Der IT-Sicherheitshersteller ESET startet seine breit angelegte Informationskampagne zum Thema „Stand der Technik“ in der IT-Sicherheit. Den Auftakt macht das Whitepaper „IT-Security auf dem Stand der Technik“, das kostenlos unter https://www.eset.de/stand-der-technik heruntergeladen werden kann. Es vermittelt kompakt, was sich hinter dem vermeintlich einfachen Begriff versteckt und welche direkten Auswirkungen er auf die Gestaltung der eigenen Security von Unternehmen und Organisationen hat. Denn der Stand der Technik wird bereits vielfach in Gesetzen, Vorschriften und selbst in den Vertragsbedingungen von Cyberversicherungen genutzt. Damit hat der Begriff direkten Einfluss nicht nur auf Kritische Infrastrukturen, sondern letztlich sogar auf fast jede Organisation.
Stand der Technik: Mehr als nur eine marketingtechnische Zustandsbeschreibung
Auf den ersten Blick erscheint der Begriff „Stand der Technik“ absolut verständlich. Und wenn er plötzlich in Gesetzesvorgaben wie IT-Sicherheitsgesetz 2.0 (Deutschland), Netz- und Informationssystemsicherheitsgesetz (Österreich) oder Informationssicherheitsgesetz (Schweiz) erscheint und direkten Einfluss auf Unternehmen und Organisationen hat, gilt Alarmstufe rot. In einer aktuellen Umfrage von ESET zeigte sich, dass lediglich 35 Prozent der Befragten glaubten, den Stand der Technik richtig definieren zu können. Ein Trugschluss, wie die dazu gewählte Kontrollfrage bewies: Nur etwas mehr die Hälfte lag tatsächlich korrekt. Dieses Ergebnis zeigt eindeutig, dass noch viel Aufklärungsarbeit zu leisten ist.
„Hinter dem Begriff Stand der Technik in der IT-Sicherheit verbergen sich leider keine klar umgrenzten Handlungsempfehlungen oder eine eindeutige Definition, welche IT-Security-Technologien oder -Lösungen einzusetzen sind. Es handelt sich vielmehr um einen unbestimmten Rechtsbegriff, dessen Tragweite sich erst bei intensiver Betrachtung als vielschichtig und weitreichend herausstellt“, sagt Michael Schröder, Manager of Security Business Strategy DACH bei ESET Deutschland. „Dies gilt nicht nur für Kunden, sondern auch für Reseller, Fachhändler, Systemhäuser, Distributoren und schließlich die Hersteller selbst. Anders als in anderen Branchen ist der Stand der Technik letztlich (und sogar im schlimmsten Fall) für das Überleben des Unternehmens entscheidend.“
Das Whitepaper: Informationen aus unterschiedlichen Perspektiven
Das kostenlose Whitepaper startet mit einer juristischen Beschreibung des Begriffs. Die gesetzlichen Rahmenbedingungen sowie das Mindestniveau von Stand der Technik werden detailliert beleuchtet. Auch auf den Geltungsbereich gehen die Autoren Michael Schröder (ESET) und Stefan Sander, Fachanwalt für IT-Recht, ein.
An die Rechtsbetrachtung schließen sich die Anforderungen an die IT-Sicherheit und angemessene Maßnahmen an. Sie gehen dann nahtlos zu den technischen Maßnahmen über, die praxisnah für den Leser aufbereitet sind. Um den heutigen Anforderungen an IT-Sicherheit gerecht zu werden, gibt es eine Vielzahl dedizierter technologischer Lösungen und Services, die von Experten bereitgestellt werden. Diese können Organisationen bei der Einhaltung des Stands der Technik maßgeblich unterstützen. Hier kann das Motto „Risikominimierung vs. Raketenwissenschaft“ durchaus auch in Anbetracht der wirtschaftlichen Aspekte zielführender sein als langfristige oder aufgeschobene Projekte.
Eine mögliche Lösung zur effektiven Risikominimierung sind Zero Trust Security-Ansätze, die auf einem mehrschichtigen, aufeinander aufbauenden Reifegradmodell basieren. Sie bringen die Bedürfnisse einer Vielzahl von Organisationen in eine klare Reihenfolge. Eine umfassende Sicherheitsstrategie beinhaltet in jedem Fall eine zusätzliche individuelle Bewertung sowie Absicherung möglicher Angriffsvektoren.
Wie stark sich der Stand der Technik bereits im IT-Alltag verfestigt hat, zeigt das Blickpunktkapitel „Cyberversicherung als Herausforderung für Unternehmen“ an. Immer mehr Versicherer gehen nämlich dazu über, die Security-Anforderungen für ihre Policen zu verschärfen – ganz im Sinne von Stand der Technik. Wer dem nicht nachkommt, muss mit einer Ablehnung des Versicherungsvertrags oder mit kostspieligen Aufschlägen rechnen.
Handlungsempfehlungen von ESETs Sicherheitsexperten runden das Whitepaper ab.