„Stand der Technik“

16:18 15 Juni in IT-Sicherheitsgesetz OnePage

Im Rahmen des IT-SicherheitsG kommt der Generalklausel „Stand der Technik“ eine zentrale Bedeutung zu. So legt der Gesetzgeber z.B. in § 8a Abs. 1 BSIG Sicherheitspflichten für Betreiber von KRITIS vor und setzt dabei voraus, dass der „Stand der Technik“ eingehalten wird. Hierbei handelt es sich um einen juristischen Begriff, der sich allerdings nicht statisch definieren lässt. Diese „Flexibilität“ des Begriffs ist vom Gesetzgeber bewusst gewählt worden. Dem liegt die Intention zugrunde, dass die gewollte Zielrichtung zwar deutlich wird, gleichermaßen aber eine abschließende Festlegung eines Standards vermieden wird. Dies geschah vor dem Hintergrund der fortwährenden Entwicklung der technologischen Gegebenheiten. Durch die Wahl einer Generalklausel ist mithin die zwingend notwendige Aktualität der Anforderungen des Gesetzes gewahrt.

Nach der Gesetzesbegründung des IT-SicherheitsG ist unter dem „Stand der Technik“ der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen zu verstehen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt. Dabei sind insbesondere einschlägige internationale, europäische und nationale Normen und Standards heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden. Im Recht der Europäischen Union wird auch die Formulierung „die besten verfügbaren Techniken“ verwendet. Dies entspricht weitgehend der Generalklausel „Stand der Technik“.“

Abzugrenzen ist „Stand der Technik“ hingegen von den Generalklauseln „allgemein anerkannte Regeln der Technik“ und „Stand von Wissenschaft und Technik“. Unter der erstgenannten Generalklausel versteht man schriftlich fixierte oder mündlich überlieferte technische Festlegungen für Verfahren, Einrichtungen und Betriebsweisen, die nach herrschender Auffassung der beteiligten Kreise (Fachleute, Anwender, Verbraucherinnen und Verbraucher und öffentliche Hand) geeignet sind, das gesetzlich vorgegebene Ziel zu erreichen und die sich in der Praxis allgemein bewährt haben oder deren Bewährung nach herrschender Auffassung in überschaubarer Zeit bevorsteht. Hingegen versteht man unter dem „Stand von Wissenschaft und Technik“ den Entwicklungsstand fortschrittlichster Verfahren, Einrichtungen und Betriebsweisen, die nach Auffassung führender Fachleute aus Wissenschaft und Technik auf der Grundlage neuester wissenschaftlich vertretbarer Erkenntnisse im Hinblick auf das gesetzlich vorgegebene Ziel für erforderlich gehalten werden und das Erreichen dieses Ziels gesichert erscheinen lassen.

Demnach können die drei genannten Generalklauseln wie folgt gegenübergestellt werden:
(Quelle Tabelle: TeleTrusT-Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetze)

Generalklausel Entwicklungsstand Bewährung in der Praxis Grad der Anerkennung
Anerkannte Regeln der Technik (3) schriftlich fixierte oder mündlich überlieferte Festlegungen vorhanden in der Praxis allgemein bewährt durch Anwender und Fachleute anerkannt
Stand der Technik (2) fortschrittlicher Entwicklungsstand bezogen auf Verfahren, auf Verfahren, Einrichtungen, Betriebsweisen in der Praxis oder Betrieb bewährt durch führende Fachleute anerkannt
Stand der Wissenschaft und Technik (1) fortschrittlichster Entwicklungsstand bezogen auf Verfahren, Einrichtungen, Betriebsweisen nach wissenschaftlichen Erkenntnissen hat den Anschein einer Eignung durch führende Fachleute aus Wissenschaft und Technik anerkannt

Die nachfolgende Grafik gibt darüber hinaus die Möglichkeit, die drei genannten Generalklauseln anhand der Kritierien „Bewährung und Erprobung in der Praxis“, dem „Grad der Anerkennung“ und der „Evolutionsbedingten Verschiebung“ (Entwicklungsstand) einzuordnen (Quelle Grafik: TeleTrusT-Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetze).

bewaehrung_und_erprobung

Unklar ist derzeit allerdings, ob der Gesetzgeber bei Verwendung der Generalklausel „Stand der Technik“ den aus dem technischen Sicherheits- und Anlagenrecht etablierten Dreiklang der drei vorgenannten Generalklauseln ansprechen wollte. Dies hätte zur Folge, dass das Anforderungsniveau beim „Stand der Technik“ zwischen den anderen beiden Generalklauseln anzusiedeln wäre. Infolge dieser Unklarheit empfiehlt sich aufgrund der freien Beweiswürdigung des Richters im Rahmen des Zivilprozesses gem. § 287 ZPO bzw. des Strafprozesses gem. § 261 StPO eine Orientierung an einer Kombination zwischen „Stand der Technik“ und „Stand von Wissenschaft und Technik“. Für eine derartige Vorgehensweise spricht überdies die Tatsache, dass eine Maßnahme sich je nach ihrer Verbreitung und Verfügbarkeit vom „Stand von Wissenschaft und Technik“ zum „Stand von Technik“ wandeln oder vom jeweiligen „Stand der Technik“ in die „allgemein anerkannten Regeln der Technik“ übergehen kann.

