Beitrag: Definition von „Stand der Technik“ und Unterschied zur Risikoanalyse

Definition von „Stand der Technik“ und Unterschied zur Risikoanalyse

Handlungsanweisung für das Top-Management: Implementierung des „Stands der Technik“ in der IT-Sicherheit

Das Ziel dieser Handlungsanweisung ist es, das Top-Management dabei zu unterstützen, die IT-Sicherheit im Unternehmen auf den „Stand der Technik“ zu bringen. Dies sichert nicht nur die Einhaltung gesetzlicher Vorgaben, wie des IT-Sicherheitsgesetzes (ITSiG) und der EU-Datenschutzgrundverordnung (DSGVO), sondern schützt auch die betrieblichen Werte und fördert die Widerstandsfähigkeit gegen Cyberrisiken.


1. Strategie und Zielsetzung definieren

  • Klare Sicherheitsziele festlegen:

    • Definieren Sie als oberste Priorität die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der Daten als unternehmenskritische Werte. Dabei sind auch konkrete Zahlen festzulegen wie etwa Maximal Tolerierbare Ausfallzeit (MTA) bzw. Recovery Time Objectives (RTO – wie schnell muss die Wiederherstellung gehen?) sowie Maximal Tolerierbarer Datenverlust (MTD) bzw. Recovery Point Objectives (RPO – wie oft wird gesichert?).
    • Dabei müssen die Anforderungen von Business-Seite beachtet werden und Über-Ambition, die zu höherer Komplexität und Kosten führt (etwa wg. redundantem Betrieb mit Konsistenzsicherung) vermieden werden.
  • Verantwortlichkeiten benennen:

    • Benennen Sie einen Chief Information Security Officer (CISO), einen Informationssicherheitsbeauftragen (ISB) oder Information Security Officer (ISO) oder eine vergleichbare Rolle, um IT-Sicherheitsmaßnahmen strategisch zu steuern.
    • Statten Sie die Rollen mit ausreichenden Ressourcen, Kenntnissen und auch Informations- und Mitsprache-Rechten aus und sorgen Sie für kontinuierliche Entwicklung, etwa durch regelmäßige JourFixes, z.B. quartalsweise.
  • Ressourcen bereitstellen:

    • Stellen Sie ausreichendes Budget und qualifiziertes Personal für die IT-Sicherheit zur Verfügung.
      Dies gilt sowohl für die Investition in Systeme (Hard- wie Software) wie auch Know-How durch Externe, weil gerade in KMUs nicht alles Wissen intern  aufgebaut und vorgehalten werden kann – dazu sind die Systeme viel zu komplex.

Unterschied zwischen der Definition vom  „Stand der Technik“ und der Risikoanalyse für Cyberrisiken

1. Definition des „Stands der Technik“

Der „Stand der Technik“ beschreibt den aktuellen Entwicklungsstand von Technologien, Prozessen und Methoden, die nachweislich effektiv sind und von der Fachwelt als angemessen betrachtet werden, um IT-Sicherheitsrisiken zu minimieren.

Ziele der Definition des Stands der Technik:

  • Umsetzung bewährter, allgemein anerkannter Sicherheitsstandards und Best Practices.
  • Sicherstellung, dass die implementierten Maßnahmen dem aktuellen technologischen Niveau entsprechen.
  • Erfüllung gesetzlicher Anforderungen (z. B. ITSiG, DSGVO).

Beispiele für den Stand der Technik:

  • Einsatz von Verschlüsselungsstandards wie AES-256 für Datenverschlüsselung.
  • Implementierung eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO/IEC 27001.
  • Verwendung aktueller Anti-Malware-Lösungen und regelmäßiger Patches.

Die Definition des „Stands der Technik“ ist normativ und beschreibt, was objektiv erforderlich ist, um ein angemessenes Sicherheitsniveau zu gewährleisten. Hier steht die Einhaltung bewährter Verfahren im Vordergrund.


Risikoanalyse für Cyberrisiken

Die Risikoanalyse ist ein proaktiver, individuell auf das Unternehmen zugeschnittener Prozess zur Identifizierung, Bewertung und Behandlung von Bedrohungen und Schwachstellen.

Ziele:

  • Verständnis der spezifischen Risiken für das Unternehmen.
  • Priorisierung von Maßnahmen basierend auf der Wahrscheinlichkeit und den potenziellen Auswirkungen von Bedrohungen.
  • Entwicklung eines Maßnahmenplans, der auf die spezifische Risikolandschaft des Unternehmens abgestimmt ist.

