt es eine Vielzahl dedizierter technologischer Lösungen und Services, die von Experten bereitgestellt werden. Diese können Organisationen bei der Einhaltung des Stands der Technik maßgeblich unterstützen. Hier kann das Motto »Risikominimierung vs. Raketenwissenschaft« durchaus auch in Anbetracht der wirtschaftlichen Aspekte zielführender sein, als langfristige oder aufgeschobene Projekte.
ESET verfolgt in diesem Kontext Zero-Trust-Security-Ansätze, die auf einem mehrschichtigen, aufeinander aufbauenden Reifegradmodell basieren. Sie bringen die Bedürfnisse einer Vielzahl von Organisationen in eine klare Reihenfolge. Eine umfassende Sicherheitsstrategie beinhaltet in jedem Fall eine zusätzliche individuelle Bewertung sowie Absicherung möglicher Angriffsvektoren, so die Informationen von ESET.
Thorsten Urbanski unterstrich bei der Präsentation des Whitepapers die Bedeutung des Themas für den Channel – Stichwort Up- und Cross-Selling-Möglichkeiten. Überhaupt bestehe derzeit eine positive Geschäftslage in der IKT-Branche. Vor allem im Segment Großkunden, das Unternehmen mit mehr als 500 Mitarbeitern und Mitarbeiterinnen sowie öffentliche Auftraggeber umfasst, seien die Aussichten auf Wachstum sehr gut.
Das Whitepaper kann unter https://www.eset.com/de/stand-der-technik/ heruntergeladen werden.
Be the first to comment