TeleTrusT
Zusammenfassung des Berichts: “TeleTrusT-Handreichung: Stand der Technik im Sinne des IT-Sicherheitsgesetzes” (2016)
Einleitung
Die “TeleTrusT-Handreichung: Stand der Technik im Sinne des IT-Sicherheitsgesetzes” von 2016 wurde entwickelt, um Unternehmen, insbesondere Betreibern kritischer Infrastrukturen (KRITIS), praktische Orientierungshilfen zur Einhaltung der Anforderungen des IT-Sicherheitsgesetzes (ITSiG) zu bieten. Das ITSiG, das im Juli 2015 in Kraft trat, zielt darauf ab, die Sicherheit informationstechnischer Systeme in Deutschland zu verbessern. Die Handreichung geht detailliert auf die im Gesetz geforderten technischen und organisatorischen Maßnahmen ein, die dem “Stand der Technik” entsprechen müssen.
Bedeutung des IT-Sicherheitsgesetzes
Das ITSiG richtet sich vor allem an Betreiber kritischer Infrastrukturen, also an Unternehmen, deren Ausfall erhebliche Auswirkungen auf das Gemeinwohl hätte. Diese Unternehmen sind gesetzlich verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten, das dem “Stand der Technik” entspricht. Darüber hinaus müssen sie IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Die Einhaltung des Standes der Technik ist dabei ein zentrales Element, um die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der informationstechnischen Systeme sicherzustellen.
Definition und Auslegung des “Standes der Technik”
Der “Stand der Technik” wird als fortschrittlichster Entwicklungsstand von Verfahren, Einrichtungen und Betriebsweisen definiert, der nach herrschender Expertenmeinung das gesetzlich vorgegebene Schutzziel am besten erreicht. Die Handreichung betont, dass der Stand der Technik dynamisch ist und sich kontinuierlich weiterentwickelt. Unternehmen müssen daher ihre Sicherheitsmaßnahmen regelmäßig überprüfen und anpassen, um den aktuellen Anforderungen gerecht zu werden.
Der Bericht unterscheidet zwischen dem “Stand der Technik” und anderen verwandten Begriffen wie den “allgemein anerkannten Regeln der Technik” und dem “Stand von Wissenschaft und Technik”. Während die “allgemein anerkannten Regeln der Technik” auf bewährten, etablierten Methoden basieren, beschreibt der “Stand von Wissenschaft und Technik” die neuesten wissenschaftlichen Erkenntnisse, die möglicherweise noch nicht praxiserprobt sind. Der “Stand der Technik” liegt zwischen diesen beiden Extremen und vereint Innovation mit praxiserprobten Verfahren.
Technische und organisatorische Maßnahmen
Die Handreichung gibt konkrete Empfehlungen, wie Unternehmen die Anforderungen des Standes der Technik umsetzen können. Dazu gehören:
- Kryptographie und Verschlüsselung: Der Einsatz moderner Verschlüsselungstechnologien wird als unerlässlich erachtet, um die Vertraulichkeit und Integrität von Daten zu gewährleisten. Hierbei wird der Einsatz von Algorithmen wie AES-256 und der Verzicht auf veraltete Verfahren wie RC4 empfohlen.
- Netzwerksicherheit: Firewalls, Intrusion Detection Systems (IDS), Virtual Private Networks (VPNs) und weitere Schutzmechanismen sind grundlegende Elemente einer sicheren Netzwerkarchitektur. Unternehmen sollten diese Technologien implementieren und regelmäßig aktualisieren, um Schutz vor unbefugtem Zugriff zu gewährleisten.
- Authentifizierung: Multi-Faktor-Authentifizierung (MFA) wird empfohlen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf sensible Systeme und Daten haben.
- Sicherheitsmanagement: Unternehmen sollten ein Informationssicherheitsmanagementsystem (ISMS) implementieren, das den Anforderungen der ISO/IEC 27001 entspricht. Ein solches System ermöglicht eine systematische Herangehensweise an die IT-Sicherheit und unterstützt die Einhaltung der gesetzlichen Anforderungen.
Herausforderungen und Empfehlungen
Der Bericht erkennt an, dass insbesondere kleinere Unternehmen bei der Umsetzung des Standes der Technik vor Herausforderungen stehen. Dazu gehören begrenzte finanzielle Ressourcen und fehlendes Fachwissen. Die Handreichung empfiehlt, externe Beratungsdienste in Anspruch zu nehmen und auf standardisierte Lösungen zurückzugreifen, um den Anforderungen gerecht zu werden.
Die Dokumentation der umgesetzten Maßnahmen ist ebenfalls ein zentraler Punkt. Eine umfassende Dokumentation ist nicht nur für interne Zwecke wichtig, sondern auch, um die Einhaltung der gesetzlichen Anforderungen gegenüber Behörden nachweisen zu können. Unternehmen sollten daher alle Maßnahmen detailliert dokumentieren und regelmäßig überprüfen.
Fazit
Die TeleTrusT-Handreichung bietet eine wertvolle Orientierungshilfe für Unternehmen, die den Anforderungen des IT-Sicherheitsgesetzes gerecht werden müssen. Sie kombiniert praxisnahe Empfehlungen mit rechtlichen Vorgaben und unterstützt Unternehmen dabei, ein hohes Maß an IT-Sicherheit zu erreichen. Durch regelmäßige Überprüfung und Anpassung der Sicherheitsmaßnahmen können Unternehmen sicherstellen, dass sie stets dem aktuellen Stand der Technik entsprechen und ihre Systeme effektiv vor Bedrohungen schützen.