Schritte der Risikoanalyse:

  1. Identifikation: Erfassen aller potenziellen Cyberrisiken (z. B. Phishing, Ransomware, Insider-Bedrohungen).
  2. Bewertung: Analyse der Wahrscheinlichkeit und der Auswirkungen von Risiken auf Geschäftsfunktionen und -werte.
  3. Maßnahmenplanung: Entwicklung und Priorisierung von Gegenmaßnahmen, die spezifisch auf die Risiken zugeschnitten sind.
  4. Überwachung: Regelmäßige Überprüfung und Anpassung der Analyse an neue Bedrohungen.

Die Risikoanalyse ist dynamisch und flexibel, da sie auf die jeweilige Unternehmenssituation eingeht und spezifische Bedrohungen berücksichtigt, die über den generellen „Stand der Technik“ hinausgehen.


Vergleich: „Stand der Technik“ vs. Risikoanalyse

Kriterium Stand der Technik Risikoanalyse
Ausrichtung Normativ: Allgemeine Standards und Best Practices. Individuell: Spezifische Bedrohungen und Schwächen.
Anwendung Branchenübergreifend; definiert objektive Mindestanforderungen. Maßgeschneidert auf die Risiken des Unternehmens.
Ziel Sicherstellung eines anerkannten Sicherheitsniveaus. Minimierung spezifischer Risiken durch gezielte Maßnahmen.
Beispiele ISO 27001, Verschlüsselungsstandards, Firewalls. Phishing-Schutz für bestimmte Mitarbeitende, Schutz vor branchenspezifischen Bedrohungen.
Flexibilität Statisch: Aktualisierung durch neue Technologien/Standards. Dynamisch: Regelmäßige Anpassung an neue Bedrohungen.

Technische Maßnahmen priorisieren

Das Management sollte darauf hinwirken, dass die IT-Abteilung folgende Maßnahmen systematisch umsetzt:

2.1 Authentifizierungsmaßnahmen

  • Einführung von Multi-Faktor-Authentifizierung (MFA) in allen kritischen Systemen.
  • Durchsetzung von Passwort-Richtlinien mit starken Anforderungen, wie regelmäßige Updates und Mindestkomplexität.

2.2 Verschlüsselung

  • Datenverschlüsselung für Daten im Ruhezustand und bei der Übertragung (z. B. E-Mails, Cloud-Daten).
  • Implementierung von End-to-End-Verschlüsselung bei der Kommunikation sensibler Daten.

2.3 Netzwerksicherheit

  • Segmentierung des Netzwerks, um Angriffsflächen zu reduzieren.
  • Einrichtung von Virtual Private Networks (VPNs) für den sicheren Zugriff auf Unternehmenssysteme.
  • Regelmäßige Überprüfung der Firewall- und Endpoint-Sicherheitsrichtlinien.

2.4 Schutz von Endgeräten und Systemen

  • Einführung von Endpoint Detection and Response (EDR)-Systemen zur frühzeitigen Erkennung und Abwehr von Bedrohungen.
  • Patch-Management-Prozesse sicherstellen, um alle Systeme auf dem neuesten Stand zu halten.

3. Organisatorische Maßnahmen fördern

Neben den technischen Aspekten ist die Etablierung robuster organisatorischer Strukturen entscheidend.

3.1 Informationssicherheitsmanagement

  • Implementieren Sie ein Informationssicherheitsmanagementsystem (ISMS), z. B. nach ISO/IEC 27001.
  • Stellen Sie sicher, dass Sicherheitsrichtlinien schriftlich dokumentiert, regelmäßig überprüft und aktualisiert werden.

3.2 Sensibilisierung der Mitarbeitenden

  • Starten Sie regelmäßige Schulungen zur Sensibilisierung für IT-Sicherheitsrisiken, wie Phishing-Angriffe und Social Engineering.
  • Kommunizieren Sie klar die Verantwortlichkeiten der Mitarbeitenden im Umgang mit IT-Systemen.

3.3 Risikomanagement

  • Risikobewertung durchführen: Identifizieren und bewerten Sie regelmäßig Bedrohungen und Schwachstellen.
  • Erstellen Sie einen Maßnahmenkatalog zur Behandlung der ermittelten Risiken.

