Erst jüngst hat der Bundesverband IT-Sicherheit e. V. (TeleTrusT) eine vollständig überarbeitete und ergänzte Fassung der Handreichung zum Stand der Technik in der IT-Sicherheit veröffentlicht. „Die Handreichung soll Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des Standes der Technik in der IT-Sicherheit bieten und kann als Referenz z. B. für vertragliche Vereinbarungen, Vergabeverfahren bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen.“, so der Bundesverband. Anlass genug, um einen kurzen Blick auf den Begriff „Stand der Technik“ sowie den Inhalt der Handreichung zu werfen.
Stand der Technik
Der Begriff Stand der Technik ist nicht einheitlich definiert und ist zu unterscheiden von den allgemein anerkannten Regeln der Technik und dem Stand von Wissenschaft und Forschung. Zurückzuführen sind sämtliche dieser Begriffe auf die sogenannte Kalkar-Entscheidung des Bundesverfassungsgerichts aus dem Jahr 1978. Die Begriffe unterscheiden sich insbesondere durch die grundsätzliche Anerkennung sowie die Bewährung in der Praxis. In Bezug auf beide Aspekte ist der Stand der Technik zwischen dem Stand der Wissenschaft und Forschung (niedrig) und den allgemein anerkannten Regeln der Technik (hoch) einzuordnen.
Zusammenfassend kann unter dem Stand der Technik eine dynamische Beschreibung zugrundeliegender Technologien zu einem bestimmten Zeitpunkt verstanden werden, welche auf einem neuesten, aber gesicherten Erkenntnisstand von Wissenschaft und Technik beruhen und sich zugleich in der Praxis bereits bewährt haben sowie in einem ausreichenden Maße zur Verfügung stehen. Der aktuelle Stand der Technik ist dementsprechend stets fortlaufend neu zu bewerten, sodass technische und organisatorische Maßnahmen (Art. 32 DS-GVO) über die Zeit gegebenenfalls anzupassen sind.
Orientierung in der praktischen Umsetzung bieten bereits seit einigen Jahren beispielsweise Publikationen des Bundesamts für Sicherheit in der Informationstechnik (BSI), Leitlinien und Empfehlungen des Europäischen Datenschutzausschusses (EDSA) oder die bereits erwähnte Handreichung zum Stand der Technik des TeleTrusT.
Zum Inhalt der Handreichung
Unter Berücksichtigung der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität beschreibt die Handreichung eine Vielzahl technischer und organisatorischer Maßnahmen, die sich in der Praxis bewährt haben und dem aktuellen Stand der Technik entsprechen. Hierzu zählen beispielsweise die Verschlüsselung von Datenträgern, Netzwerksegmentierung und -separierung sowie Risikomanagement und Sensibilisierung der Anwender. Dabei wird jede Maßnahme anhand eines einheitlichen Schemas dargestellt: Neben einer fachlichen Beschreibung enthält die Handreichung Einschätzungen zu Wirksamkeit, Aufwand, potenziellen Grenzen und praktischer Umsetzbarkeit. Ziel ist es, Verantwortlichen eine nachvollziehbare Entscheidungsgrundlage zur Auswahl und Bewertung geeigneter Schutzmaßnahmen zu bieten.
So heißt es beispielsweise zur E-Mail-Verschlüsselung: „Im E-Mail-Verkehr sollte zur Transportverschlüsselung TLS (Transport Layer Security) in der aktuell gültigen Version, wie in RFC 5246 definiert, eingesetzt werden. Zum Einsatz kommen müssen sichere Verschlüsselungsverfahren (aktuell z. B. AES-256), die Verwendung unsicherer Verschlüsselungsverfahren (z. B. RC4) muss ausgeschlossen werden. Forward Secrecy sollte generell aktiviert werden. Zusätzlich ist es sinnvoll, die bei TLS genutzten Zertifikate der jeweiligen Gegenseite auf Authentizität und Gültigkeit zu überprüfen, z. B. mittels DANE (RFC 7671). Umfassende Empfehlungen zu TLS liefert die Technische Richtlinie TR-02102-2, Teil 2 des BSI.“
Und: „Ende-zu-Ende Verschlüsselung empfiehlt sich zum Schutz besonders schützenswerter Daten. Dazu haben sich zwei Standards etabliert: S/MIME (Secure / Multipurpose Internet Mail Extensions, definiert in RFC 5751) und OpenPGP (Pretty Good Privacy, definiert in RFC 4880).“ Insofern ergibt sich auch aus dieser Darstellung mit Blick auf den Stand der Technik, dass keine grundsätzliche Pflicht zur Ende-zu-Ende-Verschlüsselung bestehen kann.
Weiterhin umfasst die Handreichung auch thematische Exkurse und beschreibt in der aktuellen Fassung beispielsweise auch die Auswirkungen von Künstlicher Intelligenz auf die Informationssicherheit. Dabei wird auch noch einmal das Spannungsfeld zwischen Künstlicher Intelligenz als Werkzeug zur Verbesserung der Informationssicherheit und künstlicher Intelligenz als Werkzeug für Angreifer deutlich. Auch in diesem Kontext legt der Bundesverband IT-Sicherheit e. V. einen Schwerpunkt auf die Darstellung einschlägiger Schutzmaßnahmen.
Fazit
Der Stand der Technik ist ein zentraler Begriff in der Regulatorik – ohne jedoch abschließend definiert zu sein. Er beschreibt den aktuellen Stand erprobter technischer und organisatorischer Maßnahmen, die zur Erreichung eines bestimmten Schutzziels geeignet und allgemein verfügbar sind. Die Handreichung des Bundesverband IT-Sicherheit e. V. liefert eine fundierte, praxisnahe Orientierung zur Bestimmung des Standes der Technik in der IT-Sicherheit. Sie bietet eine strukturierte Darstellung bewährter technischer und organisatorischer Maßnahmen, unterstützt bei der Bewertung und geht auch auf Anforderungen im Bereich Künstliche Intelligenz ein. Damit ist sie ein wertvolles Arbeitsmittel für verschiedenste Organisationen, um gesetzliche Vorgaben umzusetzen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
