Stand der Technik: Wie ein Begriff die IT-Sicherheit entscheidend verändert

Stand der Technik: Mehr als nur eine marketingtechnische Zustandsbeschreibung
Auf den ersten Blick erscheint der Begriff «Stand der Technik» absolut verständlich. Kunden verwenden ihn oft als Synonym für den aktuellen Entwicklungsstand von Technologien, Produkten oder Dienstleistungen. Das Ganze hat aber einen Haken: Je nach Branche und Anwendungsbereich kann die Definition von Stand der Technik unterschiedlich ausfallen.

Insbesondere in der sensiblen IT-Sicherheitsbranche gehört mehr dazu, als nur die Bedürfnisse und Anforderungen der Verbraucher zu erfüllen. Denn der Stand der Technik wird bereits vielfach in Vorschriften, Gesetzen - wie das Informationssicherheitsgesetz (Schweiz), das Netz- und Informationssystemsicherheitsgesetz (Österreich) oder das BSI-Gesetz (Deutschland) - und selbst in den Vertragsbedingungen von Cyberversicherungen genutzt. Damit hat der Begriff direkten Einfluss nicht nur auf Kritische Infrastrukturen, sondern letztlich sogar auf fast jede Organisation.

Aufklärungsarbeit muss intensiviert werden
Offensichtlich ist dies noch längst nicht jedem Verantwortlichen geläufig. In einer aktuellen Umfrage von ESET zeigte sich, dass lediglich 37 Prozent der Befragten glaubten, den Stand der Technik in der IT-Security richtig definieren zu können. Ein Trugschluss, wie die dazu gewählte Kontrollfrage bewies: Nur etwas mehr die Hälfte von ihnen lag tatsächlich korrekt. Dieses Ergebnis zeigt eindeutig, dass noch viel Aufklärungsarbeit zu leisten ist.

«Hinter dem Begriff Stand der Technik in der IT-Sicherheit verbergen sich leider keine klar umgrenzten Handlungsempfehlungen oder eine eindeutige Definition, welche IT-Security-Technologien oder -Lösungen einzusetzen sind. Es handelt sich vielmehr um einen unbestimmten Rechtsbegriff, dessen Tragweite sich erst bei intensiver Betrachtung als vielschichtig und weitreichend herausstellt», sagt Michael Schröder, Manager of Security Business Strategy DACH bei ESET Deutschland. «Dies gilt nicht nur für Kunden, sondern auch für Reseller, Fachhändler, Systemhäuser, Distributoren und schliesslich die Hersteller selbst. Anders als in anderen Branchen ist der Stand der Technik am Ende (und sogar im schlimmsten Fall) für das Überleben des Unternehmens entscheidend.»

Relevanz für den IT-Alltag
Wie stark sich der Stand der Technik bereits im IT-Alltag verfestigt hat, erleben aktuell viele Unternehmen, die an eine Cyberversicherung als Teil ihrer Sicherheits- und Risikomanagementstrategie denken. Diese soll das Restrisiko absichern, dass trotz aller eingesetzten Massnahmen und getroffenen Vorkehrungen der Worst Case – ein erfolgreicher Cyberangriff – eintritt. In diesem Fall hilft die Police, die entstandenen Schäden auf ein vertretbares Minimum zu reduzieren. Immer mehr Versicherer gehen jedoch dazu über, die Security-Anforderungen für ihre Policen zu verschärfen – ganz im Sinne von Stand der Technik. Wer sich als Versicherungsnehmer beispielsweise vor Störungen im Alltag, Datenverschlüsselungen durch Ransomware-Angriffe oder Haftpflichtschäden bei Datenschutzvorfällen absichern möchte, der muss entsprechende IT-Sicherheitskonzepte und -Massnahmen vorweisen können.

Von der Theorie zur Praxis
Vor diesem Hintergrund stellt sich generell die Frage, welche Anforderungen an die IT-Sicherheit auf Unternehmen zukommen und wie angemessene Massnahmen aussehen könnten. Denn ein unbestimmter Rechtsbegriff hilft Entscheidern wenig, wenn sie die praktische Umsetzung der eigenen Security vorantreiben möchten.

Inzwischen besteht ein gewisser Common Sense, was für jeden umsetzbar, bezahlbar und leistbar ist. Dazu zählt für Unternehmensrechner beispielsweise der sogenannte Multi Secured Endpoint, der sich für jede Organisationsgrösse in Anbetracht der aktuellen Bedrohungslage und der aktuellen Datenschutzgesetze eignet. Diese Basisabsicherung erfordert auf jedem PC Malwareschutz, Datenträgerverschlüsselung, Multi-Faktor-Authentifizierung und Cloud Sandboxing. Auf dem Markt gibt es eine Vielzahl dedizierter technologischer Lösungen und Services, die von Experten bereitgestellt werden. Zudem beraten externe Dienstleister und Security-Hersteller mit ihrer Expertise Organisationen umfassend bei der Einhaltung des Stands der Technik.

Eine mögliche Lösung zur effektiven Risikominimierung sind Zero Trust Security-Ansätze, die auf einem mehrschichtigen, aufeinander aufbauenden Reifegradmodell basieren. Sie bringen die Bedürfnisse einer Vielzahl von Organisationen in eine klare Reihenfolge. Eine umfassende Sicherheitsstrategie beinhaltet in jedem Fall eine zusätzliche individuelle Bewertung sowie Absicherung möglicher Angriffsvektoren – und hebt die Security auf den aktuellen Stand der Technik.

ESET bietet auf www.eset.ch/stand-der-technik ein kostenloses Whitepaper zum Thema Stand der Technik an.