TeleTrusT
Zusammenfassung des Berichts: “Stand der Technik in der IT-Sicherheit” (TeleTrusT Handreichung)
Einleitung
Stand der Technik in der IT-Sicherheit 2021
Der Bericht “Stand der Technik in der IT-Sicherheit” vom Bundesverband IT-Sicherheit e.V. (TeleTrusT) aus dem Jahr 2021 bietet eine umfassende Handreichung zur Bestimmung und Implementierung des “Standes der Technik” (SdT) im Bereich IT-Sicherheit. Diese Handreichung richtet sich an Unternehmen, insbesondere an Betreiber kritischer Infrastrukturen (KRITIS), sowie an Dienstleister, die sicherstellen müssen, dass ihre IT-Sicherheitsmaßnahmen den gesetzlichen Anforderungen entsprechen, wie sie durch das IT-Sicherheitsgesetz (ITSiG) und die Datenschutz-Grundverordnung (DSGVO) gefordert werden.
Gesetzliche Grundlagen
Das IT-Sicherheitsgesetz, in Kraft getreten im Juli 2015, zielt darauf ab, die Sicherheit informationstechnischer Systeme in Deutschland zu verbessern. Es verpflichtet Betreiber kritischer Infrastrukturen, ein dem Stand der Technik entsprechendes IT-Sicherheitsniveau einzuhalten, um die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität ihrer Systeme zu gewährleisten. Parallel dazu verlangt die DSGVO von Unternehmen, personenbezogene Daten durch angemessene technische und organisatorische Maßnahmen zu schützen. Auch hier ist der Stand der Technik ein entscheidendes Kriterium, das Unternehmen zur Umsetzung moderner Sicherheitspraktiken verpflichtet.
Bestimmung des “Standes der Technik”
Der “Stand der Technik” wird in der Handreichung als der fortschrittlichste und am Markt verfügbare Technologiestandard definiert, der die besten Erfolgsaussichten bei der Erreichung gesetzlicher Schutzziele bietet. Er unterscheidet sich von den “allgemein anerkannten Regeln der Technik”, die bewährte, aber möglicherweise nicht mehr modernste Techniken beschreiben, sowie vom “Stand der Wissenschaft und Forschung”, der zukunftsweisende, jedoch noch nicht marktreife Technologien umfasst.
Um den Stand der Technik zu bestimmen, empfiehlt die Handreichung einen strukturierten Bewertungsprozess, der die Praxisbewährung und die Anerkennung durch Experten gleichermaßen berücksichtigt. Der Bericht betont, dass der Stand der Technik dynamisch ist und regelmäßige Überprüfungen erfordert, um den neuesten technologischen Entwicklungen Rechnung zu tragen.
Technische Maßnahmen
Ein wesentlicher Bestandteil der Handreichung ist die detaillierte Beschreibung technischer Maßnahmen, die dem Stand der Technik entsprechen. Hierzu zählen:
- Passwortmanagement: Die Handreichung empfiehlt die Durchsetzung starker Passwörter sowie den Einsatz von Multifaktor-Authentifizierung (MFA), um den Schutz vor Identitätsdiebstahl und Missbrauch zu erhöhen. Es wird erläutert, wie Unternehmen ihre Passwortpolitik auf ein dem Risiko entsprechendes Niveau heben können.
- Verschlüsselungstechnologien: Der Einsatz von kryptografischen Verfahren wie AES-256 für die symmetrische Verschlüsselung sowie modernen Hash-Algorithmen wie SHA-256 wird dringend empfohlen. Diese Verfahren schützen die Vertraulichkeit und Integrität von Daten sowohl bei der Speicherung als auch bei der Übertragung.
- Netzwerksicherheit: Der Bericht unterstreicht die Bedeutung sicherer Netzwerke durch den Einsatz von VPNs, Firewalls, und Intrusion Detection Systems (IDS). Diese Maßnahmen schützen vor unbefugtem Zugriff und ermöglichen eine Überwachung potenzieller Bedrohungen.
Organisatorische Maßnahmen
Neben den technischen Maßnahmen betont die Handreichung auch die Notwendigkeit organisatorischer Maßnahmen:
- Risikomanagement und Sicherheitsstrategie: Unternehmen sollten ein umfassendes Risikomanagement implementieren, das auf einer regelmäßigen Bewertung und Anpassung der Sicherheitsstrategien basiert. Dies umfasst die Erstellung von Notfallplänen, Schulung der Mitarbeiter und die Definition klarer Verantwortlichkeiten innerhalb der Organisation.
- Dokumentation und Compliance: Die Einhaltung gesetzlicher Vorgaben muss durch detaillierte Dokumentation der getroffenen Maßnahmen und regelmäßige Audits sichergestellt werden. Dies ist insbesondere im Hinblick auf die Rechenschaftspflicht nach DSGVO von Bedeutung.
Herausforderungen und Empfehlungen
Die Handreichung erkennt die Herausforderungen bei der Umsetzung des Stands der Technik an, insbesondere in Bezug auf die Integration in bestehende Systeme und die Kosten. Sie empfiehlt, bei der Implementierung die individuellen Risiken und wirtschaftlichen Möglichkeiten des Unternehmens zu berücksichtigen. Dabei ist es entscheidend, dass Unternehmen kontinuierlich den Markt beobachten und ihre Maßnahmen an neue Bedrohungen und technische Entwicklungen anpassen.
Fazit
Die Handreichung des TeleTrusT bietet eine fundierte Orientierung zur Umsetzung des Stands der Technik in der IT-Sicherheit. Sie betont die Notwendigkeit eines integrativen Ansatzes, der sowohl technische als auch organisatorische Maßnahmen umfasst, um ein hohes Schutzniveau zu gewährleisten. Für Unternehmen, insbesondere solche, die kritische Infrastrukturen betreiben, ist es unerlässlich, ihre IT-Sicherheitsstrategien regelmäßig zu überprüfen und weiterzuentwickeln, um den dynamischen Anforderungen des Stands der Technik gerecht zu werden.
