Handreichung Stand der Technik zum IT-Sicherheitsgesetz

IT-Sicherheit und der Stand der Technik

Das ITSiG (IT-Sicherheitsgesetz) hat sich zum Ziel gesetzt, Defizite in der IT-Sicherheit abzubauen. Zusätzlich ist seit 2018 die neue EU-Datenschutz-Grundverordnung (DSGVO) mit hohen Anforderungen an technische und organisatorische Maßnahmen in Anwendung. Beide Gesetze setzen als Orientierung für die IT-Sicherheit den Stand der Technik an, beantworten aber nicht, was genau man darunter verstehen soll.

Fast täglich lesen wir Meldungen zu Sicherheitsvorfällen in Unternehmen und Behörden. Dass wir auch in Deutschland dringenden Handlungsbedarf zur Verbesserung der IT-Sicherheit haben, ist aus diesem Grund unbestritten. Bereits 2015 wurde ein Gesetz zur IT-Sicherheit auf den Weg gebracht. Es sollte dem Schutz der Systeme bezüglich der aktuellen und zukünftigen Gefährdungen der Schutzgüter Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität dienen. Ziel ist die Verbesserung der IT-Sicherheit von Unternehmen sowie der verstärkte Schutz der Bürgerinnen und Bürger im Internet.

Was ist geschehen, dass das Gesetz in der verabschiedeten Form wenig zur Verbesserung der Sicherheitslage beigetragen hat? Das „IT-Sicherheitsgesetz“ ist ein sogenanntes Artikelgesetz. D.h. es unterstützt lediglich die Änderung mehrerer anderer Gesetze. Unmittelbar betroffen von den neuen Gesetzen sind große Unternehmen und Betreiber kritischer Infrastrukturen (KRITIS) ebenso wie Betreiber kleiner und kleinerer Webseiten.

Der „Stand der Technik in der IT-Sicherheit“ des TeleTrusT hilft weiter

Liest man sich das Gesetz also durch, findet man keine eindeutigen Bewertungskriterien für die sicherheitsrelevanten technischen und organisatorischen Vorkehrungen, sowie Vorgaben für Mindestanforderungen an die IT-Systeme. Weder der nationale noch der europäische Gesetzgeber klären klar und deutlich auf, welche konkreten, detaillierte technische Anforderungen und Bewertungskriterien für die sicherheitsrelevanten technischen und organisatorischen Maßnahmen einzuhalten sind. Es werden keinerlei methodische Ansätze ausgehändigt oder empfohlen.

Ein Arbeitskreis, initiiert durch den Bundesverband IT-Sicherheit e.V. (TeleTrusT), zusammengesetzt aus Spezialisten der IT-Branche, dem TÜV, sowie Rechtsanwälten, Consultants und Verbänden haben nun gemeinsam eine Handreichung „Stand der Technik“ technischer und organisatorischer Maßnahmen erarbeitet. Regelmäßig treffen sich die Mitglieder des Arbeitskreises, um ihre Handreichung möglichst auf dem neuesten Stand zu bringen.

Unser Beitrag zur Aufklärung in der IT-Sicherheit

Als federführender Autor zum Thema Serverhärtung (Absicherung der Unternehmensserver gegen Angriffe) tritt hier unser IT-Sicherheitsspezialist Oliver Falkenthal auf. Durch seine Expertise kann er Kunden bei speziellen Sicherheitsfragen in den komplexen Bereichen unterschiedlicher Computer-Technologien unterstützen. Er legt sein Hauptaugenmerk voll und ganz auf die Entwicklung und Bereitstellung von Cyber-Sicherheitsdiensten.

Das Dokument können Sie von der TeleTrusT-Website unter folgendem Link abrufen:

Handreichung „Stand der Technik in der IT-Sicherheit“

 

Das Dokument wurde für den europäischen Raum mit Hilfe der ENISA ins Englische übersetzt und steht ebenfalls zum Download bereit.

Handreichung „Stand der Technik in der IT-Sicherheit“ (Englisch)