Zum "Stand der Technik" in der IT-Sicherheit
Im Licht von Defiziten in der IT-Sicherheit vieler europäischer Länder und der seit Mai 2018 geltenden EU-Datenschutz-Grundverordnung (DSGVO) hat der Bundesverband IT-Sicherheit e....
Im Licht von Defiziten in der IT-Sicherheit vieler europäischer Länder und der seit Mai 2018 geltenden EU-Datenschutz-Grundverordnung (DSGVO) hat der Bundesverband IT-Sicherheit e.V. (TeleTrusT) eine Handreichung zur IT-Sicherheit mit Orientierung am „Stand der Technik“ entwickelt.
Das Dokument wird in englischer Sprache gemeinsam mit der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) veröffentlicht.
Keine konkreten Anweisungen
Täglich zeigen Meldungen zu Sicherheitsvorfällen in Unternehmen und Behörden, dass dringender Handlungsbedarf zur Verbesserung der IT-Sicherheit besteht.
Artikel 32 DSGVO regelt zur "Sicherheit der Verarbeitung", dass "unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen sind". Damit soll ein dem Risiko angemessenes Schutzniveau gewährleistet werden.
Sowohl die nationalen als auch der europäische Gesetzgeber gaben bisher keine konkrete Erläuterung des aktuellen „Standes der Technik“ heraus. Bisher wurden keine technischen Anforderungen und Bewertungskriterien für die sicherheitsrelevanten technischen und organisatorischen Maßnahmen veröffentlicht, genauso wenig wurden methodische Ansätze geliefert.
Diese Ausgestaltung, zumal in einem dynamischen Marktumfeld, bleibt den Fachkreisen überlassen.
Vor diesem Hintergrund gibt das veröffentlichte Dokument der TeleTrusT konkrete Hinweise und Handlungsempfehlungen. Die Handreichung soll Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des Standes der Technik in der IT-Sicherheit geben und kann als Referenz, etwa für vertragliche Vereinbarungen, dienen. Es ersetzt allerdings nicht eine technische, organisatorische oder rechtliche Beratung oder Bewertung im Einzelfall.
Die IT-Sicherheit europäischer Länder verbessern
Durch die nun veröffentlichte englische Fassung des Dokumentes werden Unternehmen in allen europäischen Ländern bei der Bestimmung des geforderten Sicherheitsstands in der IT-Sicherheit unterstützt.
ENISA Executive Director Dr. Udo Helmbrecht sagt: "Die Mitwirkung an diesem Handbuch ist Teil der Unterstützung, die ENISA für die EU-Mitgliedsstaaten leistet. Die Inhalte bieten konkrete Informationen und Empfehlungen, wie die IT-Sicherheit verbessert werden kann. Für IT-Experten ist die Handreichung eine nützliche Leitlinie, um in der Praxis den rechtlichen Anforderungen technisch gerecht zu werden."
"Mit Hilfe der Bestimmung des Standes der Technik wird es uns gelingen, den Level an IT-Sicherheit angemessen zu erhöhen, unsere Robustheit gegen Cyber-Angriffe zu stärken und damit das Risiko der fortscheitenden Digitalisierung deutlich zu reduzieren.“, so TeleTrusT-Vorsitzender Prof. Dr. Norbert Pohlmann.
TeleTrusT-Vorstand RA Karsten U. Bartels erklärt:
"Die Berücksichtigung des Stands der Technik ist eine technische, organisatorische und rechtliche Aufgabe für die Unternehmen und Behörden. Die Handreichung hilft auf diesen drei Ebenen sehr konkret - und das sowohl bei der operativen Umsetzung als auch bei deren Dokumentation."