4. Zusammenarbeit mit externen Partnern steuern

  • Dienstleister prüfen: Stellen Sie sicher, dass alle IT-Dienstleister Sicherheitsanforderungen erfüllen, z. B. durch Vertragsklauseln und regelmäßige Audits.
  • Monitoring etablieren: Überwachen Sie kontinuierlich die Einhaltung der Sicherheitsstandards durch externe Partner.

5. Kontrolle und kontinuierliche Verbesserung

  • Regelmäßige Audits: Lassen Sie IT-Sicherheitsmaßnahmen regelmäßig von internen oder externen Auditoren prüfen.
  • Messung der Wirksamkeit: Setzen Sie KPIs (Key Performance Indicators), um die Wirksamkeit der Sicherheitsmaßnahmen zu überwachen.
  • Berichtswesen: Fordern Sie regelmäßig Berichte über den Status der IT-Sicherheit, um fundierte Entscheidungen zu treffen.

6. Umgang mit Vorfällen

  • Notfallpläne entwickeln: Stellen Sie sicher, dass ein Incident-Response-Plan vorhanden ist, um bei IT-Sicherheitsvorfällen schnell und effektiv zu reagieren.
  • Übungen durchführen: Testen Sie regelmäßig die Reaktionsfähigkeit auf Sicherheitsvorfälle, wie Cyberangriffe oder Datenlecks.

7. Gesetzliche Anforderungen und Haftungsrisiken minimieren

  • Rechtskonformität sicherstellen: Beauftragen Sie die Rechtsabteilung oder externe Berater, um sicherzustellen, dass alle gesetzlichen Vorgaben, insbesondere DSGVO und ITSiG, eingehalten werden.
  • Dokumentation: Halten Sie alle Maßnahmen und Entscheidungen schriftlich fest, um im Ernstfall eine Nachweisführung zu gewährleisten.

Empfehlung für das Top-Management für „Stand der Technik“ und Risikoanalyse

Das Top-Management muss sowohl den „Stand der Technik“ als auch die Ergebnisse der Risikoanalyse in die strategische Planung einbeziehen.

  1. Stand der Technik als Basis:
    Stellen Sie sicher, dass die im Unternehmen umgesetzten Sicherheitsmaßnahmen den aktuellen Standards und gesetzlichen Vorgaben entsprechen.
  2. Risikoanalyse zur Priorisierung:
    Ergänzen Sie die allgemeinen Maßnahmen durch eine auf das Unternehmen abgestimmte Risikoanalyse, um branchenspezifische und individuelle Bedrohungen gezielt zu adressieren.
  3. Kombination beider Ansätze:
    Nutzen Sie die Risikoanalyse, um Lücken im „Stand der Technik“ aufzudecken und gezielte Verbesserungen vorzunehmen.

Dieser kombinierte Ansatz gewährleistet ein hohes Sicherheitsniveau und schützt das Unternehmen sowohl vor allgemeinen als auch vor spezifischen Risiken. Die Umsetzung dieser Schritte durch das Top-Management schützt das Unternehmen nicht nur vor Cyber-Risiken, sondern positioniert es auch als vertrauenswürdigen Partner für Kunden und Geschäftspartner. IT-Sicherheit ist kein IT-spezifisches Thema, sondern eine strategische Verantwortung der gesamten Unternehmensführung.


Mehr zum Stand der Technik unter in einer interessanten Analyse von Teletrust

Über den Autor:

Bild von Ralf Becker

Ralf Becker

Geschäftsführer & Datenschutz- / Informationssicherheitsbeauftragter

Ralf Becker begann seine berufliche Laufbahn bei einer Strategie-Beratung, war in unterschiedlichen leiten-den Positionen im Telekom-Konzern tätig, bevor es ihn 2007 wieder in die Beratung zog. Seit 2009 ist er Geschäftsführer der daschug GmbH. Sowohl als zertifizierter Datenschutzbeauftrag-ter wie auch als externer Informationssicherheitsbeauftragter ist er seit mehr als 15 Jahren im Bereich IT-Compliance aktiv. Von ihm und seinem Team werden eine Reihe deutscher mittel-ständischer Unternehmen „hands-on“ betreut. Er verfügt über mehr als 10jährige Erfahrung mit ISO27001-Zertifizierung auch in kleinen Organisationen und dem Aufbau bzw. der Pflege von pragmatischen, tool-gestützten Informationssicherheits-Managementsystemen (ISMS) für KMUs.