„Stand der Technik“ — ein vielschichtiges Konzept

Richard Werner, Business Consultant bei Trend Micro

IT-Sicherheitsmaßnahmen die „State of the Art“ sind, zu deutsch „Stand der Technik“, fordert die europäische Datenschutz-Grundverordnung (DSGVO) von Unternehmen, wenn es um den künftigen Schutz von persönlichen Daten geht. Der Gesetzgeber definiert diesen Begriff nicht näher, und die Verwirrung bei der Interpretation von „Stand der Technik“ durch die Verantwortlichen im Unternehmen ist groß. Das zeigt auch eine repräsentative Studie von Trend Micro: Gut ein Viertel der Unternehmen in Deutschland verstehen darunter Lösungen von etablierten Marktführern, 16 % vertrauen auf die diesbezügliche Bewertung unabhängiger Testinstitute bzw. 18 % auf Reports von Analysten, jedes fünfte Unternehmen aber setzt auf Startups mit innovativen Technologien. Was meint nun die Verordnung tatsächlich mit dem Begriff “Stand der Technik”?

Die DSGVO definiert den Begriff mit Absicht nicht genauer. Eine präzisere Festlegung würde eher schaden als nützen, denn die Verordnung ist längerfristig ausgelegt, und die Entwicklung in der IT speziell im Sicherheitsbereich ist sehr schnelllebig.

Es hat sich gezeigt, dass etwa alle zwei bis drei Jahre eine neue Technologie auf den Markt kommt, die (angeblich) wirkungsvoller ist, als jede vorangegangene. Beispielsweise trat vor vier Jahren Sandboxing mit diesem Anspruch an, und 2016 waren es die Machine Learning-Methoden, die alle Probleme lösen sollten. Nun bleiben aber Cyberkriminelle auch nicht untätig, und es dauert in der Regel nicht lang, bis sie Gegenmittel entwickelt haben, so dass die Wirksamkeit der entsprechenden Schutzmaßnahme abnimmt. So besaßen 2016 viele Ransomware-Varianten bereits so genannte Evasion-Technologien, um Sandboxen zu erkennen und zu vermeiden. Deshalb liegt es in der Verantwortung der Unternehmen, die für ihre Sicherheit wirksamsten Sicherheitsfähigkeiten zu suchen und einzusetzen.

Des Weiteren müssen Organisationen auch aufgrund des jeweils vorhandenen Risiko-Level entscheiden, welche Technologien für den Schutz der Assets geeignet sind. Das heißt, die IT-Sicherheitsbedürfnisse sind individuell in jedem Unternehmen unterschiedlich geartet – was für eine Organisation ausreicht, ist für eine andere zu komplex oder gar irrelevant. Auch die Größe der Firma spielt eine Rolle, denn manche Maßnahmen erfordern mehr Ressourcen als andere.

Sicherheit muss mehrschichtig sein

Zwei Erkenntnisse vorweg, die hinter jeder Strategie zu einer „State-of-the-Art“-Sicherheit stehen sollten: 100%-igen Schutz gibt es nicht, und das erkennt auch der Gesetzgeber an. Darüber hinaus, kann keine einzelne Technologie, wie fortschrittlich sie auch sein mag, personenbezogenen Daten im Unternehmen gleichermaßen vor Malware, Exploits, Phishing, Ransomware, internem Datenverlust usw. Schutz bieten.

Entscheidend ist also, den Schutz, die Erkennung und Abwendungsmaßnahmen umfassend zu gestalten und für die gesamte Infrastruktur zu bieten, von Endgeräten bis zu Netzwerken und der hybriden Cloud. Sicherheit muss auf verschiedenen Ebenen angegangen werden, wobei zum Schutz der Daten an deren Speicherort mehrere, — traditionelle wie neue — Sicherheitstechniken gleichzeitig angewendet werden. Nur so lässt sich jedem Angriff grundsätzlich mit den wirksamsten Schutzmethoden und letztendlich nach „State of the Art“ begegnen. Durch automatisches Teilen der neuesten Informationen über eine Bedrohung in der gesamten Sicherheits-Infrastruktur können moderne Lösungen erweiterten Schutz auch vor unbekannten und komplexen Angriffen bieten.

Kommt ein Angriff dennoch an der Verteidigung vorbei, so bedeutet Stand der Technik auch, einen Plan für die Reaktion darauf zu haben. Wie erkennt man eine Attacke möglichst schnell? Was hat der Angreifer im System getan? Gibt es einen Datenverlust? Ist der Angreifer noch da und vor allem wo? Wie lässt er sich aus dem Netzwerk vertreiben? Externe Forensiker mit der Beantwortung dieser Fragen zu beauftragen, ist bei den kurzen von 72 Stunden nicht mehr Stand der Technik. Schnelle, moderne Lösungen müssen die Analyse übernehmen und vollständige Transparenz für die gesamte Infrastruktur und über die gesamte Dauer des Angriffs bieten.

Schließlich gehört noch Schadensminderung zu einer zeitgemäßen IT-Sicherheit. Unternehmen müssen automatisch Angriffsvektoren unterbinden können, Bedrohungsinformationen auf allen Infrastrukturebenen verteilen und proaktiv Schwachstellen in allen Bereichen schützen, in denen personenbezogene Daten im Sinne der DSGVO vorhanden sind.

Hierbei können beispielsweise Empfehlungen von Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der European Union Agency for Network and Information Security (ENISA) hilfreich sein. Wichtig ist vor allem, dass Unternehmen eine Strategie entwickeln, wie der ‚Stand der Technik‘ erreicht und stetig gehalten werden kann. IT-Sicherheit ist keine Aufgabe, die einfach abgeschlossen werden kann, sondern ein Prozess, der auch über den 25. Mai 2018 hinaus betrieben werden muss.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*