Was bedeutet “Stand der Technik”? Was ist zu tun, um ihn zu erreichen?

Der unbestimmte Rechtsbegriff “Stand der Technik” erhielt in den letzten Jahren vermehrt Aufmerksamkeit. Das bedeutet er. Und diese Maßnahmen können Sie ergreifen.

“Aktueller Stand der Technik”: Was ist das?

“Stand der Technik”, “neuester Stand der Technik” oder “aktueller Stand der Technik” – diese Begriffe sind zunehmend zu hören und zu lesen. Sie kommen in verschiedenen Bereichen zum Einsatz, unter anderem in der IT.

Da es sich um einen unbestimmten Rechtsbegriff handelt, fällt die Definition von “Stand der Technik” vage und teilweise auch subjektiv aus. Im Juraforum wird sie so erklärt:

“Unter Stand der Technik werden die technischen Möglichkeiten zusammengefasst, die zum aktuellen Zeitpunkt gewährleistet sind und die sich ihrerseits auf wissenschaftliche und technische Erkenntnisse stützen.

Durch die Klausel “Stand der Technik” etwa in Verträgen, soll sichergestellt werden, dass es zum Einsatz der besten verfügbaren Technik kommt.”

Stand der Technik: Eine weitere Definition

Eine andere Annäherung, was der Begriff “Stand der Technik” heißt, zeigt das Drei-Stufen-Modell. Bei diesem liegt der “Stand der Technik” (abgekürzt: SdT) zwischen dem “Stand der Wissenschaft und Forschung” (SdWF) und den “Allgemein anerkannten Regeln der Technik” (aaRdT).

Schaubild: Stand der Technik (Bild: Teletrust)

Was die “best available techniques” oder “state of the art techniques” – so die englischen Bezeichnungen – in der IT und insbesondere in der Informationssicherheit bedeuten, erklären wir unter anderem mit Beispielen in den folgenden Absätzen.

Neuester Stand der Technik: Die Bedeutung in der Informationssicherheit

Die Weiterentwicklung von Hardware und Software schreitet stetig und rasant voran. Alle Systeme, die vor ein paar Jahren noch als High-End oder topmodern galten, sind heutzutage veraltet. Im Gegensatz zu Hardware kann Software mit Updates ständig verbessert, optimiert und angepasst werden.

Doch irgendwann ist auch hier das Ende der Fahnenstange erreicht. Der Produktlebenszyklus endet und eine neue Software und/oder Hardware-Generation tritt die Nachfolge an. Dann entspricht die bislang eingesetzte Hard- und Software nicht mehr dem aktuellen Stand der Technik.

Das heißt:

      • Software, die vom jeweiligen Hersteller mit Sicherheits-Updates versorgt wird, ist allgemein anerkannt auf dem neuesten Stand der Technik.
      • Das bedeutet im Umkehrschluss: Eine Software ohne Hersteller-Support zählt in der Regel nicht mehr zum Stand der Technik! Es müssen somit Maßnahmen getroffen werden, wenn die betreffende Software weiter eingesetzt werden soll.

Stand der Technik: Beispiele aus der IT

Was hat der Stand der Technik mit der DS-GVO zu tun?

Ein wichtiger Grund, warum insbesondere für Manager und IT-Verantwortliche ein aktueller Stand der Technik wichtig ist, stellt die Datenschutz-Grundverordnung (DS-GVO) dar.

Vermeintlich einfache Dinge wie das Übertragen von “A nach B” oder eine zweckerweiternde Nutzung personenbezogener Daten  sind laut DS-GVO ohne Erlaubnistatbestand verboten. Und es werden Maßnahmen zum Schutz personenbezogener Daten auf dem neuesten Stand der Technik gefordert.

Das bedeutet:

Erheben und verarbeiten Unternehmen Mitarbeiter- und Kundendaten mit Systemen, die nicht dem Stand der Technik entsprechen, kann das bereits einen Verstoß gegen die europaweit geltende GDPR (General Data Protection Regulation) bzw. deutschen DS-GVO darstellen.

Bei Datenschutzverstößen erheben die nationalen Aufsichtsbehörden Bußgelder, welche teilweise sehr hoch ausfallen. Schon geringe Verstöße können ein Unternehmen sechsstellige Beträge kosten, gravierende Vorfälle werden laut Art. 83 der DS-GVO mit bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweiten Jahresumsatzes sanktioniert.

