TeleTrusT
Zusammenfassung des Berichts: “TeleTrusT-Handreichung: Stand der Technik in der IT-Sicherheit” (Februar 2019)
Einleitung
TeleTrusT-Handreichung: Stand der Technik in der IT-Sicherheit 2019
Der Bericht “Stand der Technik in der IT-Sicherheit” wurde von TeleTrusT – Bundesverband IT-Sicherheit e.V. in Zusammenarbeit mit der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) entwickelt und im Februar 2019 veröffentlicht. Diese Handreichung zielt darauf ab, Unternehmen und Organisationen klare Richtlinien und Empfehlungen zur Umsetzung der IT-Sicherheitsanforderungen gemäß dem “Stand der Technik” zu bieten, wie sie in verschiedenen europäischen und nationalen Gesetzgebungen gefordert werden. Der Bericht dient als praxisorientierte Leitlinie, die es IT-Verantwortlichen erleichtert, die gesetzlichen Anforderungen zu erfüllen und die IT-Sicherheit zu verbessern.
Hintergrund und Bedeutung
Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 und dem IT-Sicherheitsgesetz (ITSiG) haben die Anforderungen an IT-Sicherheitsmaßnahmen in Europa erheblich zugenommen. Beide Regelwerke verlangen, dass technische und organisatorische Maßnahmen zur IT-Sicherheit dem “Stand der Technik” entsprechen. Allerdings bleibt dieser Begriff in den Gesetzestexten oft unklar definiert, was bei Unternehmen und Behörden zu Unsicherheiten in der praktischen Umsetzung führt. Die Handreichung von TeleTrusT und ENISA soll hier Abhilfe schaffen, indem sie konkrete Handlungsempfehlungen und Beispiele für die Implementierung von IT-Sicherheitsmaßnahmen aufzeigt.
Definition und Auslegung des “Standes der Technik”
Der Bericht definiert den “Stand der Technik” als den Entwicklungsstand fortschrittlicher Verfahren, Technologien und Methoden, die zur Erreichung eines hohen Sicherheitsniveaus geeignet sind und in der Praxis erprobt wurden. Der “Stand der Technik” liegt zwischen den “allgemein anerkannten Regeln der Technik” und dem “Stand von Wissenschaft und Technik”. Während erstere eher etablierte, weithin akzeptierte Methoden beschreiben, beziehen sich letztere auf die neuesten technologischen Entwicklungen, die möglicherweise noch nicht in der Praxis erprobt sind. Der “Stand der Technik” hingegen beschreibt Maßnahmen, die sowohl innovativ als auch praxistauglich sind.
Praktische Umsetzung in Unternehmen
Der Bericht betont, dass die Umsetzung des “Standes der Technik” in der IT-Sicherheit eine kontinuierliche Anpassung und Überprüfung der eingesetzten Maßnahmen erfordert. Unternehmen müssen regelmäßig ihre Sicherheitskonzepte evaluieren und an neue Bedrohungen sowie technologische Entwicklungen anpassen. Dazu gehört die Implementierung moderner Verschlüsselungstechnologien, die Einführung von Multi-Faktor-Authentifizierung (MFA), der Einsatz von Firewalls und Intrusion Detection Systems (IDS) sowie die regelmäßige Schulung der Mitarbeiter im Bereich IT-Sicherheit.
Ein besonderes Augenmerk legt der Bericht auf die Berücksichtigung der individuellen Gegebenheiten jedes Unternehmens. Die IT-Sicherheitsmaßnahmen müssen stets in Relation zu den spezifischen Risiken, der Art und dem Umfang der Datenverarbeitung sowie den wirtschaftlichen Möglichkeiten des Unternehmens stehen. Es wird empfohlen, ein Informationssicherheitsmanagementsystem (ISMS) zu implementieren, das den Anforderungen der ISO/IEC 27001 entspricht. Dieses System ermöglicht eine systematische und dokumentierte Herangehensweise an die IT-Sicherheit, was insbesondere bei Audits und Zertifizierungen von Vorteil ist.
Herausforderungen und Empfehlungen
Der Bericht erkennt die Herausforderungen an, die insbesondere kleinere Unternehmen bei der Umsetzung des “Standes der Technik” in der IT-Sicherheit haben. Die Kosten für die Implementierung moderner Sicherheitstechnologien sowie der Mangel an qualifiziertem Personal können hierbei erhebliche Hürden darstellen. Die Handreichung empfiehlt daher, externe Expertise hinzuzuziehen und auf bestehende Zertifizierungen und Standards zurückzugreifen, um den Anforderungen gerecht zu werden.
Ein weiterer wichtiger Aspekt ist die Dokumentation der umgesetzten Maßnahmen. Diese ist nicht nur für interne Zwecke und zur Verbesserung der Sicherheitsprozesse wichtig, sondern auch zur Erfüllung gesetzlicher Nachweispflichten. Unternehmen sollten daher alle Maßnahmen, die sie im Rahmen der IT-Sicherheit ergreifen, sorgfältig dokumentieren und regelmäßig auf ihre Wirksamkeit überprüfen.
Fazit
Die TeleTrusT-Handreichung von 2019 bietet eine wertvolle Orientierungshilfe für Unternehmen und Behörden, die den “Stand der Technik” in ihrer IT-Sicherheitsstrategie umsetzen müssen. Durch die Kombination von praktischen Empfehlungen, klaren Definitionen und konkreten Beispielen hilft der Bericht, Unsicherheiten bei der Umsetzung der gesetzlichen Anforderungen zu überwinden und ein hohes Sicherheitsniveau zu erreichen. Insbesondere die enge Zusammenarbeit mit ENISA unterstreicht die Relevanz dieser Handreichung auf europäischer Ebene und unterstützt die Harmonisierung der IT-Sicherheitsstandards innerhalb der EU.
