Stand der Technik

Die Frage, welchen Sicherheitsanforderungen ein technisches System (Software, Hardware etc.) genügen müssen, wird häufig mit der Antwort versehen: Man müsse mindestens dem Stand der Technik entsprechen. Was das für die IT bedeutet, ist nicht befriedigend.

Begriffe wie der „Stand der Technik“ werden von dem Gesetzgeber verwendet, weil er einem Dilemma Herr werden muss. Auf der einen Seite sollen Gesetze so klar wie möglich ausgestaltet sein. Die Regel „Wer bei Rot über die Straße geht, muss ein Bußgeld von 10 Euro zahlen“ ist so klar, dass es keine weiteren Fragestellungen geben sollte. Die Regel „Bei welcher Farbe man nicht über die Straße gehen sollte, richtet sich nach dem Ermessen des jeweiligen Polizisten“ würde viele Variablen zulassen. Aber der Gesetzgeber muss abstrakte Begriffe wählen, wenn er variable Sachverhalte regeln will. Die Regel: „Wer 100 personenbezogene Daten nach Art. 8 DSGVO verarbeitet, muss am 30. Juni 2020 einen Virenscanner mit einem Versionsstand XX verwenden“, kann am 3. Juli schon wieder obsolet sein, weil inzwischen neue Bedrohungen erkannt wurden. Der Gesetzgeber muss also abstrakte Formulierungen verwenden, wenn er nicht will, dass ein Gesetz sofort nach dem Erlass veraltet.

Und im Bereich der IT- Sicherheit, Datenschutz etc. verwendet er hierzu den Begriff „Stand der Technik“. Es gibt drei unterschiedliche Versuche der Beschreibung, letztlich alle mit Fehlern behaftet. Selbst in dem Buch Cybersecurity wird in den Randnummern 1 bis 16 zum Kapitel 3 viel geschrieben. In der Randnr. 17 heißt es dann lapidar, dass der objektive Stand der Technik durch Techniker zu bestimmen ist. Als Praktiker (ich) weiß man, dass der entscheidende Techniker der Sachverständige ist, der von dem Gericht ausgewählt wird. Doch der Reihe nach:

Die erste Beschreibung richtet sich nach den allgemein anerkannten Regeln der Technik. „Auf Grund von gesicherter Erfahrung“- Soll heißen:  Schriftlich fixierte oder mündlich tradierte Festlegungen und Verfahren, die nach der herrschenden Ansicht der beteiligten Kreise (Techniker, Anwender etc.) geeignet sind und sich in der Praxis bewährt haben (oder deren Bewährung bevorsteht).  Was man aus diesem Satz machen soll, wenn es darum geht, eine konkrete Auskunft über die Festlegung eines Sicherheitsstandards zu erhalten, bleibt rätselhaft.

Die zweite Beschreibung benutzt den Terminus: der „Stand von Wissenschaft und Technik“. Danach sollen führende Fachleute aus Wissenschaft und Technik anhand neuester wissenschaftlich vertretener Erkenntnis das Erreichen des gesetzlich geforderten Ziels als gesichert erscheinen lassen. Praktische Hilfe ist hier nicht zu erwarten.

Die dritte Beschreibung ist: der „Stand der Technik“. Dies ist der Stand fortschrittlicher Verfahren der nach herrschender Ansicht von Fachleuten das Erreichen eines gesetzlichen Ziels als gesichert erscheinen lässt. Anstelle der Wissenschaftler haben wir jetzt Fachleute. Diese sollen eine herrschende Ansicht bilden. Und: Diese Fachleute sollen ihre Erkenntnisse also aus der Praxis erhalten haben, die von Ihnen gemachten Aussagen sollen in der Praxis belastbar sein. Das ist tatsächlich eine Arbeitsweise, die bei anderen technischen Produkten angewendet wird: Erst wenn eine Zeitlang bestimmte Testverfahren nicht zu einem Fehler geführt haben, kann man sagen, dass eine bestimmte Technik für einen breiteren Kreis zugelassen wird. Wir alle kennen den Begriff des Testpiloten oder der Erlkönige, die lange geprobt/ getestet werden, bevor man sie für einen breiteren Kreis zulässt.

Problem in der IT: Die Änderungszyklen sind derart kurz, dass sich ein bestimmter belastbarer Stand der Technik nicht herausbilden kann. Ich kann mich noch des Ausrufs eines IT- Sachverständigen (Streit) erinnern, der 2011 sagte, das beste Betriebssystem der Welt sei Windows 95, da seien nur noch 5 Fehlermeldungen offen. Die Aussage von Herrn Streit mag ja richtig gewesen sein, nur ist sie für einen Vertriebler unzureichend. Man kann dem Kunden nicht sagen: Bleib bei einem alten System, das funktioniert und verzichte auf alle Annehmlichkeiten der Gegenwart.

Das wichtige ist hierbei eben nicht die Frage nach dem objektiven Stand: Was ist gut oder was reicht nicht aus? Diese Frage kann in der Praxis nicht im Voraus (a priori), sondern nur im Nachhinein beantwortet werden.

Im deutschen Recht gilt aber das Verschuldensprinzip und das besagt, dass man haftet, wenn man sich in bestimmten Situationen nicht an den Stand der Technik gehalten hat.

In der deutschen Praxis behilft man sich so, dass man die Einhaltung von bestimmten Normwerten als ausreichend gelten lässt. Wenn das Unternehmen nach der ISO 27001 zertifiziert ist, genügen die Festlegungen und das Verfahren auch dem Stand der Technik. Dass die entsprechenden DINs und ISOs in manchen Fällen überhaupt keine Aussagekraft haben oder selbst schon veraltet sind, wird dabei häufig verdrängt. Wobei die Nichtbeachtung von ISOs und DIN- Komplexen eben nur den Anschein dafür

Falls das Unternehmen nachweisen kann, dass es selbst Verfahren eingeführt hat, evaluiert und ausführt, um Risiken zu minimieren, können auch die ergriffenen Maßnahmen ausreichen. Der Unterschied ist: In dem einen Fall braucht man keine Prüfung, in dem anderen Fall braucht man eine Prüfung der Maßnahmen. Sofern man sich an bestimmte DIN´s etc. gehalten hat, spricht die Erfüllung der DIN prima facie dafür, dass man dem Stand der Technik entsprochen hat. Sofern man eigenen Wegen folgt, müssen die Sachdienlichkeit und Angemessenheit der Ergebnisse jeweils überprüft werden, wenn etwas passiert ist.

Die schnellen Entwicklungszyklen der IT – die Volatibilität – führt aber dazu, dass man im Grunde nicht im Voraus sagen kann, was der Stand der Technik ist. Was man tun muss, ist sich regelmäßig um eine Überprüfung der mit dem Betrieb der Technik verbundenen Risiken zu kümmern. Das macht die DSGVO sehr gut, wenn sie nach dem Muster – Was tun wir – welche Risiken ergeben sich daraus – und wie sichern wir diese Risiken ab/ bzw. mindern wir diese Risiken – vorgeht. Es ist unbedingt zu empfehlen, sich diesen Prozess anzuschauen und zu dokumentieren, dass und wie man diesen Prozess vollzieht. Die Aussage “es gibt keinen gesicherten Konsens darüber, was der Stand der Technik in der IT ist” führt nicht zur Excuplation. Man muss nachweisen, dass man Prozesse rund das Thema IT Sicherheit etabliert hat.