Sobald die spezifische Anerkennung im Markt und die Bewährung in der Praxis ansteigen, erfolgt ein Übergang. Zu beachten ist allerdings, dass sich bisher eine Abgrenzung zwischen dem „Stand der Technik“ und „allgemein anerkannten Regeln der Technik“ schwierig gestaltet. Im Rahmen einer solchen Abgrenzung sind die Bereiche Eignung, Fortschrittlichkeit, Allgemeine Anerkennung und Bewährung und Abbuchung in der Praxis zu untersuchen. Vor dem Hintergrund von bestehenden unterschiedliche Ansätzen und technischen Möglichkeiten für zu lösende Anforderungen zum Schutz von technischen Einrichtungen und personenbezogenen Daten bietet sich die Erhebung einer Datenbasis mit weiteren möglichen alternativen Sicherheitsmaßnahmen im Rahmen einer konkreten Fragestellung zum „Stand der Technik“ an.

Im Interesse der Sicherstellung der Sinnhaftigkeit eines direkten Vergleiches von Maßnahmen sowie die Einordnung der Maßnahmen in einen der Technologiestandards ist zunächst die Eignung der Maßnahme zu prüfen. Entfaltet die Maßnahme oder das Maßnahmenbündel eine positive Wirkung auf die verfolgten Schutzziele (Verfügbarkeit, Integrität, Authentizität, Vertraulichkeit) im Hinblick auf die genutzten technischen Einrichtungen oder personenbezogenen Daten, kann eine Eignung der Maßnahme angenommen werden. Der Einfluss der Maßnahme auf alle vier Grundwerte ist gesondert zu betrachten. Auch ist die Konsequenz der Umsetzung zu bewerten von einem Technikstandard in einen anderen.

Gleichermaßen empfiehlt sich, die Ordnungsmäßigkeit der eigenen Prozessabläufe und IT-Infrastruktur durch entsprechende IDW-Testate (IDW PS 980, IDW EPS 981, IDW PS 951 n.F. und IDW PS 330) belegen als zu lassen. Nur die Testate eines Wirtschaftsprüfers sind in der Lage im Rahmen eines Prozesses eine haftungsreduzierende Wirkung zu entfalten. Hierin liegt ein signifikanter Unterschied zu den ISO-Normen. Diese entsprechen nicht einmal dem „Stand der Technik“ und sind mithin völlig ungeeignet eine haftungsreduzierende Wirkung herbeizuführen. Statt einer Zertifizierung nach den ISO-Normen ist mithin vielmehr eine Orientierung an DIN ISO/IEC 27001-2:2015 auf Basis von BSI IT-Grundschutz geboten, und für einzelne Sektoren, z.B. den Mobilfunk, eine Ausschnittsdeckung vorzunehmen und sich diese im Nachgang durch einen Wirtschaftsprüfer testieren zu lassen (u.a. IDW PS 330, IDW PS 951 n.F. und IDW PS 980, IDW EPS 981). Im Rahmen der Ausschnittsdeckung würden wir neben einem rechtskonformen Sicherheits- und Datenschutzkonzept auf Basis M 2.500 ff., u.a. auch die Sicherheitsrichtlinien und Regelungen für die Nutzung von Smartphones, Tablets nach M. 2.304, die Kryptografische Absicherung von E-Mails nach M 5.108, die Integration eines E-Mailservers in ein Sicherheitsgateway nach M 5.116 und die Ausfallvorsorge bei Mobiltelefonen nach M 6.72 prüfen.

Im Folgenden haben wir Ihnen die Ausführungen des TeleTrusT – Bundesverband IT-Sicherheit e.V. aus dessen „Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetzes (ITSiG)“ angefügt.

Zur Ansicht des Dokumentes folgen Sie dem folgenden Downloadlink.

TeleTrusT-Handreichung zum "Stand der Technik"

update

Stellungnahme des TeleTrusT zur BSI-Empfehlung „Absicherung von Telemediendiensten nach Stand der Technik“

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat eine kritische Stellungnahme vor dem Hintergrund des Diskussionspapiers des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Absicherung von Telemediendiensten nach dem Stand der Technik veröffentlicht.

Mit dem Diskussionspapier beabsichtigt das BSI die Handreichung eines Leitfadens für die Anbieter von Telemediendiensten dergestalt, welche Anforderungen an die technischen und organisatorischen Vorkehrungen gestellt werden, die den „Stand der Technik“ berücksichtigen müssen.

Das Diskussionspapier dient weiterhin dem Versuch, den im Gesetz nicht weiter ausgefüllten Begriff des „Standes der Technik“ einzugrenzen und zu näher zu konkretisieren.

Der TeleTrusT bemängelt an dem Diskussionspapier primär dessen fehlenden methodischen Ansatz. Das Diskussionspapier beschäftige sich ausschließlich mit praktischen Inhalten des „Standes der Technik“, jedoch völlig losgelöst von seinem rechtlichen Kontext und ohne zu erklären, wie das BSI methodisch zu der Erkenntnis gelangt sei, dass die genannten Maßnahmen dem „Stand der Technik“ entsprächen.

Weiterhin kritisiert der TeleTrusT, dass im Diskussionspapier der Bereich der Verhältnismäßigkeitsprüfung im Rahmen des § 13 Abs. 7 TMG nicht ausgearbeitet worden sei. Telemedienanbieter wären zur Anwendung der ermittelten Vorkehrungen nach dem Stand der Technik nur verpflichtet, wenn dies „technisch möglich“ und „wirtschaftlich zumutbar“ sei. Unter welchen Voraussetzungen der objektive Stand der Technik aus subjektiven Gründen unterschritten werden dürfe, stelle aber eine zentrale Frage in diesem Zusammenanhang dar, weshalb eine Stellungnahme des BSI unabdingbar sei.

Die vollständige Stellungnahme des TeleTrusT finden Sie hier.