TeleTrusT
Zusammenfassung des Berichts: “TeleTrusT-Handreichung: Stand der Technik in der IT-Sicherheit” (Mai 2023)
Einleitung
Der Bericht “Stand der Technik in der IT-Sicherheit”, veröffentlicht im Mai 2023 von TeleTrusT, bietet eine umfassende Handreichung für die Umsetzung und Einhaltung des geforderten Standes der Technik (SdT) im Bereich der IT-Sicherheit. Dieser Bericht richtet sich insbesondere an Betreiber Kritischer Infrastrukturen (KRITIS) sowie an Unternehmen, die gesetzlich verpflichtet sind, ein hohes Maß an IT-Sicherheit zu gewährleisten, wie es durch das IT-Sicherheitsgesetz (ITSiG) und die Datenschutz-Grundverordnung (DSGVO) vorgegeben wird. Der Bericht stellt dar, wie der SdT definiert, bewertet und in der Praxis umgesetzt werden kann, um die gesetzlichen Anforderungen zu erfüllen.
Gesetzliche Grundlagen
Das IT-Sicherheitsgesetz, das seit 2015 in Kraft ist, fordert von KRITIS-Betreibern die Einhaltung eines dem SdT entsprechenden IT-Sicherheitsniveaus. Dieses Gesetz zielt darauf ab, die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität von informationstechnischen Systemen zu schützen. Parallel dazu verlangt die DSGVO von allen Unternehmen, die personenbezogene Daten verarbeiten, technische und organisatorische Maßnahmen zu implementieren, die dem SdT entsprechen. Obwohl sowohl das ITSiG als auch die DSGVO den SdT fordern, bleibt dessen genaue Definition im Gesetzestext vage, was Unternehmen vor die Herausforderung stellt, diesen in der Praxis konkret umzusetzen.
Bestimmung des Standes der Technik
Der SdT wird im Bericht als das aktuell beste verfügbare Verfahren definiert, das auf dem Markt existiert und zur Erreichung der gesetzlichen Schutzziele eingesetzt werden kann. Es wird zwischen dem SdT, den “allgemein anerkannten Regeln der Technik” und dem “Stand der Wissenschaft und Forschung” unterschieden. Während der SdT das am Markt verfügbare und praxiserprobte Niveau beschreibt, handelt es sich bei den “allgemein anerkannten Regeln der Technik” um bereits etablierte Standards, die jedoch nicht mehr die modernste Lösung darstellen müssen. Der “Stand der Wissenschaft und Forschung” umfasst hingegen innovative, aber möglicherweise noch nicht marktreife Technologien.
Technische und organisatorische Maßnahmen
Der Bericht widmet einen erheblichen Teil den technischen und organisatorischen Maßnahmen, die als SdT betrachtet werden können. Dazu gehören:
- Kryptographie und Verschlüsselung: Der Einsatz moderner kryptographischer Verfahren, wie etwa AES-256 für die symmetrische Verschlüsselung, wird als wesentlich erachtet. Unternehmen sollten ihre Verschlüsselungstechnologien regelmäßig auf ihre Aktualität und Wirksamkeit überprüfen und gegebenenfalls anpassen.
- Netzwerksicherheit: Die Implementierung von Sicherheitsmaßnahmen wie Firewalls, Intrusion Detection Systems (IDS) und Virtual Private Networks (VPNs) ist entscheidend, um unbefugten Zugriff auf IT-Systeme zu verhindern und die Datenkommunikation zu sichern.
- Authentifizierung: Multi-Faktor-Authentifizierung (MFA) wird als Standard empfohlen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf sensible Systeme und Daten haben.
- Sicherheitsmanagement: Der Bericht betont die Notwendigkeit eines umfassenden Sicherheitsmanagements, das Schwachstellenanalysen, regelmäßige Updates und ein effektives Patch-Management umfasst. Darüber hinaus sollten Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) gemäß ISO 27001 implementieren, um ihre Sicherheitsprozesse systematisch zu verwalten.
Herausforderungen bei der Umsetzung
Der Bericht erkennt an, dass die Umsetzung des SdT in der Praxis herausfordernd sein kann, insbesondere für kleine und mittelständische Unternehmen (KMU). Diese haben oft begrenzte Ressourcen, um den ständig wachsenden Anforderungen im Bereich der IT-Sicherheit gerecht zu werden. Der Bericht empfiehlt daher eine risikobasierte Vorgehensweise, bei der die Maßnahmen an den spezifischen Bedürfnissen und Möglichkeiten des Unternehmens ausgerichtet werden. Dabei sollten wirtschaftliche Überlegungen jedoch nicht zulasten der Sicherheit gehen.
Rechtliche und organisatorische Rahmenbedingungen
Neben den technischen Maßnahmen betont der Bericht auch die Bedeutung einer klaren rechtlichen und organisatorischen Struktur. Unternehmen müssen sicherstellen, dass ihre Verträge mit Dienstleistern und Partnern klare Regelungen zur Einhaltung des SdT beinhalten. Zudem wird die Notwendigkeit von Audits und Zertifizierungen hervorgehoben, um die Einhaltung der gesetzlichen Anforderungen nachweisen zu können.
Fazit
Die TeleTrusT-Handreichung von 2023 bietet eine wertvolle Orientierungshilfe für Unternehmen, die sicherstellen müssen, dass ihre IT-Sicherheitsmaßnahmen dem Stand der Technik entsprechen. Durch die Kombination von technischen und organisatorischen Maßnahmen können Unternehmen nicht nur gesetzliche Anforderungen erfüllen, sondern auch ihre Sicherheitsinfrastruktur stärken und sich gegen die stetig wachsenden Bedrohungen im Cyberraum wappnen. Regelmäßige Überprüfungen und Anpassungen der Sicherheitsmaßnahmen sind dabei unerlässlich, um den SdT dauerhaft zu gewährleisten.