„Gib mir 4“: Interview mit Gerald Spyra und Wiegand Liesegang zu IT-Sicherheit und dem „Stand der Technik“
Bereits seit Längerem sind beinahe alle Menschen „online“. Die dabei verwendeten Geräte, insbesondere PCs wie Laptops, nutzen wir typischerweise auch zum Bearbeiten und Speichern vertraulicher, vielleicht sogar geheimer, Daten. Dass Virenscanner und selbst neueste verfügbare Software inkl. aller Patches in vernetzten Büroumgebungen keinen verlässlichen Schutz vor Angriffen bieten, ist mittlerweile klar geworden. Und zu der Gefahr von Angriffen auf die Technik selbst gesellt sich leider das Risiko eigenen Fehlverhaltens, etwa wenn jemand einen unverschlüsselten Datenträger verliert, eine vertrauliche Nachricht an den falschen Empfänger sendet oder einem Social-Engineering-Angriff erliegt.
Wenn es dann zu einem Schaden kommt, etwa dem Abgriff vertraulicher Daten oder dem Abfluss von Geld, liegen zwei Fragen nahe: war es vermeidbar und wer ist für die Folgen verantwortlich. Um möglichen Antworten auf diese Fragen sowie auf die zentrale Frage nach dem jeweils notwendigen „Maß“ an IT-Sicherheit näher zu kommen, habe ich mit dem Rechtsanwalt Gerald Spyra und dem öffentlich bestellten und vereidigten Sachverständigen Wiegand Liesegang gesprochen.
Martin: Welches Maß an IT-Sicherheit muss wer eigentlich erreichen?
Gerald: Diese Frage ist sehr spannend und weitaus komplexer als man dieses zunächst annehmen würde.
Denn zunächst gilt sich darüber klar zu werden, was IT-Sicherheit eigentlich bedeuten soll und wie sich „IT-Sicherheit“ von den übrigen, diesbezüglich oftmals synonym verwendeten Begrifflichkeiten wie Informationssicherheit, Datenschutz, Datensicherheit, Cybersicherheit, Sicherheit bei Produkten wie bspw. Medizinprodukten, usw. unterscheidet. Um es kurz zu machen: Es ist m.A. nach oftmals müßig und nicht zielführend zwischen diesen Begrifflichkeiten streng unterscheiden zu wollen. Vielmehr sollte man heutzutage alles als „Schutz von Daten“ bzw. „Schutz der störungsfreien Datenverarbeitung“ bezeichnen, denn darum geht es mehr oder weniger immer.
Darüber hinaus sollte man sich ferner die Frage beantworten, was man mit den Begriffen „IT-Sicherheit“ bzw. den vorstehend genannten Begrifflichkeiten eigentlich meint bzw. welche Bereiche / Aspekte diese erfassen sollen. So ist häufig zu beobachten, dass man diese Begriffe nur technisch verstehen und damit nur die technischen Aspekte beleuchten will (keine gute Idee). Untrennbar mit den technischen hängen nämlich immer auch die organisatorischen Aspekte zusammen, die man zusätzlich bzw. gemeinsam mit den technischen beleuchten muss. Doch auch diese beiden Bereiche sind m.A. nach für die Erfüllung einer „modernen IT-Sicherheit“ nicht ausreichend. Vielmehr sollte man zumindest immer die einschlägigen rechtlichen, technischen, organisatorischen sowie ökonomischen Aspekte berücksichtigen. Zusätzlich empfiehlt es sich vermehrt, auch die psychologischen Aspekte mit einzubeziehen (Stichwort: „Gefahren durch Social Enginieering“), was dieses Thema jedoch immer komplexer und somit schwerer greifbarer werden lässt.
Die rechtlichen „Sicherheits-Implikationen“ lassen sich m.A. nach an den datenschutzrechtlichen Anforderungen mehr oder weniger konkret ablesen. Da ein Verstoß gegen die „Sicherheit“ bzw. gegen den Datenschutz mit hohen Bußgeldern einhergehen kann, die nun auch zunehmend verhängt werden (siehe z. B. Beispiel 1&1 Bußgeld i.H.v. rund 10 Mio € wegen eines unzureichenden Rollen- und Berechtigungskonzepts) sollte die Erfüllung der EU-Datenschutzgrundverordnung (DSGVO) die maßgebliche „Motivation“ zur Umsetzung von adäquater Sicherheit (Rechtskonformität) für ein Unternehmen sein.
Bei der IT-Sicherheit, dem „Datenschutz“ usw., muss man sich ferner immer auch fragen, wer eigentlich, wofür verantwortlich ist. So ist es bspw. gerade bei modernen (smarten) „Cloud-Lösungen“ ein ganz heißes Eisen zu bestimmen, wer eigentlich (in der Realität) für die Gewährleistung der „Sicherheit“ verantwortlich sein soll und in wie fern der eigentlich datenschutzrechtliche „Verantwortliche“, wie z. B. ein Unternehmen, das diese Lösung einsetzt, überhaupt Einfluss auf die Sicherheit solcher Lösungen nehmen kann. Denn oftmals ist es bei diesen Lösungen so, dass der „Verantwortliche“ mehr oder weniger komplett „abhängig“ vom Anbieter dieser Lösungen ist, was wiederum die Frage der Verantwortlichkeit in ein anderes Licht rückt.
