Stand der Technik: Wie ein Begriff die IT-Sicherheit entscheidend verändert

Auf den ersten Blick erscheint der Begriff "Stand der Technik" absolut verständlich. Kunden verwenden ihn oft als Synonym für den aktuellen Entwicklungsstand von Technologien, Produkten oder Dienstleistungen. Das Ganze hat aber einen Haken: Je nach Branche und Anwendungsbereich kann die Definition von Stand der Technik unterschiedlich ausfallen.  

Insbesondere in der sensiblen IT-Sicherheitsbranche gehört mehr dazu, als nur die Bedürfnisse und Anforderungen der Verbraucher zu erfüllen. Denn der Stand der Technik wird bereits vielfach in Vorschriften, Gesetzen – wie das Informationssicherheitsgesetz (Schweiz), das Netz- und Informationssystemsicherheitsgesetz (Österreich) oder das BSI-Gesetz (Deutschland) – und selbst in den Vertragsbedingungen von Cyberversicherungen genutzt. Damit hat der Begriff direkten Einfluss nicht nur auf kritische Infrastrukturen, sondern letztlich sogar auf fast jede Organisation. 

Offensichtlich ist dies noch längst nicht jedem Verantwort­lichen geläufig. In einer aktuellen Umfrage von Eset zeigte sich, dass lediglich 37 Prozent der Befragten glaubten, den Stand der Technik in der IT-Security richtig definieren zu können. Ein Trugschluss, wie die dazu gewählte Kontrollfrage bewies: Nur etwas mehr als die Hälfte von ihnen lag tatsächlich richtig. Dieses Ergebnis zeigt eindeutig, dass noch viel Aufklärungsarbeit zu leisten ist. 

Hinter dem Begriff Stand der Technik in der IT-Sicherheit verbergen sich leider keine klar umgrenzten Handlungsempfehlungen oder eine eindeutige Definition, welche IT-Security-Technologien oder -Lösungen einzusetzen sind. Es handelt sich vielmehr um einen unbestimmten Rechtsbegriff, dessen Tragweite sich erst bei intensiver Betrachtung als vielschichtig und weitreichend herausstellt. Dies gilt nicht nur für Kunden, sondern auch für Reseller, Fachhändler, Systemhäuser, Distributoren und schliesslich für die Hersteller selbst. Anders als in anderen Branchen ist der Stand der Technik letztlich (und sogar im schlimmsten Fall) für das Überleben des Unternehmens entscheidend.

Relevanz für den IT-Alltag

Wie stark sich der Stand der Technik bereits im IT-Alltag verfestigt hat, erleben aktuell viele Unternehmen, die an eine Cyberversicherung als Teil ihrer Sicherheitsstrategie denken. Immer mehr Versicherer gehen nämlich dazu über, die Security-Anforderungen für ihre Policen zu verschärfen – ganz im Sinne des Stands der Technik. Wer dem nicht nachkommt, muss mit einer Ablehnung des Versicherungsvertrags oder mit kostspieligen Aufschlägen rechnen.

Zwangsläufig stellt sich generell die Frage, welche Anforderungen an die IT-Sicherheit auf Unternehmen zukommen und wie angemessene Massnahmen aussehen könnten. Denn ein unbestimmter Rechtsbegriff hilft Entscheidern wenig, wenn sie die praktische Umsetzung der eigenen Security vorantreiben möchten. Es reicht nämlich längst nicht mehr aus, eine Sicherheitslösung und eine Firewall zu implementieren. Beispielsweise geht der Trend für Unternehmensrechner eindeutig zum sogenannten Multi Secured Endpoint mit Malwareschutz, Datenträgerverschlüsselung, Multi-Faktor-Authentifizierung und Cloud Sandboxing als Basisschutz. Zum Glück gibt es auf dem Markt eine Vielzahl dedizierter technologischer Lösungen und Services, die von Experten bereitgestellt werden. Zudem beraten externe Dienstleister und Security-Hersteller mit ihrer Expertise Organisationen umfassend bei der Einhaltung des Stands der Technik.

Eine mögliche Lösung zur effektiven Risikominimierung sind Zero-Trust-Security-Ansätze, die auf einem mehrschichtigen, aufeinander aufbauenden Reifegradmodell basieren. Sie bringen die Bedürfnisse einer Vielzahl von Organisationen in eine klare Reihenfolge. Eine umfassende Sicherheitsstrategie beinhaltet in jedem Fall eine zusätzliche individuelle Bewertung sowie Absicherung möglicher Angriffsvektoren – und hebt die Security auf den aktuellen Stand der Technik.

