Die zweite Auflage von „Stand der Technik“ von ESET widmet sich der Frage, wie Unternehmen und Organisationen aktuelle Anforderungen an die Informationssicherheit erfüllen können. Sie stellt die gesetzlichen, regulatorischen und normativen Rahmenbedingungen dar und erläutert praxisnah, wie „Stand der Technik“ im IT-Sicherheitskontext interpretiert und umgesetzt wird.
1. Begriffsklärung „Stand der Technik“
Der Bericht beginnt mit einer präzisen Definition des Begriffs. Er wird als Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen verstanden, der die praktische Eignung einer Maßnahme zur Erreichung eines bestimmten Schutzziels nachweist. Dieser Stand wird durch gesicherte wissenschaftliche Erkenntnisse, einschlägige Normen und Best Practices bestimmt und befindet sich zwischen dem allgemein anerkannten Stand der Technik und dem Stand von Wissenschaft und Technik.
2. Rechtlicher Rahmen
Die Publikation verweist auf zentrale Gesetze und Richtlinien, die den Stand der Technik in der IT-Sicherheit einfordern. Dazu zählen u. a. die DSGVO (insbesondere Art. 32), das BSI-Gesetz, das IT-Sicherheitsgesetz 2.0, branchenspezifische Sicherheitsstandards (B3S), die NIS-Richtlinie (und NIS2) sowie internationale Standards wie ISO/IEC 27001. Diese Vorgaben definieren Mindestanforderungen und betonen die Notwendigkeit angemessener technischer und organisatorischer Maßnahmen (TOMs).
3. Einflussfaktoren auf den Stand der Technik
Der Bericht betont, dass der Stand der Technik nicht statisch ist, sondern sich kontinuierlich an technische Entwicklungen, neue Bedrohungen und Marktverfügbarkeit anpasst. Faktoren wie Wirtschaftlichkeit, Umsetzbarkeit, Skalierbarkeit und das Bedrohungsniveau spielen eine entscheidende Rolle. Unternehmen müssen Risiken regelmäßig bewerten und ihre Schutzmaßnahmen entsprechend anpassen.
4. Technische und organisatorische Maßnahmen (TOMs)
ESET listet wesentliche TOMs auf, die als dem Stand der Technik entsprechend gelten:
• Zugriffskontrolle: Mehrstufige Authentifizierung (MFA), strikte Benutzer- und Rechteverwaltung.
• Netzwerksicherheit: Segmentierung, Firewalls, Intrusion Detection/Prevention Systeme (IDS/IPS).
• Verschlüsselung: Transport- und ruhende Daten (TLS, AES), Schlüsselmanagement.
• Backup-Strategien: Regelmäßige, redundante und verschlüsselte Datensicherungen, Wiederherstellungstests.
• Endpoint-Schutz: Virenschutz, EDR-Lösungen, regelmäßige Patches und Updates.
• Sicherheitsüberwachung: SIEM-Systeme, kontinuierliches Monitoring, Anomalieerkennung.
• Schulungen: Sensibilisierung und Awareness-Maßnahmen für Mitarbeitende.
Diese Maßnahmen müssen je nach Schutzbedarf kombiniert und branchenspezifisch angepasst werden.
5. Branchenspezifische Anforderungen
Für kritische Infrastrukturen (KRITIS) gelten besonders strenge Maßstäbe. Der Bericht verweist auf die BSI-Orientierungshilfe und die branchenspezifischen Sicherheitsstandards (B3S). Unternehmen aus Bereichen wie Energie, Gesundheit, Finanzen oder Transport müssen zusätzlich branchenspezifische Bedrohungslagen berücksichtigen.
6. Angemessenheit und Verhältnismäßigkeit
Eine zentrale Erkenntnis des Berichts ist, dass die Umsetzung des Standes der Technik immer in einem angemessenen Verhältnis zu den Risiken stehen muss. Ein kleiner Betrieb wird nicht dieselben Maßnahmen wie ein internationaler Konzern umsetzen müssen, solange das Schutzziel erreicht wird. Dennoch gilt: Bei besonders sensiblen Daten (z. B. Gesundheits- oder Finanzdaten) sind die höchsten verfügbaren Sicherheitsstandards anzuwenden.
7. Prüf- und Nachweispflichten
Unternehmen müssen die Einhaltung des Standes der Technik dokumentieren. Dazu gehören Risikoanalysen, technische Prüfprotokolle, Sicherheitskonzepte und regelmäßige Audits. Externe Zertifizierungen (z. B. nach ISO 27001) können als Nachweis dienen, sind aber nicht zwingend erforderlich.
8. Zukunftsperspektiven
Der Bericht schließt mit einem Ausblick auf künftige Entwicklungen. Themen wie Zero Trust Security, Security by Design, Cloud-Sicherheit, KI-gestützte Angriffserkennung und IoT-Sicherheit werden an Bedeutung gewinnen. Zudem wird erwartet, dass gesetzliche Anforderungen weiter verschärft und stärker international harmonisiert werden.
Fazit:
Die zweite Auflage von „Stand der Technik“ ist ein praxisorientierter Leitfaden, der Unternehmen bei der Erfüllung gesetzlicher Sicherheitsanforderungen unterstützt. Er macht deutlich, dass Informationssicherheit ein kontinuierlicher Prozess ist, der technische Exzellenz, organisatorische Sorgfalt und rechtliche Compliance vereint.
