Klärungsversuch: zum Begriff des "Stands der Technik" in der IT-Sicherheit

Das IT-Sicherheitsgesetz (ITSiG) stellt darauf ab, in der nächstes Jahr im Mai in Kraft tretenden Datenschutzgrundverordnung (DSGVO) ist davon die Rede, ebenso in europäischen Vorschriften: der "Stand der Technik". Wer seine Infrastruktur nicht danach ausrichtet, hat schlechte Karten.

Doch leider lässt sich dieser Stand, anders als etwa im Umweltschutz der Schadstoffausstoß eines Motors, nicht messen. So gibt es weder gesetzliche Schwellenwerte noch einheitliche Messmethoden zur Feststellung des Grades von IT-Sicherheit, folgerichtig auch keine gesetzliche Definition.

Dennoch fordern die eingangs genannten Gesetze von Unternehmen den Umgang mit dem Stand der Technik, und zwar unter Androhung von Bußgeldern. Was meint der Gesetzgeber also, wenn er von Unternehmen die Umsetzung des Standes der Technik fordert?

Karsten U. Bartels, Rechtsanwalt und Vorstandsmitglied des Bundesverbandes IT-Sicherheit e. V. – TeleTrusT, der auf dieses Thema bereits auf dem IT-Sicherheitskongress des BSI hinwies, kritisiert in der aktuellen iX den Begriff. Dessen Erläuterung etwa in der Gesetzesbegründung zur Regelung der Sicherheitsanforderungen an Betreiber kritischer Infrastrukturen sei zu schwammig und komplexitätsfördernd. Darum bringt Bartels eine eigene Definition ins Spiel:

Der Markt als Maßstab

Man solle sich am Markt orientieren. Beim Stand der Technik handelt es sich dann um die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung das Erreichen der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann. Anders gesagt: Es geht um die am Markt verfügbaren Bestleistungen von Maßnahmen zum Schutz der IT-Sicherheitsziele.

Welche Weiterungen dies für Institutionen wie das BSI, die Anwender und Hersteller sowie die vertraglichen Beziehungen zwischen diesen hat, erörtert Bartels in der IT-Rechts-Rubrik der aktuellen iX 7/2017.

(js)