Der „Stand der Technik“ im IT Sicherheitsgesetz

Auch das BSI stellt fest, dass es nicht möglich ist, den „Stand der Technik“ allgemeingültig und abschließend zu beschreiben.[1] Der konstante technologische Fortschritt sorgt dafür, dass auch offizielle Rahmenwerke und Konzepte unbedingt einer regelmäßigen Aktualisierung bedürfen. Die implizite Annahme, dass Standards und Normen für sich allein den „Stand der Technik“ darstellen, erscheinen dabei überaus bedenklich, da diese Generalklausel das obere Ende der technisch möglichen aber praktisch bewährten Maßnahmen abbildet.[2] Daher stellt die stichtagsbezogene Abgrenzung zwischen dem „Stand der Technik“ und den „anerkannten Regeln der Technik“ eine besondere Herausforderung dar und sollte je nach Kritikalität und Schutzbedarf der Daten und Anwendungen sogar durch sachkundige Experten, wie z.B. Sachverständige, begründet und anhand nachvollziehbarer und vergleichbarer Kriterien dokumentiert werden.

Patrick Michaelis hat daher zusammen mit Kollegen eine Methodik für die Bestimmung des „Stands der Technik“ von IT-Sicherheitsmaßnahmen aus vorhandenen Überlegungen anderer Fachrichtungen abgeleitet.

Die Methodik erlaubt Unternehmen bzw. sachkundigen Experten, wie z.B. Sachverständigen, ihre Begründung anhand nachvollziehbarer und vergleichbarer Kriterien zu dokumentieren.

Erste weiterführende Informationen finden Sie z.B. in folgendem Artikel

[1] www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/FAQ/faq_it_sig_node.html#faq6636766

[2] Vgl. auch Seibel, „Abgrenzung der allgemein anerkannten Regeln der Technik vom Stand der Technik“, NJW 41/2013, Seite 3000 ff.