Stand der Technik: BSI, IT-Sicherheitsgesetz und mehr

Auch abseits von Sanktionen wie Bußgeldern ist jedes Unternehmen verpflichtet, unter anderem …

    • Information seiner Kunden und eigene Informationen geheim und gesichert zu halten [Vertraulichkeit].
    • eigene Systeme durch verschiedene Maßnahmen gegen bewusste oder unbewusste Manipulation abzusichern [Integrität].
    • Informationen stabil und leistungsfähig zur Verfügung zu stellen [Verfügbarkeit].

Damit aus diesen sehr wichtigen Vorhaben reale Maßnahmen erfolgen, wurde bereits 2015 das IT SiG (IT-Sicherheitsgesetz) verabschiedet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu:

“Ziel des IT-Sicherheitsgesetzes ist die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung, sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet”

Das IT-Sicherheitsgesetzt, die DS-GVO sowie weitere Verordnungen, Regularien/Gesetze und Empfehlungen (bspw. UP KRITIS) und die Vorgaben des BSI sollen dafür sorgen, dass die IT-Sicherheit in Deutschland und Europa entlang dem aktuellen Stand der Technik vorangetrieben wird.

Dabei unterstützen können unter anderem die Critical Security Controls (CSC) des Center for Internet Security (CIS), welche wir als CIS-Mitglied sehr empfehlen.

Maßnahmen für den Stand der Technik: Teletrust & Co.

Eine genauere Erläuterung, was Stand der Technik im Bezug auf das IT SiG und die DS-GVO bedeutet, erklärt die kostenlose Handreichung des Bundesverband IT-Sicherheit e.V. (Teletrust).

Handreichung Teletrust e.V. zum Stand der Technik (Montage: Teletrust / PlaceIt)

In der kostenlosen Teletrust-Handreichung zum Stand der Technik werden zahlreiche Maßnahmen genannt, zum Beispiel:

    • Durchsetzung von starken Passwörtern
    • Einsatz von vertrauenswürdigen Verbindungen zu Firmennetzen wie VPN
    • Verschlüsselung von Festplatten, Dateien und Ordnern
    • Sicherung des Datenverkehrs mit PKI
    • Erhöhung der Router-Sicherheit
    • Durchführung von Härtungsmaßnahmen von IT-Systemen

Auch wir empfehlen unseren Kunden tagtäglich zahlreiche Maßnahmen für die Erhöhung der Informationssicherheit und führen diese durch. Damit der aktuelle Stand der Technik erreicht werden kann, setzen wir unter anderem auf:

Möchten Sie mehr über die genannten Maßnahmen wissen? Wir erklären Ihnen die Details gerne in einem Gespräch.

Kontaktieren Sie uns!

Was bringt das alles?

Die Maßnahme “Systemhärtung” wird unter anderem gegen folgende IT-Sicherheitsbedrohungen eingesetzt:

    • Die Gefahr der Manipulation von persönlichen und sensiblen Firmendaten.
    • Risiken im Zusammenhang mit Datenabfluss, etwa dem Herausziehen ganzer Datenbanken.
    • Bedrohungen durch Manipulation von Anwendungen auf Servern oder auf verknüpften Systemen.
    • Risiken in Bezug auf Manipulation, Sabotage oder Spionage bei Betriebs- und Produktionsprozessen.
    • Die Gefahr des Identitätsdiebstahls, beispielsweise bei Angriffen auf Domänencontroller.
    • Die Bedrohung durch das Einschleusen und Verbreiten von Malware
    • Missbrauch der Serverkapazität, zum Beispiel fürs Crypto-Mining.
    • Die Gefahr, dass Angreifer die Unternehmensserver als Sprungbrett nutzen, um weitere Systeme anzugreifen.

Fazit

Auch wenn der aktuelle Stand der Technik rechtlich nicht genau definiert ist, gibt es einige Quellen und Referenzen, welche den Begriff und seine Anwendung sehr gut beschreiben. Dazu gehört beispielsweise das Dokument des Bundesverband IT-Sicherheit e.V. / Teletrust.

Was Sie nie vergessen sollten: Das Absichern und Härten von IT-Systemen wie auch der Schutz von Daten und Informationen sind keine lapidare Angelegenheiten! Sie sind essentiell für das Business und Weiterbestehen von Unternehmen. Besonders, da die Digitalisierung weiter an Fahrt aufnehmen und unser aller Leben intensiver durchdringen wird. Parallel dazu nimmt die Bedrohung durch Cyberangriffe massiv zu.

Somit gilt: Hard- und Software auf dem aktuellen Stand der Technik zu halten ist ein essentieller Baustein der IT-Sicherheit, um Ihre Systeme zu schützen!

Bilder: Pixabay, Teletrust, PlaceIt

Schreibe einen Kommentar