Der „Stand der Technik“ im IT Sicherheitsgesetz
Insbesondere Betreiber sogenannter Kritischer Infrastrukturen werden durch das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) verpflichtet, Mindeststandards bei der IT-Sicherheit einzuhalten. Störungen z. B. durch Angriffe auf die IT-Infrastruktur eines Unternehmens müssen in Zukunft an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden, um dort ein Lagebild zu erstellen.
Bisher lag eine Methodik für den Nachweis zum „Stand der Technik“ im Bereich der Informationstechnologie bzw. Informationssicherheit nicht vor.
Auch das BSI stellt fest, dass es nicht möglich ist, den „Stand der Technik“ allgemeingültig und abschließend zu beschreiben.[1] Der konstante technologische Fortschritt sorgt dafür, dass auch offizielle Rahmenwerke und Konzepte unbedingt einer regelmäßigen Aktualisierung bedürfen. Die implizite Annahme, dass Standards und Normen für sich allein den „Stand der Technik“ darstellen, erscheinen dabei überaus bedenklich, da diese Generalklausel das obere Ende der technisch möglichen aber praktisch bewährten Maßnahmen abbildet.[2] Daher stellt die stichtagsbezogene Abgrenzung zwischen dem „Stand der Technik“ und den „anerkannten Regeln der Technik“ eine besondere Herausforderung dar und sollte je nach Kritikalität und Schutzbedarf der Daten und Anwendungen sogar durch sachkundige Experten, wie z.B. Sachverständige, begründet und anhand nachvollziehbarer und vergleichbarer Kriterien dokumentiert werden.
Patrick Michaelis hat daher zusammen mit Kollegen eine Methodik für die Bestimmung des „Stands der Technik“ von IT-Sicherheitsmaßnahmen aus vorhandenen Überlegungen anderer Fachrichtungen abgeleitet.
Die Methodik erlaubt Unternehmen bzw. sachkundigen Experten, wie z.B. Sachverständigen, ihre Begründung anhand nachvollziehbarer und vergleichbarer Kriterien zu dokumentieren.
Erste weiterführende Informationen finden Sie z.B. in folgendem Artikel
[1] www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/FAQ/faq_it_sig_node.html#faq6636766
[2] Vgl. auch Seibel, „Abgrenzung der allgemein anerkannten Regeln der Technik vom Stand der Technik“, NJW 41/2013, Seite 3000 ff.
No responses yet