Management Summary des Vortrags auf dem 3. Deutschen IT-Rechtstag

(Erstmalig erschienen in „IT-Rechtsberater (itrb), Mai 2015, 16. Jahrgang, Seite 118 f.)

Von Patrick Michaelis*

Der Vortrag skizziert anhand praktischer Beispiele eine Methodik, mit der Unternehmen der Herausforderung begegnen können, den formellen Nachweis des „Stands der Technik“ und die Abgrenzung zwischen dem „Stand der Technik“ und den „anerkannten Regeln der Technik“ gesetzeskonform und praxistauglich zu führen. Im Rahmen des IT-Sicherheitsgesetzes (ITSiG) bedarf es bei der Auswahl von technischen und organisatorischen Vorkehrungen einer nachvollziehbaren Bewertung und Dokumentation des Stands der Technik, damit ein sachkundiger Dritter die umgesetzten Maßnahmen fundiert überprüfen kann.

1.         Ausgangssituation

Das IT-Sicherheitsgesetz (ITSiG) verpflichtet eine Reihe von Unternehmen, bei der Umsetzung von Sicherheitsmaßnahmen den jeweiligen „Stand der Technik“ zu berücksichtigen. Für die betroffenen Unternehmen bedeutet dies, dass sie im Fall einer Nachweispflicht darlegen müssen, dass ihre Maßnahmen den Anforderungen des Gesetzes genügen und die Einordnung in den Technologiestandard „Stand der Technik“ rechtfertigen.

Bisher lag keine Methodik für den Nachweis zum „Stand der Technik“ im Bereich der Informationstechnologie bzw. Informationssicherheit vor. Sie wird daher  aus vorhandenen Überlegungen anderer Fachrichtungen abgeleitet und erlaubt es Unternehmen bzw. sachkundigen Experten, wie z.B. Sachverständigen, ihre Begründung anhand nachvollziehbarer und vergleichbarer Kriterien zu dokumentieren.

2.         Methodik für die Bestimmung des „Stands der Technik“

Folgt man der DIN EN 45020[1]  (Normung und damit zusammenhängende Tätigkeiten – Allgemeine Begriffe), so erfolgt die Einordnung einer Maßnahme in einen der Technologiestandards basierend auf den jeweils vorhandenen Erkenntnissen und Erfahrungen zu den beabsichtigten Sicherheitsmaßnahmen. Eine Maßnahme kann sich je nach ihrer Verbreitung und Verfügbarkeit vom „Stand der Wissenschaft und Technik“ zum „Stand der Technik“ wandeln oder vom jeweiligen „Stand der Technik“ übergehen in die „allgemein anerkannten Regeln der Technik“.

Der Übergang von einem Technikstandard in einen anderen erfolgt, sobald die spezifische Anerkennung im Markt und die Bewährung in der Praxis steigen. Eine Herausforderung im Rahmen von Nachweisen kann daher auch für den sachkundigen Experten die Abgrenzung zwischen dem „Stand der Technik“ und den „anerkannten Regeln der Technik“  sein. Dabei sind folgende Bereiche zu untersuchen:

  • Eignung
  • Fortschrittlichkeit
  • allgemeine Anerkennung
  • Bewährung und Erprobung in der Praxis

In der Regel gibt es für zu lösende Anforderungen zum Schutz von technischen Einrichtungen und personenbezogenen Daten unterschiedliche Ansätze und verschiedene technische Möglichkeiten der Umsetzung. Es bietet sich daher an, im Rahmen einer konkreten Fragestellung zum „Stand der Technik“ eine Datenbasis weiterer möglicher alternativer Sicherheitsmaßnahmen zu erheben.

Um sicherzustellen, dass ein direkter Vergleich von Maßnahmen sinnvoll ist, sowie für die Einordnung der Maßnahmen in einen der Technologiestandards ist zunächst eine Aussage zur Eignung erforderlich. Eine Eignung kann angenommen werden, wenn die Maßnahme oder das Maßnahmenbündel eine positive Wirkung auf die Schutzziele (Verfügbarkeit, Integrität, Authentizität, Vertraulichkeit) im Hinblick auf die genutzten technischen Einrichtungen oder personenbezogenen Daten hat. Bei der Untersuchung wird daher der Einfluss für alle vier Grundwerte gesondert betrachtet und es wird die Konsequenz der Umsetzung bewertet.

3.         Technische Voraussetzungen der „Maßnahme“ nach § 13 Abs. 7 TMG

Für Diensteanbieter bedeutet dies gem. §13 Abs. 7 TMG, dass Vorkehrungen zum Schutz personenbezogener Daten vor unerlaubtem Zugriff auf die technischen Einrichtungen und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, den „Stand der Technik“ berücksichtigen müssen. Neben den technischen und organisatorischen Maßnahmen gem. Anl. zu §9 Satz 1 BDSG sind somit insb. die Zugangs- und  Zugriffskontrolle umzusetzen. Außerdem ist für die Verfügbarkeit der technischen Einrichtungen sicherzustellen, dass sowohl die Systeme selbst als auch der Zugangspunkt von außen entsprechend gesichert sind. Denn in der Regel erfolgt die Kommunikation von kommerziellen Telemedien über einen direkten, öffentlichen Zugang und bietet ggf. Schnittstellen zu weiteren internen Systemen.

Insgesamt kann nach Abwägung der technischen Möglichkeit und wirtschaftlichen Zumutbarkeit der Baustein „B 5.4 Webserver“ des BSI IT-Grundschutzes[2]  einen Hinweis auf mögliche Maßnahmen geben. Einen Anhaltspunkt für die in §13 Abs. 7 Satz 3 erwähnten „als sicher anerkannten Verschlüsselungsverfahren“ gibt das BSI in seiner Technischen Richtlinie „BSI TR-02102 Kryptographische Verfahren“.[3]

Werden die angebotenen Telemedien über einen externen Dienstleister bereitgestellt (z.B. Service-Provider), so ist zumindest sicherzustellen, dass grundlegende Sicherheitsmaßnahmen eingehalten werden. Das beginnt bei jeweils aktuellen Versionsständen der eingesetzten Software und geht über standardmäßig aktivierte serverseitige Verwendung von Verschlüsselung bis hin zur regelmäßigen Datensicherung der angebotenen Inhalte.

Informationssicherheit ist nicht nur durch Angriffe Dritter, durch Ausfälle und unzureichendes Design gefährdet, sondern gleichermaßen durch Unwissenheit, Beliebigkeit und Trägheit von Mitarbeitern und Organisationen. Einen Ausweg aus der Problematik eröffnet das ITSiG durch regulatorische Vorgaben. Bestimmte Anforderungen an technische und organisatorische Maßnahmen, dem Nachweis dienende Dokumentationen sowie Bußgelder sollen helfen, die Bereitschaft innerhalb der Unter

*    Patrick Michaelis ist tätig als Principal bei AC – The Auditing Company, Sachverständigen-Sozietät Dr. Schwerhoff und zertifiziert als CISSP® und CSSLP®.

[1] Siehe u.a. fachinfo.bistech.de/pdf/727/Begriffe+der+Normung

[2] www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b05/b05004.html

[3] www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html

Categories:

Tags:

No responses yet

Schreibe einen Kommentar