TeleTrusT: Stand der Technik in der IT-Sicherheit
11. Mai 2023 09:04 Uhr | Dr. Ulrich Kampffmeyer | Permalink
Der TeleTrusT hat eine „Handreichung Stand der Technik in der IT-Sicherheit“ herausgegeben, die sich mit grundlegenden Themen zum IT-Sicherheitsgesetz (IT-SiG Version 2.0; KRITIS) und der DSGVO Datenschutzgrundverordnung beschäftigt. In dem im Mai 2023 veröffentlichten Dokument (https://bit.ly/3VRfTKP) werden auf 110 Seiten die wichtigsten Funktionen und Komponenten zur Erreichung einer Sicherheit der Informationstechnik wie auch der Einhaltung des Datenschutzes zusammengefasst. Grundlage waren unter anderem die Vorgaben des BSI Bundesamt für Sicherheit in der Informationstechnik (z.B. IT-Grundschutz), jedoch werden auch eine Reihe anderer Quellen und Ansichten berührt.
Das IT-SiG und die DSGVO fordern die Einhaltung oder mindestens die Berücksichtigung des „Standes der Technik“ von technischen und organisatorischen Maßnahmen. Aber weder IT-SiG noch DSGVO (ebenso Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) und die daraus resultierende Neufassung des BDSG (BDSG-neu)) besitzen Definitionen für „Stand der Technik“, der angesichts der rasanten technologischen Entwicklungen entscheidend für die Umsetzung der Vorgaben ist.
Angesichts der vielen Maßnahmen entsprechend aktuellem Stand der Technik Anfang 2023 erscheint Kapitel 1.5 „Angemessenheit“ besonders relevant ;). Nicht jede Organisation kann alles und in vollem Umfang umsetzen. Viele Maßnahmen zur IT-Sicherheit haben zu dem mit organisatorischen Maßgaben und der Rolle des Menschen als Bestandteil der Prozesse zu tun. Allein mit Technik lässt sich keine Sicherheit erreichen.
Während mit Sicherheit und Datenschutz zwei aktuelle Desiderate aller Organisationen angesprochen werden, fehlen Hinweise auf die Rollen von Analytics, Künstliche Intelligenz und Maschinenlernen. Diese verändern aktuell die Sicherheitsszene. Einerseits entstehen unterstützt durch Künstliche Intelligenz neue Bedrohungsszenarien im Bereich der Angriffe auf die IT. Andererseits unterstützen die gleichen Technologien im Verbund mit Analytics auch die Abwehr von Angriffen. Mittels künstlicher Intelligenz lassen sich vorhandene Datenbestände bei der Suche nach Datenschutz-relevanten Inhalten einfacher und vollständiger durchforsten als mit herkömmlichen Technologien. Hier ergeben sich sowohl neue Anwendungsfelder mit Sicherheits- und Schutzbedarf, als auch neue Funktionalität zur Unterstützung der Ziele von IT-Sicherheit und Datenschutz.
In jedem Fall ist die „Handreichung“ eine sehr nützliche und systematisch aufgebaute Übersicht über die aktuell sinnvollen und technisch möglichen Maßnahmen. Entscheidend für die Umsetzbarkeit und zukünftige Nutzbarkeit wird das „Change Management“, das regelmäßige Überprüfen und Ergänzen, der Handreichung sein.
Translated by Deepl.com
The TeleTrusT has published a „Handreichung Stand der Technik in der IT-Sicherheit“ (Manual „State of the Art in IT Security“), which deals with fundamental topics regarding the IT Security Act (IT-SiG Version 2.0; KRITIS) and the DSGVO Basic Data Protection Regulation. In the document published in May 2023 (https://bit.ly/3VRfTKP), the most important functions and components for achieving security of information technology as well as compliance with data protection are summarised on 110 pages. The basis was, among other things, the specifications of the BSI Federal Office for Information Security (e.g. IT-Grundschutz), but a number of other sources and views are also touched upon.
The IT-SiG and the DSGVO require compliance with or at least consideration of the „state of the art“ of technical and organisational measures. But neither IT-SiG nor DSGVO (as well as the Data Protection Amendment and Implementation Act EU (DSAnpUG-EU) and the resulting new version of the BDSG (BDSG-neu)) have definitions for „state of the art“, which is crucial for the implementation of the requirements in view of the rapid technological developments.
In view of the many measures according to the current state of the art at the beginning of 2023, Chapter 1.5 „Adequacy“ seems particularly relevant ;). Not every organisation can implement everything and to the full extent. Many IT security measures have to do with organisational requirements and the role of people as part of the processes. Security cannot be achieved with technology alone.
While security and data protection are two current desiderata of all organisations, there are no references to the roles of analytics, artificial intelligence and machine learning. These are currently changing the security scene. On the one hand, supported by artificial intelligence, new threat scenarios are emerging in the area of attacks on IT. On the other hand, the same technologies in combination with analytics also support the defence against attacks. Artificial intelligence makes it easier and more complete to search through existing databases for data protection-relevant content than with conventional technologies. This results in new fields of application with a need for security and protection, as well as new functionality to support the goals of IT security and data protection.
In any case, the manual is a very useful and systematically structured overview of the currently sensible and technically possible measures. Decisive for the implementability and future usability will be the „change management“, the regular review and supplementation of the handbook.
