- Anzeigen -

Sie sind hier: Home » Markt » Hinweise & Tipps

"Stand der Technik": Nicht definiert im Gesetz


KRITIS: Compliance schaffen mit betreibersicheren Infrastrukturen
Die Formulierung "Stand der Technik" ist deshalb gewählt, weil sich die IT-Sicherheitstechnik stets und schnell weiterentwickelt

- Anzeigen -





Was ist das eigentlich: der "Stand der Technik"? Wer in Deutschland so genannte "Kritische Infrastrukturen" betreibt, ist nach dem IT-Sicherheitsgesetz und dem BSI-Gesetz dazu verpflichtet, IT-Systeme, -Prozesse und -Komponenten angemessen zu schützen. [1] Unter "Kritischen Infrastrukturen" versteht man Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall dramatische Folgen hätte. Wer als KRITIS-Betreiber gilt, ist wiederum in der KRITIS-Verordnung geregelt. [2]

Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und erhalten dafür alle sie betreffenden Informationen zu Gefahren in der IT-Sicherheit, um entsprechende "technische und organisatorische Maßnahmen" treffen zu können (BSI-Gesetz §8 a). Hierbei soll, so fordert es der Gesetzgeber, "der Stand der Technik" eingehalten werden. [3]

Genau definiert ist dieser "Stand der Technik" im Gesetz allerdings nicht. Das macht es KRITIS-Betreibern nicht gerade leichter, ihren Verpflichtungen nachzukommen.

Im "Stand der Technik" ist die technische Entwicklung schon mitgedacht
Dabei muss man wissen: Die Formulierung "Stand der Technik" ist deshalb gewählt, weil sich die IT-Sicherheitstechnik stets und schnell weiterentwickelt – und dem müssen die KRITIS-Betreiber kontinuierlich Rechnung tragen.

Wann aber ist nun beispielsweise eine Cloud-Infrastruktur auf dem "Stand der Technik"? IT-Sicherheitsexperte Dr. Hubert Jäger, CTO der TÜV SÜD-Tochter Uniscon, erklärt: "Anders als beispielsweise im Patentrecht ist der ‚Stand der Technik‘ in der IT-Sicherheit und im Datenschutz nicht mit dem fortschrittlichsten ‚Stand der Wissenschaft und Technik‘ identisch, insgesamt aber fortschrittlicher zu bewerten als die so genannten ‚Anerkannten Regeln der Technik‘."

"Eine IT-Infrastruktur muss also, um auch den Anforderungen von IT-Sicherheitsgesetz bzw. BSI-Gesetz zu genügen, nicht nur den bewährten und allgemein anerkannten Sicherheitsregeln entsprechen. Sie sollte außerdem mindestens dasselbe Sicherheitsniveau einhalten wie fortschrittliche Verfahren, die in der Praxis erfolgreich erprobt und von führenden Fachleuten anerkannt sind."

KRITIS-Betreiber müssen "regelmäßig nachweisen, dass ihre Systeme entsprechend geschützt sind", betont Jürgen Bruder, Mitglied der Geschäftsleitung von TÜV Hessen. Das gelte natürlich auch für die Dienstleister, die sie beauftragen. Bruder: "Gerade im Back-End, das näher am System liegt, dort also, wo über den Server Daten verarbeitet werden."

Betreibersicherheit setzt den Stand der Technik
Betreibersichere Infrastrukturen wie die Versiegelte Cloud der Telekom, ucloud von regio iT oder die Sealed Platform von Uniscon erfüllen diese Ansprüche für die KRITIS-Betreiber. Durch einen Satz rein technischer Maßnahmen sind Daten und Anwendungen hier zuverlässig gegen Angriffe von außen und innen geschützt. Auch der Betreiber der Infrastruktur und Administratoren sind vom Zugriff auf gespeicherte, übertragene oder verarbeitete Daten ausgeschlossen.

"Lösungen wie diese bieten ein Sicherheitsniveau, das höher als das vergleichbarer Cloud-Plattform-Produkte am Markt ist. Betreibersichere Infrastrukturen sind seit mehreren Jahren im gewerblichen Umfeld im Einsatz – unter anderem in Kliniken, Kanzleien und Banken", sagt Jäger. "Darüber hinaus sind sie von führenden Fachleuten anerkannt sowie zertifiziert und bilden mittlerweile die Basis für digitale Geschäftsmodelle, die ohne das hohe Sicherheitsniveau nicht denkbar wären."

