Der Stand der Technik in der IT-Sicherheit – komplexe technische und rechtliche Anforderungen
Gretchenfrage
Gesetzliche Normen fordern von Unternehmen die Umsetzung von IT-Sicherheit „nach dem Stand der Technik“. Was das konkret bedeutet und wie der Stand der Technik zu ermitteln ist, bleibt allerdings offen.
Zur Erhöhung der IT-Sicherheit und des technischen Datenschutzes haben sowohl der europäische als auch der deutsche Gesetzgeber in jüngster Zeit eine Vielzahl neuer Regelungen erlassen. Prominenteste Vertreter sind dabei das IT-Sicherheitsgesetz (ITSiG) und die Datenschutzgrundverordnung (DSGVO). Das IT-Sicherheitsgesetz setzt die Unionsvorgaben der NIS-Richtlinie zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in deutsches Recht um. Die DSGVO wird am 25. Mai 2018 in Deutschland anwendbares Recht.
Die neuen Normen knüpfen die jeweils geforderten technischen und organisatorischen IT-Sicherheitsmaßnahmen an das Tatbestandsmerkmal „Stand der Technik“. Den Ingenieurwissenschaften entsprungen und vom Gesetzgeber häufig verwendet, stellt dieser Begriff Juristen und Techniker bei der IT-Sicherheit vor komplexe Aufgaben. Anders als etwa im technischen Umweltschutz gibt es hier weder gesetzliche Schwellenwerte noch einheitliche Messmethoden zur Feststellung des Grades von IT-Sicherheit. Eine gesetzliche Definition gibt es nicht. Es gilt also zu bestimmen, was der Stand der Technik umfasst, wie er zu ermitteln ist und inwieweit die betreffenden Maßnahmen auch im Einzelfall umzusetzen sind.
Der Stand der Technik beschreibt einen abgrenzbaren technologischen Entwicklungsstand. Einzuordnen ist er zwischen den allgemein anerkannten Regeln der Technik und dem Stand von Wissenschaft und Forschung. Erstere beschreiben bewährte Verfahren, die den Status quo abbilden, während Letzterer unabhängig von der praktischen Umsetzbarkeit die Spitze der technischen Entwicklung repräsentiert.
Status quo oder Spitze der technischen Entwicklung?
Im juristischen Kontext wurde die Beschreibung dieses Entwicklungsstandes bereits 1979 vom Bundesverfassungsgericht genutzt. In seiner Entscheidung zum sogenannten schnellen Brüter stellte das Gericht seinerzeit fest, dass die herrschende Meinung unter Technikern bestimme, worum es sich beim Stand der Technik handelt. Daran anschließend müssten Juristen die Meinungsstreitigkeiten der Techniker bewerten, um zu ermitteln, was technisch notwendig, geeignet, angemessen und vermeidbar sei.
Dabei vermischte das Gericht jedoch noch objektive und subjektive Elemente. Inzwischen wissen wir: Der Stand der Technik ist ausschließlich objektiv-technisch. Subjektive Einschränkungen an den Umsetzungsgrad in Form von Angemessenheitserwägungen werden inzwischen gesondert gesetzlich angelegt.
Die genannten Gesetze fordern bußgeldbewehrt von Unternehmen den Umgang mit dem Stand der Technik, definieren ihn jedoch nicht. Was meint der Gesetzgeber also, wenn er von Unternehmen die Umsetzung des Standes der Technik fordert?
Eine zu komplexe Definition für die Praxis
Der Gesetzesbegründung zur Regelung der Sicherheitsanforderungen an Betreiber kritischer Infrastrukturen lässt sich eine Definition entnehmen. Danach soll es sich beim Stand der Technik um den „Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen“ handeln, der „die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt“. Verständlich ist das nicht und einen Zugang zur Umsetzung bietet diese Beschreibung ebenfalls nicht. Rechtlich analysiert führt die Definition den Verpflichteten in eine überkomplexe, kaum realisierbare Umsetzung.
Diese Komplexität ist, neben den Kosten, häufig die Hauptursache dafür, dass die IT-Sicherheit auf dem Niveau der allgemein anerkannten Regeln der Technik einfriert, statt zu einer Erhöhung des Sicherheitsniveaus zu führen. Insofern bedarf es zunächst einer vereinfachten, allgemeinverbindlichen und handhabbaren Definition. Mein Vorschlag, den ich auf dem IT-Sicherheitskongress 2017 des Bundesamts für Sicherheit (BSI) in der Informationstechnik vorgestellt habe, ist dementsprechend kurz [1]:
Beim Stand der Technik handelt es sich um die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichung der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann.
