TeleTrusT
Zusammenfassung des Berichts: “Stand der Technik in der IT-Sicherheit” (TeleTrusT Handreichung)
Einleitung
Stand der Technik in der IT-Sicherheit 2020
Der Bericht des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) aus dem Jahr 2020 gibt einen umfassenden Überblick über den “Stand der Technik” (SdT) in der IT-Sicherheit. Ziel ist es, Unternehmen und Anbietern Orientierung und Handlungsempfehlungen zur Bestimmung des SdT im Sinne des IT-Sicherheitsgesetzes (ITSiG) und der Datenschutz-Grundverordnung (DSGVO) zu geben. Der Bericht dient als Referenz für vertragliche Vereinbarungen, Vergabeverfahren und die Einordnung implementierter Sicherheitsmaßnahmen.
Gesetzliche Grundlagen
Das ITSiG, das 2015 in Kraft trat, zielt darauf ab, die Sicherheit informationstechnischer Systeme in Deutschland zu verbessern. Es legt fest, dass Betreiber Kritischer Infrastrukturen (KRITIS) ein dem SdT entsprechendes Mindestniveau an IT-Sicherheit einhalten müssen. Die DSGVO, die seit 2018 gilt, fordert ebenfalls die Berücksichtigung des SdT bei technischen und organisatorischen Maßnahmen, insbesondere zum Schutz personenbezogener Daten.
Bestimmung des Standes der Technik
Der Bericht betont die Notwendigkeit einer klaren Abgrenzung des SdT von ähnlichen Begriffen wie den “allgemein anerkannten Regeln der Technik” und dem “Stand der Wissenschaft und Forschung”. Der SdT wird als die am Markt verfügbare Bestleistung beschrieben, die zur Erreichung der jeweiligen gesetzlichen Schutzziele am effektivsten ist. Um den SdT nachzuweisen, genügt es nicht, Sicherheitsmaßnahmen einmalig zu bewerten und zu implementieren. Vielmehr müssen diese regelmäßig überprüft und an den technologischen Fortschritt angepasst werden.
Technische Maßnahmen
Der Bericht liefert eine detaillierte Übersicht über verschiedene technische Maßnahmen, die den SdT darstellen. Dazu gehören unter anderem:
- Passwortmanagement: Die Durchsetzung starker Passwörter und die Implementierung von Multifaktor-Authentifizierung (MFA) werden als zentrale Maßnahmen hervorgehoben. Schwache Passwörter sind nach wie vor eine der Hauptursachen für Sicherheitsvorfälle. MFA erhöht die Sicherheit, indem sie zusätzlich zu Passwörtern weitere Authentifizierungsfaktoren einsetzt.
- Kryptographische Verfahren: Der Einsatz sicherer Verschlüsselungsverfahren ist entscheidend für die Wahrung der Vertraulichkeit und Integrität von Daten. Der Bericht empfiehlt die Nutzung moderner Verschlüsselungsverfahren wie AES-256 und weist darauf hin, dass diese regelmäßig auf ihre Sicherheit hin überprüft werden müssen.
- Verschlüsselung von Festplatten und E-Mails: Die Vollverschlüsselung von Festplatten schützt Daten bei Verlust oder Diebstahl von Geräten. Für den E-Mail-Verkehr empfiehlt der Bericht die Nutzung von Transport Layer Security (TLS) und Ende-zu-Ende-Verschlüsselung.
Organisatorische Maßnahmen
Neben technischen Maßnahmen betont der Bericht auch die Bedeutung organisatorischer Maßnahmen:
- Sicherheitsorganisation und Risikomanagement: Unternehmen müssen eine klare Sicherheitsorganisation etablieren, die Verantwortlichkeiten definiert und ein umfassendes Risikomanagement implementiert.
- Dokumentation und Audits: Die DSGVO verlangt eine umfassende Dokumentation der getroffenen Sicherheitsmaßnahmen. Regelmäßige Audits helfen, Schwachstellen zu identifizieren und Sicherheitsprozesse zu verbessern.
- Schwachstellen- und Patchmanagement: Ein effizientes Schwachstellenmanagement ist essenziell, um bekannte Sicherheitslücken schnell zu schließen und das Risiko von Angriffen zu minimieren.
Praktische Umsetzung und Herausforderungen
Der Bericht erkennt an, dass die Umsetzung des SdT in der Praxis herausfordernd sein kann. Die Anforderungen an den SdT variieren je nach Branche, Größe des Unternehmens und Art der verarbeiteten Daten. Der Bericht stellt klar, dass der SdT stets an den individuellen Schutzbedarf und die wirtschaftlichen Möglichkeiten eines Unternehmens angepasst werden muss.
Fazit
Die TeleTrusT-Handreichung bietet einen fundierten Leitfaden zur Umsetzung des SdT in der IT-Sicherheit. Durch die Kombination von technischen und organisatorischen Maßnahmen können Unternehmen ein hohes Sicherheitsniveau erreichen und ihre Compliance mit gesetzlichen Vorgaben sicherstellen. Die regelmäßige Überprüfung und Anpassung der Maßnahmen ist dabei unerlässlich, um den SdT dauerhaft zu gewährleisten.
