Dieser Gastbeitrag stammt von Dezember 2023 und bezieht sich auf Anforderungen, die aus der NIS-2-Richtline erwachsen. Nachdem diese ab Oktober geltende EU-Richtlinie jetzt auch in Deutschland endlich ihrer finalen Ausgestaltung entgegengeht, hat sich die ChannelPartner-Redaktion entschlossen, diesen wichtigen Beitrag in einer leicht aktualisierten Form erneut in Erinnerung zu bringen.
Auf den ersten Blick erscheint der Begriff "Stand der Technik" absolut verständlich. Kunden verwenden ihn oft als Synonym für den aktuellen Entwicklungsstand von Technologien, Produkten oder Dienstleistungen. Das Ganze hat aber einen Haken: Je nach Branche und Anwendungsbereich kann die Definition von "Stand der Technik" sehr unterschiedlich ausfallen.
Insbesondere in der IT-Sicherheitsbranche gehört mehr dazu, als nur die Bedürfnisse und Anforderungen der Verbraucher zu erfüllen. Denn der Stand der Technik wird bereits vielfach in Vorschriften, Gesetzen - wie das Informationssicherheitsgesetz (Schweiz), das Netz- und Informationssystemsicherheitsgesetz (Österreich) oder das BSI-Gesetz (Deutschland) - und selbst in den Vertragsbedingungen von Cyberversicherungen genutzt. Damit hat der Begriff direkten Einfluss nicht nur auf Kritische Infrastrukturen, sondern letztlich sogar auf fast jede Organisation.
Aufklärungsarbeit muss intensiviert werden
Offensichtlich ist dies noch längst nicht jedem Verantwortlichen geläufig. In einer Umfrage zeigte sich im Herbst 2023, dass lediglich 37 Prozent der Befragten glaubten, den Stand der Technik in der IT-Security richtig definieren zu können. Ein Trugschluss, wie die dazu gewählte Kontrollfrage bewies: Nur etwas mehr die Hälfte von ihnen lag tatsächlich korrekt. Dieses Ergebnis zeigt eindeutig, dass noch viel Aufklärungsarbeit zu leisten ist.
Hinter dem Begriff "Stand der Technik" verbergen sich in der IT-Sicherheit leider keine klar umgrenzten Handlungsempfehlungen oder eine eindeutige Definition, welche IT-Security-Technologien oder -Lösungen einzusetzen sind. Es handelt sich vielmehr um einen unbestimmten Rechtsbegriff, dessen Tragweite sich erst bei intensiver Betrachtung als vielschichtig und weitreichend herausstellt. Dies gilt nicht nur für Kunden, sondern auch für Reseller, Fachhändler, Systemhäuser, Distributoren und schließlich die Hersteller selbst. Anders als in anderen Branchen ist der Stand der Technik am Ende (und sogar im schlimmsten Fall) für das Überleben des Unternehmens entscheidend.
Relevanz für den IT-Alltag
Wie stark sich der Stand der Technik bereits im IT-Alltag verfestigt hat, erleben aktuell viele Unternehmen, die an eine Cyberversicherung als Teil ihrer Sicherheits- und Risikomanagementstrategie denken. Diese soll das Restrisiko absichern, dass trotz aller eingesetzten Maßnahmen und getroffenen Vorkehrungen der Worst Case - ein erfolgreicher Cyberangriff - eintritt. In diesem Fall hilft die Police, die entstandenen Schäden auf ein vertretbares Minimum zu reduzieren.
Immer mehr Versicherer gehen jedoch dazu über, die Security-Anforderungen für ihre Policen zu verschärfen - ganz im Sinne von "Stand der Technik". Wer sich als Versicherungsnehmer beispielsweise vor Störungen im Alltag, Datenverschlüsselungen durch Ransomware-Angriffe oder Haftpflichtschäden bei Datenschutzvorfällen absichern möchte, der muss entsprechende IT-Sicherheitskonzepte und -Maßnahmen vorweisen können.
Versicherern reicht es immer seltener aus, wenn Organisationen lediglich einen Basisschutz betreiben und einen Aufbau eigener Schutzmaßnahmen sowie regelmäßige Investments in die Infrastruktur versprechen. Die logische Konsequenz: die Ablehnung des gewünschten Versicherungsvertrags oder eine Police mit kostspieligen Aufschlägen. Übrigens sind "unscharfe" Angaben in puncto IT-Sicherheit keine gute Idee, um die Beitragszahlungen klein zu halten. Versicherungen werden einen Schaden nur dann ersetzen (oder überhaupt absichern), wenn die getroffenen Maßnahmen für die jeweilige Organisation als angemessen angesehen werden und somit das Risiko von Sicherheitsvorfällen nachweislich minimiert wurde.