[1] https://blog.tuev-hessen.de/447/beitraege/543kritische-infrastrukturen-angemessen-schuetzen/
[2] https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html
[3] https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html
(Uniscon, TÜV SÜD Gruppe: ra)

eingetragen: 09.03.19
Newsletterlauf: 01.04.19

TÜV Süd: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Erfordernis einer digitalen Due Diligence

    Fusionen und Übernahmen (Mergers & Acquisitions, M&As) bieten Unternehmen bedeutende Möglichkeiten, ein schnelles Wachstum zu erzielen oder Wettbewerbsvorteile zu erlangen. Diese reichen von der Bündelung von Ressourcen über die Diversifizierung des Produkt- und Dienstleistungsportfolios, die Erschließung neuer Märkte bis hin zum Erwerb neuer Technologien oder Fachkenntnisse. Mit dem Verlauf der Pandemiekrise wird voraussichtlich in Branchen weltweit Bewegung durch Fusionen und Übernahmen kommen. Dabei kommt dem Digitalisierungsgrad von Unternehmen eine immer höhere Bedeutung zu. Welche Rolle dabei die Datensicherheit spielt und wie sich diese im Vorfeld prüfen lässt, wird im nachfolgenden Artikel erläutert.

  • Einsatz von KI-Anwendungen

    NTT identifiziert die vier wichtigsten Herausforderungen bei Konzeption und Einsatz von KI-Anwendungen im Unternehmen. Der Siegeszug Künstlicher Intelligenz spielt beim jüngst ausgelösten Digitialisierungsschub eine herausragende Rolle, schließlich erobert KI ständig neue Anwendungsfelder und findet sich so immer häufiger im praktischen Einsatz. Die Security-Verantwortlichen in Unternehmen stellt diese Entwicklung jedoch vor komplexe, neue Herausforderungen, denn sie müssen sicherstellen, dass KI-Lösungen jederzeit sowohl die Konformität zu Compliance-, als auch Datenschutzvorgaben erfüllen. NTT Ltd. hat die wichtigsten Aktionsfelder dafür identifiziert.

  • Für welche Unternehmen gilt die XRechnungspflicht?

    Zulieferer öffentlicher Behörden auf Bundesebene sowie in Bremen müssen ihre Rechnungen ab 27. November 2020 elektronisch ausstellen: PDF-Dokumente ohne strukturierte Zusatzinformationen gelten dann nicht mehr als elektronische Rechnung. Unternehmen, welche diese Verpflichtung unmittelbar betrifft, haben bereits vorgesorgt oder rüsten jetzt ihr Unternehmen rechtssicher - mit der XRechnung. Um die Kriterien zu erfüllen müssen E-Rechnungen zwingend als strukturierter Datensatz ausgetauscht und ausgelesen werden können. Dazu wird hierzulande das Format XRechnung als Standard etabliert - die XRechnung ist ein XML-basiertes semantisches Datenmodell, mit dem Deutschland die Vorgaben des Europäischen Komitees für Normung (CEN) für die in einer elektronischen Rechnung enthaltenen Daten realisiert. Von Seiten des Bundes wurden bereits mit Stichtag 18. April die Weichen für die Umstellung auf die digitale Rechnung gestellt.

  • Die E-Rechnung in Wirtschaft und Verwaltung

    Die öffentliche Verwaltung treibt den Abschied vom Papier voran: Ab dem 27. November 2020 wird die elektronische Rechnungsstellung und -übermittlung für alle Unternehmer, die im Auftrag des Bundes tätig werden, Pflicht. Länder und Kommunen müssen bereits seit April elektronische Rechnungen annehmen. Für viele Unternehmen ist diese Umstellung eine Herausforderung, immerhin erstellt derzeit noch ein Drittel Rechnungen überwiegend oder sogar ausschließlich in Papierform (33 Prozent). Der Digitalverband Bitkom hat jetzt eine neue Version des Faktenpapiers "10 Merksätze für elektronische Rechnungen" veröffentlicht, das kleinen, mittleren und großen Betrieben bei der Umstellung auf die E-Rechnung hilft. Denn diese muss in einem bestimmten strukturierten Format erstellt werden und eine automatische Verarbeitung ermöglichen - es handelt sich also nicht um eine elektronisch versendete Rechnung, die etwa als PDF an eine Mail angehängt wird.

  • Einrichtung eines Überwachungssystems

    Die Frage, wie das Überwachungssystem eines Unternehmens und das Zusammenspiel der einzelnen Unternehmensfunktionen ausgestaltet werden, lässt der Gesetzgeber weitestgehend unbeantwortet. Interne Revision und Risikomanagement sind wichtige Funktionen der Unternehmensführung und insbesondere des Überwachungssystems. Die Frage des Zusammenwirkens dieser beiden wichtigen Unternehmensfunktionen ist nun Thema einer neuen Stellungnahme von DIIR - Deutsches Institut für Interne Revision e.V. und RMA Risk Management & Rating Association e.V.