Kurz gesagt: Es geht um die am Markt verfügbaren Bestleistungen von Maßnahmen zum Schutz der IT-Sicherheitsziele.
Ungeachtet der Definition benötigt die Praxis Leitlinien der zuständigen Behörden, insbesondere des BSI. Diese sollten unter anderem Maßgaben zur Marktreife, Praxiserprobung, den Angemessenheitskriterien und der Dokumentationstiefe enthalten. Einstweilen müssen die Unternehmen eigene Kriterien entwickeln, anhand derer sie die gesetzlichen Anforderungen an den Stand der Technik für Maßnahmen oder Maßnahmenbündel bestimmen. Man darf hoffen, dass die Anbieter von Leistungen mit IT-Sicherheitsbezug den Anwendern hier entsprechende Hilfestellungen geben.
Das Merkmal des Standes der Technik unterliegt in den gesetzlichen Regelungen subjektiven Einschränkungen. Die Gesetze beinhalten also keine blinden Muss-Klauseln, sondern sprechen von „soll eingehalten werden“ und „ist zu berücksichtigen“. Die Berücksichtigung wird durch eine wirtschaftliche Abwägung erweitert, die der Gesetzesadressat treffen kann. Es ist also möglich und auch erklärtes Ziel des Gesetzgebers, den objektiven Stand der Technik (subjektiv) zulässig zu unterschreiten. Diese Abwägung ist somit rechtlich und sollte nicht ohne Juristen vorgenommen und dokumentiert werden. Die Umsetzungsprojekte der Unternehmen erfordern dementsprechend von Beginn an eine Kooperation von Technikern und Juristen.
Zulässiges Unterschreiten des Stands der Technik
Die rechtliche Komplexität wird dadurch weiter erhöht, dass diverse Gesetze zur IT-Sicherheit parallel gelten und einzuhalten sind, ohne dass sie aufeinander abgestimmt wären: Ein mittelständischer Onlineshop-Betreiber beispielsweise hat künftig Art. 32 DSGVO zu beachten. Dieser verpflichtet dazu, die Sicherheit der Verarbeitung der personenbezogenen Daten durch technische und organisatorische Maßnahmen, die den Stand der Technik berücksichtigen, abzusichern. Daneben sieht der jüngst verabschiedete § 8c BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) vor, dass der Betreiber die IT seines Online-Marktplatzes nach dem Stand der Technik abzusichern hat. Nicht zuletzt muss die zugrunde liegende Website selbst gemäß § 13 Absatz 7 Telemediengesetz nach dem Stand der Technik unter anderem gegen die Kompromittierung der Systeme abgesichert sein.
Die neuen objektiven Anforderungen und subjektiven Möglichkeiten spielen jedoch bei Weitem nicht nur eine Rolle im Rahmen der Rechtskonformität und Compliance. Vielmehr ist im Rahmen des Vertragsmanagements zu überprüfen, welche Bestandsverträge und Mustervorlagen anzupassen sind. Das betrifft die Leistungsverträge wie auch die Verträge über die Auftragsdatenverarbeitung, technische Anlagen, Beschreibungen, Service Level Agreements und so weiter. Nicht zuletzt sind Werbeaussagen, Audit-, Haftungs- und Kostentragungsregeln zu hinterfragen.
Fazit
Unternehmen benötigen Methoden zur Ermittlung des objektiven Standes der Technik und zur subjektiven Umsetzung der Angemessenheitsfragen. Eine vereinfachte Definition liegt vor. Die zuständigen Aufsichtsbehörden müssen nun Farbe bekennen und den Unternehmen klar mitteilen, wie sie künftig die neuen Anforderungen prüfen werden. Appell an den Gesetzgeber: Es bedarf einer Konsolidierung der Anforderungen des technischen Datenschutzes und der IT-Sicherheit. Derzeit regeln zu viele Gesetze unnötig unterschiedlich denselben Gegenstand.
Unternehmen sind gut beraten, die Anforderungen zur IT-Sicherheit – eingeschlossen den technischen Datenschutz – vereinheitlicht umzusetzen. Dazu sind technische und rechtliche Prozesse und Methoden anzulegen, die einer gerichtlichen Überprüfung standhalten und dennoch praxistauglich sind. Insbesondere vor dem Hintergrund der umfangreichen Dokumentationspflichten und empfindlichen Bußgelder der ab Mai 2018 geltenden DSGVO sollten die Unternehmen rechtzeitig mit einer belastbaren Dokumentation beginnen. Vertraglich ist stets festzulegen, ob und welche Pflichten aus dem IT-Sicherheitsrecht an einen Vertragspartner weitergegeben werden. Dazu gehören Klauseln zur Methode, Dokumentation, Prüfung und zu den Rechtsfolgen. (odi)