Von der Theorie zur Praxis
Vor diesem Hintergrund stellt sich generell die Frage, welche Anforderungen an die IT-Sicherheit auf Unternehmen zukommen und wie angemessene Maßnahmen aussehen könnten. Denn ein unbestimmter Rechtsbegriff hilft Entscheidern wenig, wenn sie die praktische Umsetzung der eigenen Security vorantreiben möchten. Es reicht bekanntlich nicht mehr aus, nur eine Sicherheitslösung und eine Firewall zu implementieren. Allerdings gibt es aktuell kein klar definiertes Basisniveau für den Stand der Technik, an dem man sich orientieren könnte. Der Grund dafür liegt auf der Hand: Die Anforderungen und der tatsächliche Handlungsbedarf in puncto IT-Sicherheit unterscheiden sich von Organisation zu Organisation.
Es gilt also immer, die individuelle Situation exakt zu betrachten. Erst anhand einer Risikoanalyse lässt sich bestimmen, welche technischen Maßnahmen ein "angemessenes Schutzniveau" überhaupt versprechen. Im gleichen Zuge sind verschiedene Aspekte zu betrachten, etwa die wirtschaftliche Machbarkeit und die Fähigkeit zur Umsetzung. Von einem Freelancer kann niemand ernsthaft eine EDR-Lösung für seinen PC verlangen.
Inzwischen besteht ein gewisser Common Sense, was für jeden umsetzbar, bezahlbar und leistbar ist. Dazu zählt für Unternehmensrechner beispielsweise der sogenannte Multi Secured Endpoint, der sich für jede Organisationsgröße in Anbetracht der aktuellen Bedrohungslage und der aktuellen Datenschutzgesetze eignet. Dieser Basisschutz erfordert auf jedem PC Malwareschutz, Datenträgerverschlüsselung, Multi-Faktor-Authentifizierung und Cloud Sandboxing. Auf dem Markt gibt es eine Vielzahl dedizierter technologischer Lösungen und Services, die von Experten bereitgestellt werden. Zudem beraten externe Dienstleister und Security-Hersteller mit ihrer Expertise Organisationen umfassend bei der Einhaltung des Stands der Technik.
Organisatorische Maßnahmen umsetzen und überprüfen
Wer sich um den Stand der Technik bemüht, kommt an organisatorischen Maßnahmen zur Umsetzung von IT-Sicherheitsanforderungen nicht vorbei. Auch wenn sie viel Arbeit machen, tragen sie entscheidend dazu bei, dass die eingesetzten Produkte und Services optimal strukturiert und konfiguriert sind. Auch hier kommt der durchgeführten Risikoanalyse eine entscheidende Rolle zu: Sie zeigt im Detail, welche Maßnahmen ergriffen werden sollten.
Dazu zählen beispielsweise die Schulung und Sensibilisierung der Mitarbeiter, ein belastbares IT-Notfallmanagement sowie die regelmäßige Überprüfung und Aktualisierung der IT-Sicherheitsrichtlinien und -verfahren. Für größere Organisationen kommt zum Beispiel auch die Einführung eines Information Security Management Systems infrage.
Eine regelmäßige Überprüfung der eigenen Maßnahmen ist in diesem Zusammenhang unerlässlich. Wie hat sich die Technologie am Markt entwickelt? Gibt es mittlerweile Veränderungen in meinen Prozessen sowie meiner Arbeitsweise und bilden sich dadurch neue Risiken? Penetrationstests und auch die Expertise externer Spezialisten helfen hier weiter. Neben diesen rein organisatorischen Fragen spielt auch der Anbieter der eingesetzten Security-Lösungen eine zentrale Rolle. Dieser sollte immer die neusten Technologien und Schutzmodule im Repertoire haben. Viele Lösungen finden Verantwortliche in der Handreichung zum Stand der Technik vom TeleTrust-Verband oder Eset in einem kostenlosen Whitepaper.
Zero Trust Security anhand des Reifegradmodells
Als eine mögliche Lösung zur effektiven Risikominimierung gelten Zero--Security-Ansätze, die auf einem mehrschichtigen, aufeinander aufbauenden Reifegradmodell basieren. Sie bringen die Bedürfnisse einer Vielzahl von Organisationen in eine klare Reihenfolge. Eine umfassende Sicherheitsstrategie beinhaltet in jedem Fall eine zusätzliche individuelle Bewertung sowie Absicherung möglicher Angriffsvektoren - und hebt die Security auf den aktuellen Stand der Technik.
Beispielsweise ist unser Reifegradmodell ein praxiserprobtes Zero-Trust-Security-Konzept für Organisationen, die den Stand der Technik umsetzen möchten. Je nach Ausgangslage - beispielsweise die Anzahl und Art der eingesetzten Geräte, die genutzten Technologien oder das vorhandene Budget - werden verschiedene Schutzlevel beschrieben, in die Organisationen ihren IST-Zustand einordnen können. Hieraus ergibt sich der Bedarf an Sicherheitslösungen, die zur Erreichung des jeweiligen Schutzlevels notwendig sind. Dieses Reifegradmodell kann stufenweise umgesetzt werden und ist für jede Organisationsgröße sinnvoll.
Mehr zum Thema:
Schwachstellen- und Patch-Management integriert
Trusted Access Client für "Zero Trust"
„Vorne Fort Knox und hinten Tag der offenen Tür“
Viele Clouds, viele Sorgen
„Channel Consumer Incentive 2023“