Ich möchte in diesem Blog kurz zwei Themen zum Bereich IT Sicherheit vorstellen.

Hintergrund ist IT- Sicherheitsgesetz, das sicherlich hehre Ziele verfolgt, in der Praxis aber etliche Fragen aufwirft. Wirklich praktikabel ist das Gesetz noch nicht.

Das IT- Sicherheitsgesetz betrifft praktisch jeden, der mittels Website wirbt oder Waren oder Dienstleistungen vertreibt. Egal ob SaaS, Hosting oder Onlineshop, -wer über das Internet Geschäfte abschließen will, fällt in den Bereich des das § 13 Abs. 7 TMG. Der Sanktionskatalog des IT- Sicherheitsgesetzes ist drakonisch. Neben persönlicher Haftung der handelnden Geschäftsführer drohen Bußgelder, der Verlust des Versicherungsschutzes und natürlich kann das Unternehmen selbst in Anspruch genommen werden. Der Tatbestand der Normen ist so vage formuliert ist, dass man als Nicht- Jurist kaum ableiten kann, was man eigentlich tun muss, um die Regelungen des Gesetzes zu erfüllen. In diesem Kontext ist dieser Blog zu verstehen.

Es geht einerseits um das Tatbestandsmerkmal „Stand der Technik“ und andererseits um das Tatbestandsmerkmal der „möglichen, wirtschaftlich zumutbaren Maßnahmen“. Das Gesetz sagt im Grundsatz, dass derjenige, der die „möglichen, wirtschaftlich zumutbaren Maßnahmen“ ergriffen hat, die dem Stand der Technik entsprechen, das getan hat, was er tun soll.

  1. Stand der Technik

Das IT-Sicherheitsgesetz verpflichtet die Unternehmen, bei der Umsetzung von Sicherheitsmaßnahmen den jeweiligen Stand der Technik zu berücksichtigen. Was der Stand der Technik in der IT aber konkret ist, lässt sich dem Gesetz nicht entnehmen.

1.) Es gibt keinen eigenständigen Nachweis für den Stand der Technik im Reich der IT-Technologie. Was Stand der Technik ist wird aus Überlegungen anderer Fachrichtungen abgeleitet. Die damit verbundenen Schwächen sind natürlich offenbar.

In Deutschland gibt es die DIN. In der DIN EN 45020 (Normierung und damit zusammenhängende Tätigkeiten – allgemeine Begriffe) erfolgt eine Einordnung einer Maßnahme in einen der „Technologiestandards“, basierend auf den jeweils vorhandenen Erkenntnissen und Erfahrungen zu den beabsichtigten Sicherheitsmaßnahmen. Wie diese Kenntnisse und Erfahrungen gewonnen werden, wer letztendlich die Autorität hat, darüber zu entscheiden, welche Erkenntnisse und Erfahrungen den Standard bilden und welche nicht, das wissen wir in der IT schlicht nicht.

Bezogen auf IT- Sicherheitsmaßnahmen bedeutet der Stand der Technik, dass man durch Auswertung von solchen öffentlichen Quellen wie den Foren und den allgemeinen Erfahrungen durch Vergleiche der eigenen Maßnahmen mit anderen Maßnahmen evaluiert, ob die getroffene Maßnahme dem Stand der Technik entspricht. Man kann hierzu auch Fachmagazine oder andere öffentlich zugängliche Quellen heranziehen, die einen Vergleich der eigenen Maßnahmen mit anderen Maßnahmen ermöglichen. Die Anforderungen sind aber nicht allzu hoch.

Eine Maßnahme entspricht dem Stand der Technik, wenn sie geeignet ist, eine positive Wirkung auf die Schutzziele (Verfügbarkeit, Integrität, Authentizität, Vertraulichkeit) zu bewirken. Wenn die getroffene Maßnahme im konkreten Einzelfall nicht geeignet ist, d.h. zum Beispiel wenn Virenangriffe doch Erfolg haben sollten, bedeutet das nicht, dass die getroffene Maßnahme zum Virenschutz nicht dem Stand der Technik entspricht.

1.) Wenn der Virenscanner, den man einsetzt 60 % aller Virenangriffe nicht abwehrt, 6 andere getestete Virenscanner aber 90 % der Angriffe abwehren, dann entspricht der eingesetzte Virenscanner nicht dem Stand der Technik.

2.) Wenn der eingesetzte Virenscanner zu den 6 getesteten Virenscannern gehört, die 90 % aller Virenangriffe abwehren, dieser Scanner aber einen konkreten Angriff aber nicht abwehrt, bedeutet das nicht, dass der eingesetzte Virenscanner nicht dem Stand der Technik entspricht.

So schnelllebig wie die IT ist, ist es eben kaum möglich einen Standard zu bilden oder zu sagen, was ein Standard sein soll. Aus anderen Technologiebereichen stammt der Begriff des „anerkannten Stands der Technik“. Die Parameter zur Bewertung, ob eine Maßnahme dem anerkannten Stand der Technik entspricht, lauten Eignung, Fortschrittlichkeit, allgemeine Anerkennung und Bewährung und Erprobung in der Praxis. Bis Einigkeit darüber besteht, ob eine technische Maßnahme im Bereich der IT- Sicherheit zum anerkannten Stand der Technik gehört, ist so viel Zeit vergangen, dass im Hinblick auf den konkreten Virenangriff nichts Werthaltiges gesagt werden kann.

Damit besagt das Tatbestandsmerkmal „Stand der Technik“ im § 13 Abs. 7 TMG nicht mehr als dass man Maßnahmen treffen muss, die ohnehin jeder andere Betreiber einer gewerblich genutzten Webpage vernünftigerweise vornehmen wird. Um zu ermitteln, was der Stand der Technik ist, muss man sich eben in regelmäßigen Abständen darüber erkundigen, wie die Qualität der eigenen eingesetzten technischen Maßnahmen im Verhältnis zu den anderen auf dem Markt verfügbaren technischen Maßnahmen zu bewerten ist. Bei dieser Bewertung spielt nun das andere Tatbestandsmerkmal aus dem § 13 Abs. 7 TMG eine Rolle, zu dem ich im nächsten Blog schreiben werde:

„Die möglichen und wirtschaftlich zumutbaren Maßnahmen“.