TeleTrusT
Zusammenfassung des Berichts: “TeleTrusT-Handreichung: Stand der Technik” (Ausgabe 2018)
Einleitung
Der Bericht “TeleTrusT-Handreichung: Stand der Technik” aus dem Jahr 2018 bietet eine detaillierte Anleitung für Unternehmen, die den gesetzlich geforderten “Stand der Technik” im Bereich IT-Sicherheit einhalten müssen. Diese Handreichung richtet sich insbesondere an Betreiber Kritischer Infrastrukturen (KRITIS) und Unternehmen, die den Anforderungen des IT-Sicherheitsgesetzes (ITSiG) und der Datenschutz-Grundverordnung (DSGVO) unterliegen. Ziel des Dokuments ist es, eine praxisnahe Orientierung zu bieten, wie technische und organisatorische Maßnahmen (TOMs) nach dem Stand der Technik umgesetzt werden können.
Gesetzliche Rahmenbedingungen
Das IT-Sicherheitsgesetz, das 2015 in Kraft trat, verlangt von KRITIS-Betreibern, ein Mindestniveau an IT-Sicherheit aufrechtzuerhalten, das dem Stand der Technik entspricht. Diese Anforderungen werden durch die Datenschutz-Grundverordnung (DSGVO) erweitert, die seit Mai 2018 gilt und von Unternehmen fordert, personenbezogene Daten durch angemessene Maßnahmen zu schützen. Der Bericht betont, dass der Stand der Technik dynamisch ist und regelmäßig überprüft werden muss, um den neuesten Bedrohungen und technologischen Entwicklungen gerecht zu werden.
Definition des “Standes der Technik”
Der Begriff “Stand der Technik” wird im Bericht klar definiert und von anderen ähnlichen Begriffen wie “allgemein anerkannte Regeln der Technik” und “Stand von Wissenschaft und Forschung” abgegrenzt. Der Stand der Technik bezeichnet den aktuell besten verfügbaren Entwicklungsstand von Verfahren, der praxiserprobt ist und zur Erreichung der gesetzlich geforderten Schutzziele am effektivsten beiträgt. Dies bedeutet, dass Unternehmen die neuesten verfügbaren Technologien und Verfahren implementieren müssen, die sich in der Praxis bewährt haben.
Technische und organisatorische Maßnahmen
Der Bericht enthält detaillierte Empfehlungen zu den technischen und organisatorischen Maßnahmen, die den Stand der Technik erfüllen:
- Kryptographie und Verschlüsselung: Die Nutzung moderner Verschlüsselungstechnologien, wie etwa AES-256, wird als unverzichtbar erachtet. Unternehmen sollten regelmäßig überprüfen, ob die verwendeten kryptographischen Verfahren noch dem aktuellen Stand der Technik entsprechen.
- Netzwerksicherheit: Maßnahmen wie Firewalls, Intrusion Detection Systems (IDS) und Virtual Private Networks (VPNs) werden als essenziell für den Schutz von Netzwerken vor unbefugtem Zugriff und Cyberangriffen angesehen.
- Authentifizierung: Der Einsatz von Multi-Faktor-Authentifizierung (MFA) wird empfohlen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf sensible Systeme und Daten haben. Dies trägt erheblich zur Reduzierung von Risiken durch gestohlene oder schwache Passwörter bei.
- Sicherheitsmanagement: Ein umfassendes Sicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 wird als wesentlicher Bestandteil eines jeden Unternehmens empfohlen. Dieses System hilft, Sicherheitsprozesse systematisch zu verwalten und die Einhaltung gesetzlicher Anforderungen nachzuweisen.
Herausforderungen bei der Umsetzung
Der Bericht erkennt die Herausforderungen an, die insbesondere kleinere Unternehmen bei der Umsetzung des Standes der Technik haben könnten. Dazu zählen hohe Kosten für moderne Sicherheitslösungen und der Mangel an qualifiziertem IT-Personal. Der Bericht schlägt vor, dass Unternehmen externe Experten hinzuziehen und auf standardisierte Lösungen zurückgreifen, um den gesetzlichen Anforderungen gerecht zu werden.
Dokumentation und Nachweis
Ein wesentlicher Aspekt der Handreichung ist die Betonung der Notwendigkeit einer umfassenden Dokumentation der umgesetzten Maßnahmen. Diese Dokumentation ist nicht nur für interne Zwecke, sondern auch für die Erfüllung gesetzlicher Nachweispflichten wichtig. Unternehmen sollten alle implementierten Maßnahmen genau dokumentieren und regelmäßig überprüfen, um sicherzustellen, dass sie weiterhin dem Stand der Technik entsprechen.
Fazit
Die “TeleTrusT-Handreichung: Stand der Technik” bietet eine umfassende Orientierung für Unternehmen, die ihre IT-Sicherheitsmaßnahmen an den neuesten technologischen Entwicklungen ausrichten müssen. Durch die Kombination von praxisnahen Empfehlungen, klaren Definitionen und konkreten Beispielen hilft der Bericht Unternehmen, die gesetzlichen Anforderungen effizient zu erfüllen und ihre IT-Sicherheit auf einem hohen Niveau zu halten.
