Thought Leadership
Unternehmen müssen den Spagat zwischen Bedrohungslage, gesetzlichen Anforderungen und eigenen Security-Ansprüchen meistern.
Stand der Technik: Mehr als nur eine marketingtechnische Zustandsbeschreibung
Auf den ersten Blick erscheint der Begriff «Stand der Technik» absolut verständlich. Kunden verwenden ihn oft als Synonym für den aktuellen Entwicklungsstand von Technologien, Produkten oder Dienstleistungen. Das Ganze hat aber einen Haken: Je nach Branche und Anwendungsbereich kann die Definition von Stand der Technik unterschiedlich ausfallen.
Insbesondere in der sensiblen IT-Sicherheitsbranche gehört mehr dazu, als nur die Bedürfnisse und Anforderungen der Verbraucher zu erfüllen. Denn der Stand der Technik wird bereits vielfach in Vorschriften, Gesetzen – wie das Informationssicherheitsgesetz (Schweiz), das Netz- und Informationssystemsicherheitsgesetz (Österreich) oder das BSI-Gesetz (Deutschland) – und selbst in den Vertragsbedingungen von Cyberversicherungen genutzt. Damit hat der Begriff direkten Einfluss nicht nur auf Kritische Infrastrukturen, sondern letztlich sogar auf fast jede Organisation.
Aufklärungsarbeit muss intensiviert werden
Offensichtlich ist dies noch längst nicht jedem Verantwortlichen geläufig. In einer aktuellen Umfrage von ESET zeigte sich, dass lediglich 37 Prozent der Befragten glaubten, den Stand der Technik in der IT-Security richtig definieren zu können. Ein Trugschluss, wie die dazu gewählte Kontrollfrage bewies: Nur etwas mehr die Hälfte von ihnen lag tatsächlich korrekt. Dieses Ergebnis zeigt eindeutig, dass noch viel Aufklärungsarbeit zu leisten ist.
„Hinter dem Begriff Stand der Technik in der IT-Sicherheit verbergen sich leider keine klar umgrenzten Handlungsempfehlungen oder eindeutige Definitionen, welche IT-Security-Technologien oder -Lösungen einzusetzen sind. Es handelt sich vielmehr um einen unbestimmten Rechtsbegriff, dessen Tragweite sich erst bei intensiver Betrachtung als vielschichtig und weitreichend herausstellt», sagt Michael Schröder, Manager of Security Business Strategy DACH bei ESET Deutschland. «Dies gilt nicht nur für Kunden, sondern auch für Reseller, Fachhändler, Systemhäuser, Distributoren und schließlich die Hersteller selbst. Anders als in anderen Branchen ist der Stand der Technik am Ende (und sogar im schlimmsten Fall) für das Überleben des Unternehmens entscheidend.“
Relevanz für den IT-Alltag
Wie stark sich der Stand der Technik bereits im IT-Alltag verfestigt hat, erleben aktuell viele Unternehmen, die an eine Cyberversicherung als Teil ihrer Sicherheits- und Risikomanagementstrategie denken. Immer mehr Versicherer gehen dazu über, die Security-Anforderungen für ihre Policen zu verschärfen – ganz im Sinne von Stand der Technik. Wer sich als Versicherungsnehmer beispielsweise vor Störungen im Alltag, Datenverschlüsselungen durch Ransomware-Angriffe oder Haftpflichtschäden bei Datenschutzvorfällen absichern möchte, der muss entsprechende IT-Sicherheitskonzepte und -Maßnahmen vorweisen können.
Versicherern reicht es immer seltener aus, wenn Organisationen lediglich einen Basisschutz betreiben und den Aufbau eigener Schutzmaßnahmen sowie regelmäßige Investments in die IT-Infrastruktur versprechen. Die logische Konsequenz: die Ablehnung des gewünschten Versicherungsvertrags oder eine Police mit kostspieligen Aufschlägen. Übrigens sind „unscharfe“ Angaben in puncto IT-Sicherheit keine gute Idee, um die Beitragszahlungen klein zu halten. Versicherungen werden einen Schaden nur dann ersetzen (oder überhaupt absichern), wenn die getroffenen Maßnahmen für die jeweilige Organisation als angemessen angesehen werden können und somit das Risiko von Sicherheitsvorfällen nachweislich minimiert wurde.
Von der Theorie zur Praxis
Vor diesem Hintergrund stellt sich generell die Frage, welche Anforderungen an die IT-Sicherheit auf Unternehmen zukommen und wie angemessene Maßnahmen aussehen. Denn ein unbestimmter Rechtsbegriff hilft Entscheidern wenig, wenn sie die praktische Umsetzung der eigenen Security vorantreiben möchten. Es reicht längst nicht mehr aus, eine Sicherheitslösung und eine Firewall zu implementieren. Beispielsweise geht der Trend für Unternehmensrechner eindeutig zum sogenannten Multi Secured Endpoint mit Malwareschutz, Datenträgerverschlüsselung, Multi-Faktor-Authentifizierung und Cloud Sandboxing als Basisabsicherung. Zum Glück gibt es auf dem Markt eine Vielzahl dedizierter technologischer Lösungen und Services, die von Experten bereitgestellt werden. Zudem beraten externe Dienstleister und Security-Hersteller mit ihrer Expertise Organisationen umfassend bei der Einhaltung des Stands der Technik. Klar ist, dass sich die Anforderungen und der tatsächliche Handlungsbedarf individuell von Organisation zu Organisation unterscheiden.
Zero Trust Security anhand des Reifegradmodells
Eine mögliche Lösung zur effektiven Risikominimierung sind Zero Trust Security-Ansätze, die auf einem mehrschichtigen, aufeinander aufbauenden Reifegradmodell basieren. Sie bringen die Bedürfnisse einer Vielzahl von Organisationen in eine klare Reihenfolge. Eine umfassende Sicherheitsstrategie beinhaltet in jedem Fall eine zusätzliche individuelle Bewertung sowie Absicherung möglicher Angriffsvektoren – und hebt die Security auf den aktuellen Stand der Technik.
Das Reifegradmodell von ESET ist ein praxiserprobtes „Zero Trust Security“-Konzept für Organisationen, die den Stand der Technik umsetzen möchten. Je nach Ausgangslage – beispielsweise die Anzahl und Art der eingesetzten Geräte, die genutzten Technologien oder das vorhandene Budget – werden verschiedene Schutzlevel beschrieben, in die Organisationen ihren IST-Zustand einordnen können. Hieraus ergibt sich der Bedarf an Sicherheitslösungen, die zur Erreichung des jeweiligen Schutzniveaus notwendig sind. Dieses Reifegradmodell kann stufenweise umgesetzt werden und ist für jede Organisationsgröße sinnvoll.
