Stand der Technik der IT-Sicherheit: Handreichung auch auf Englisch

ENISA und der TeleTrusT – Bundesverband IT-Sicherheit e.V. publizieren Handreichung auch in englischer Sprachfassung

[datensicherheit.de, 07.02.2019] Defizite in der IT-Sicherheit abzubauen ist das erklärte Ziel der nationalen Gesetzgeber in mehreren europäischen Ländern – vor dem Hintergrund der am 25. Mai 2018 endgültig in Kraft getretenen EU-Datenschutzgrundverordnung (DSGVO) mit ihren hohen Anforderungen an technische und organisatorische Maßnahmen. In beiden Rechtsquellen ist die Orientierung der IT-Sicherheit am „Stand der Technik“ verankert, indes lassen sie unbeantwortet, was im Detail darunter zu verstehen ist. Nach eigenen Angaben haben die in Deutschland im Bundesverband IT-Sicherheit e.V. (TeleTrusT) organisierten Fachkreise hierzu eine Handreichung erarbeitet, deren englische Sprachfassung in Kooperation mit der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) veröffentlicht wird.

Ziel: ein dem Risiko angemessenes Schutzniveau…

Täglich zeigen Meldungen zu IT-Schadensfällen in Unternehmen und Behörden, dass dringender Handlungsbedarf zur Verbesserung der IT-Sicherheit besteht. Der Artikel 32 DSGVO regelt zur „Sicherheit der Verarbeitung“, dass „unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen sind“.
Damit soll ein dem Risiko angemessenes Schutzniveau gewährleistet werden. Aber sowohl die nationalen als auch der europäische Gesetzgeber enthalten sich konkreter, detaillierter technischer Anforderungen und Bewertungskriterien für die sicherheitsrelevanten technischen und organisatorischen Maßnahmen. Den Gesetzesadressaten würden auch keinerlei methodische Ansätze geliefert, merkt der TeleTrusT an. Diese Ausgestaltung, zumal in einem dynamischen Marktumfeld, müsse den Fachkreisen überlassen bleiben.

Hinweise und Handlungsempfehlungen zur Bestimmung des „Standes der Technik“

Das veröffentlichte Dokument zum „Stand der Technik“ in der IT-Sicherheit soll vor diesem Hintergrund konkrete Hinweise und Handlungsempfehlungen geben, um Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des „Standes der Technik“ in der IT-Sicherheit zu geben und als Referenz z.B. für vertragliche Vereinbarungen, Vergabeverfahren bzw. für die Einordnung implementierter Sicherheitsmaßnahmen zu dienen. Der TeleTrusT betont dabei, dass es nicht eine technische, organisatorische oder rechtliche Beratung bzw. Bewertung im Einzelfall ersetzt.
Durch die nun veröffentlichte englische Fassung des Dokumentes sollen Unternehmen in allen europäischen Ländern bei der Bestimmung des geforderten Sicherheitsstands in der IT-Sicherheit unterstützt werden.

Technische, organisatorische und rechtliche Herausforderungen

Dr. Udo Helmbrecht, „Executive Director“ der ENISA, erläutert: „Die Mitwirkung an diesem Handbuch ist Teil der Unterstützung, die ENISA für die EU-Mitgliedsstaaten leistet. Die Inhalte bieten konkrete Informationen und Empfehlungen, wie die IT-Sicherheit verbessert werden kann.“ Für IT-Experten sei die Handreichung eine nützliche Leitlinie, um in der Praxis den rechtlichen Anforderungen technisch gerecht zu werden.
„Mit Hilfe der Bestimmung des ,Standes der Technik‘ wird es uns gelingen, den Level an IT-Sicherheit angemessen zu erhöhen, unsere Robustheit gegen Cyber-Angriffe zu stärken und damit das Risiko der fortscheitenden Digitalisierung deutlich zu reduzieren“, ergänzt der TeleTrusT-Vorsitzende, Prof. Dr. Norbert Pohlmann.
Die Berücksichtigung des „Standes der Technik“ sei eine technische, organisatorische und rechtliche Aufgabe für die Unternehmen und Behörden, so TeleTrusT-Vorstand RA Karsten U. Bartels: „Die Handreichung hilft auf diesen drei Ebenen sehr konkret – und das sowohl bei der operativen Umsetzung als auch bei deren Dokumentation.“

Weitere Informationen zum Thema:

TeleTrusT
Stand der Technik in der IT-Sicherheit

TeleTrusT
„State of the art“ in IT security

datensicherheit.de, 13.06.2018
Stand der Technik: TeleTrusT veröffentlicht revidierte und erweiterte Handreichung