Was bedeutet “Stand der Technik”? Was ist zu tun?

Der unbestimmte Rechtsbegriff “Stand der Technik” erhielt in den letzten Jahren vermehrt Aufmerksamkeit. Das bedeutet er. Und diese Maßnahmen können ergriffen werden.

Was hat es mit dem “Stand der Technik” auf sich?

“Stand der Technik” – dieser Begriff ist zunehmend zu hören und zu lesen. Er kommt in verschiedenen Bereichen zum Einsatz, unter anderem in der IT.

Da es sich um einen unbestimmten Rechtsbegriff handelt, fällt die Bedeutung von “Stand der Technik” vage und teilweise auch subjektiv aus. Im Juraforum wird sie so erklärt:

“Unter Stand der Technik werden die technischen Möglichkeiten zusammengefasst, die zum aktuellen Zeitpunkt gewährleistet sind und die sich ihrerseits auf wissenschaftliche und technische Erkenntnisse stützen.

Durch die Klausel “Stand der Technik” etwa in Verträgen, soll sichergestellt werden, dass es zum Einsatz der besten verfügbaren Technik kommt.”

Eine weitere Annäherung, was der Begriff “Stand der Technik” bedeutet, zeigt das Drei-Stufen-Modell. Bei diesem liegt der “Stand der Technik” zwischen dem “Stand der Wissenschaft und Forschung” und den “Allgemein anerkannten Regeln der Technik”.

Stand der Technik Schaubild Erklärung (Bild: Teletrust)

Was die “best available techniques” oder “state of the art techniques” – so die englischen Bezeichnungen – in der IT und insbesondere in der Informationssicherheit bedeuten, erklären wir in den folgenden Absätzen.

Stand der Technik in der Informationssicherheit

Die Weiterentwicklung von Hardware und Software schreitet stetig und rasant voran. Alle Systeme, die vor ein paar Jahren noch als High-End oder topmodern galten, sind heutzutage veraltet. Im Gegensatz zu Hardware kann Software mit Updates ständig verbessert, optimiert und angepasst werden.

Doch irgendwann ist auch hier das Ende der Fahnenstange erreicht. Der Produktlebenszyklus endet und eine neue Software und/oder Hardware-Generation tritt die Nachfolge an. Dann entspricht die bislang eingesetzte Hard- und Software nicht mehr dem aktuellen Stand der Technik. Sie sollte ausgetauscht werden – in manchen Fällen muss sie es sogar.

Wichtiger Hinweis:

      • Software, die vom jeweiligen Hersteller mit Sicherheits-Updates versorgt wird, ist allgemein anerkannt auf dem Stand der Technik.
      • Das bedeutet im Umkehrschluss: Eine Software ohne Hersteller-Support zählt in der Regel nicht mehr zum Stand der Technik! Es müssen somit Maßnahmen getroffen werden, wenn die betreffende Software weiter eingesetzt werden soll.

Was hat die DS-GVO mit dem Stand der Technik zu tun?

Ein wichtiger Grund, warum insbesondere IT-Verantwortliche vermehrt über den Stand der Technik reden, ist die Datenschutz-Grundverordnung (DS-GVO).

Vermeintlich einfache Dinge wie das Übertragen von “A nach B” oder eine zweckerweiternde Nutzung personenbezogener Daten  sind laut DS-GVO ohne Erlaubnistatbestand verboten. Und es werden Maßnahmen zum Schutz personenbezogener Daten auf dem Stand der Technik gefordert.

Das bedeutet:

Erheben und verarbeiten Unternehmen Mitarbeiter- und Kundendaten mit Systemen, die nicht dem Stand der Technik entsprechen, kann das bereits einen Verstoß gegen die europaweit geltende DS-GVO (Englisch: GDPR, General Data Protection Regulation) darstellen.

Bei Datenschutzverstößen erheben die nationalen Aufsichtsbehörden Bußgelder, welche teilweise sehr hoch ausfallen. Schon geringe Verstöße können ein Unternehmen sechsstellige Beträge kosten, gravierende Vorfälle werden laut Art. 83 der DS-GVO mit bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweiten Jahresumsatzes sanktioniert.

IT-Sicherheitsgesetz und weitere legislative Maßnahmen

Auch abseits von Sanktionen wie Bußgeldern ist jedes Unternehmen verpflichtet unter anderem

    • Information seiner Kunden und eigene Informationen geheim und gesichert zu halten [Vertraulichkeit]
    • eigene Systeme durch verschiedene Maßnahmen gegen bewusste oder unbewusste Manipulation abzusichern [Integrität]
    • Informationen stabil und leistungsfähig zur Verfügung zu stellen [Verfügbarkeit].

Damit aus diesen sehr wichtigen Vorhaben reale Maßnahmen erfolgen, wurde bereits 2015 das IT SiG (IT-Sicherheitsgesetz) verabschiedet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu:

“Ziel des IT-Sicherheitsgesetzes ist die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung, sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet”

Das IT-Sicherheitsgesetzt, die DS-GVO sowie weitere Verordnungen, Regularien/Gesetze und Empfehlungen (bspw. UP KRITIS) sollen dafür sorgen, dass die IT-Security in Deutschland und Europa entlang dem aktuellen Stand der Technik vorangetrieben wird. Dabei unterstützen können unter anderem die Critical Security Controls (CSC) des Center for Internet Security (CIS), welche wir als CIS-Mitglied sehr empfehlen.

Maßnahmen für den Stand der Technik

Eine genauere Erläuterung, was Stand der Technik im Bezug auf das IT SiG und die DS-GVO bedeutet, erklärt die kostenlose Handreichung des Bundesverband IT-Sicherheit e.V. (Teletrust). Hier werden auch zahlreiche Maßnahmen genannt, zum Beispiel:

    • Durchsetzung von starken Passwörtern
    • Einsatz von vertrauenswürdigen Verbindungen zu Firmennetzen wie VPN
    • Verschlüsselung von Festplatten, Dateien und Ordnern
    • Erhöhung der Router-Sicherheit
    • Richtige Kommunikations über Instant-Messenger
    • Durchführung von Härtungsmaßnahmen von IT-Systemen

Auch wir empfehlen unseren Kunden tagtäglich zahlreiche Maßnahmen für die Erhöhung der Informationssicherheit und führen diese durch. Damit der Stand der Technik erreicht werden kann, setzen wir unter anderem auf:

Viele weitere sinnvolle Maßnahmen wären an dieser Stelle zu nennen. Diese erläutern wir Ihnen gerne in einem persönlichen Gespräch.

Kontakt aufnehmen

Fazit

Auch wenn der Stand der Technik rechtlich nicht genau definiert ist, gibt es einige Quellen und Referenzen, welche den Begriff und seine Anwendung sehr gut beschreiben.

Das Absichern und Härten von IT-Systemen wie auch der Schutz von Daten und Informationen sind keine lapidare Angelegenheiten! Sie sind essentiell für das Business und Weiterbestehen von Unternehmen. Besonders, da die Digitalisierung weiter an Fahrt aufnehmen und unser aller Leben weiter durchdringen wird.

Und da hierdurch immer mehr Unternehmen ins Visier von “Cyber-Gangstern” geraten. Wie aktuelle Erhebungen zeigen, sind viele deutsche Unternehmen bereits von Hacker-Attacken, Datendiebstahl und Spionage betroffen. Deswegen sind Systeme auf dem aktuellen Stand der Technik wichtiger denn je!

Bilder: Pixabay, Teletrust

Ähnliche Beiträge:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.