"Der Stand der Technik ist ein 'Muss' und keine Option"

IT-Sicherheit ist ein stetiger Prozess von Überprüfung und Anpassung der getroffenen Massnahmen. Doch nicht immer entspricht alles dem Stand der Technik und ruft so enorme Risiken hervor. Wie Unternehmen ihre IT-Security auf Kurs halten, erklärt Michael Schröder, Manager of Security Business Strategy bei Eset Deutschland.  Interview: Tanja Mettauer

Gibt es ein allgemeines Mindestniveau für den "Stand der Technik" in der IT-Security?

Michael Schröder: Nein, im Grunde genommen nicht. Es gilt immer, die individuelle Situation der eigenen Organisation zu betrachten. Erst anhand einer Risikoanalyse kann man bestimmen, welche technischen Massnahmen ein "angemessenes Schutzniveau" versprechen. Im gleichen Zuge sind verschiedene Aspekte zu betrachten wie etwa die wirtschaftliche Machbarkeit und die Fähigkeit zur Umsetzung. Von einem Freelancer kann niemand ernsthaft eine EDR-Lösung für seinen PC verlangen. Inzwischen besteht ein gewisser Common Sense, was für jeden umsetzbar, bezahlbar und leistbar ist. 

Was verbirgt sich in diesem Zusammenhang hinter dem ­sogenannten Reifegradmodell? 

Das Reifegradmodell ist elementarer Bestandteil von «Zero Trust Security»-Konzepten wie etwa dem von Eset. Es bietet IT-Verantwortlichen ein modular aufgebautes Sicherheitskonzept zur Orientierung. Je nach Ausgangslage – etwa die Anzahl und Art der eingesetzten Geräte, die genutzten Technologien oder das vorhandene Budget – werden verschiedene Schutzlevel beschrieben, in die Organisationen ihren Ist-Zustand einordnen können. Hieraus ergibt sich der Bedarf an Sicherheitslösungen, die zur Erreichung des jeweiligen Schutzlevels notwendig sind. Dieses Reifegradmodell kann stufenweise umgesetzt werden und ist für jede Organisationsgrösse sinnvoll.

Welche organisatorischen Massnahmen sollten Unternehmen hinsichtlich IT-Security und deren Stand der Technik ergreifen?

Organisatorische Massnahmen sind nur ein Teil der Umsetzung von IT-Sicherheitsanforderungen. Sie tragen dazu bei, dass die eingesetzten Produkte und Services optimal strukturiert und konfiguriert sind. Erst eine durchgeführte Risikoanalyse zeigt, welche Massnahmen ergriffen werden sollten. Dazu zählen etwa die Schulung und Sensibilisierung der Mitarbeitenden, ein belastbares IT-Notfallmanagement sowie die regelmässige Überprüfung und Aktualisierung der IT-Sicherheitsrichtlinien und -verfahren. Für grössere Organisationen kommt zum Beispiel auch die Einführung eines Information Security Management Systems infrage.

Wie können Unternehmen sicherstellen, dass die ergriffenen Massnahmen auch dem erforderlichen Standard entsprechen? 

Eine regelmässige Überprüfung der eigenen Massnahmen ist unerlässlich. Wie hat sich die Technologie am Markt entwickelt? Gibt es mittlerweile Veränderungen in meinen Prozessen sowie meiner Arbeitsweise und bilden sich dadurch neue Risiken? Penetrationstests und auch die Expertise externer Spezialisten helfen hier weiter. Neben diesen rein organisatorischen Fragen spielt auch der Anbieter der eingesetzten Security-Lösungen eine zentrale Rolle. Dieser sollte immer die neuesten Technologien und Schutzmodule anbieten. Viele Antworten finden Verantwortliche in der Handreichung zum Stand der Technik vom Teletrust-Verband oder im kostenlosen Whitepaper von Eset. 

Welche Tipps können Sie Unternehmen, die sich Gedanken über eine Cyberversicherung machen, mit auf den Weg geben? 

Eine Cyberversicherung stellt das i-Tüpfelchen eines umfassenden IT-Sicherheitskonzepts dar und kann dieses keinesfalls ersetzen. Es sichert das Restrisiko ab, dass trotz aller eingesetzten Massnahmen und getroffenen Vorkehrungen der Worst Case – ein erfolgreicher Cyberangriff – eintritt. In diesem Fall hilft die Police, die entstandenen Schäden auf ein vertretbares Minimum zu reduzieren. Wer so vorgeht, dürfte wenig Schwierigkeiten haben, einen geeigneten Versicherungsgeber zu finden. Und genauso wichtig: Die Höhe der Versicherungsbeiträge dürften sich in einem angemessenen Rahmen bewegen. Je anfälliger die eigene IT-Sicherheit aus Sicht der Cyberversicherung ist, desto teurer wird die Police – wenn sie überhaupt zustande kommt.