Ferner kommt hinzu, dass es, wie z. B. auch aus der DSGVO deutlich wird, niemals ein „starres“ Maß an Sicherheit geben kann. Vielmehr ist es essenziell, dass immer eine adäquate Sicherheit entsprechend des mit der Datenverarbeitung einhergehenden Risikos vom Verantwortlichen gewährleistet wird. Wer Verantwortlicher und was ein adäquates Sicherheitsniveau ist, lässt sich jedoch immer nur im konkreten Einzelfall bestimmen.
Das wiederum hat in der Praxis zur Konsequenz, dass sich die Maßnahmen, die für eine adäquate, ausreichende „Sicherheit“ ergriffen werden müssen, von Unternehmen zu Unternehmen massiv unterscheiden können. Eine „one-size-fit-all“-Lösung kann es daher bei der IT-Sicherheit, dem Datenschutz, etc. nicht geben!
Damit erklärt sich auch, dass die DSGVO keine starren Vorgaben zur Gewährleistung von „Sicherheit“ gibt, sondern vielmehr einen risikoorientierten Ansatz verfolgt. Dadurch ist jedes Unternehmen als Verantwortlicher aufgerufen, ein entsprechendes Risikomanagement durchzuführen, um in die Lage zu kommen, ein ausreichendes Sicherheitsniveau für seine IT / seine Daten zu gewährleisten.
Voraussetzung dafür ist jedoch eine umfassende Transparenz über die Datenverarbeitungen / die IT-Infrastruktur, die Zugriffsmöglichkeiten auf IT / Daten usw., was jedoch in der Zeit der „smarten“ IT immer mehr zu einer „Mission Impossible“ wird.
Zusammenfassend lässt sich daher sagen, dass derjenige, der im jeweiligen Einzelfall für die „IT-Sicherheit“ verantwortlich ist (was es immer im Einzelfall, anhand der konkret stattfindenden Datenverarbeitung zu prüfen und festzulegen gilt), verpflichtet ist, ein der Verarbeitungssituation inkl. der damit einhergehenden, mannigfaltigen Risiken, adäquates (Daten-)Schutzniveau zu gewährleisten. Dieses Niveau hängt immer von den konkreten Umständen der jeweiligen Datenverarbeitung ab.
Wenn man sich offen und ehrlich mit diesem Thema auseinandersetzt wird man daher zum Ergebnis kommen, dass es kein „einheitliches Maß“ an Sicherheit geben kann, sondern alles vom Einzelfall und den Risiken abhängt, die mit der Datenverarbeitung einhergehen.
Martin: Gibt es konkrete juristische Vorgaben für spezifische Schutzmaßnahmen?
Gerald: Es gibt in unterschiedlichen Gesetzen / Verordnungen „Hinweise“ auf Schutzmaßnahmen, wobei diese jedoch alle recht rudimentär sind. So beinhaltet bspw. Art. 32 DSGVO auch nur einige allgemeine Hinweise auf zu ergreifende Schutzmaßnahmen, die immer anhand des jeweiligen Einzelfalls zu konkretisieren sind. So sind insbesondere folgende Maßnahmen bei einer Datenverarbeitung zur Gewährleistung von „Sicherheit“ zu berücksichtigen:
– Pseudonymisierung und Verschlüsselung personenbezogener Daten;
– die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
– die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
– ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Wie Art. 32 Abs. 2 DSGVO deutlich macht, sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere immer „die Risiken zu berücksichtigen, die mit der Verarbeitung insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden verbunden sind.“
Mithin sind die Gefährdungen zu berücksichtigen, die bei einer Verletzung gegen die Schutzprinzipien der IT-Sicherheit nämlich der Vertraulichkeit, der Integrität und der Verfügbarkeit eintreten können. Auch daran sieht man, wie eng „Datenschutz“ und „IT-Sicherheit“ heutzutage zusammenspielen oder anders gesagt, dass es heute praktisch unmöglich ist, diese Bereiche getrennt voneinander zu betrachten.
Im Bereich KRITIS existieren immer mehr IT-Sicherheits-Branchenstandards, die vom BSI akzeptiert wurden und auch nicht KRITIS-Unternehmen eine nicht zu unterschätzende Hilfestellung bieten. Diese stellen zumeist eine Konkretisierung der in ISO 27002 enthaltenen Maßnahmen darf. Auch wenn Unternehmen in einer bestimmten Branche nicht als KRITIS-Unternehmen anzusehen sind, kann es für diese dennoch durchaus empfehlenswert sein, z. B. zur Erfüllung der DSGVO-Anforderungen, die für ihre Branche für die KRITIS-Unternehmen vorgeschlagenen Maßnahmen, ihren konkreten Anforderungen entsprechend zu implementieren und zu dokumentieren.
Insbesondere wenn eine umfangreiche Verarbeitung besonders schützenswerter Daten (z. B. Gesundheitsdaten) vorliegt, ist das damit verbundene Risiko dementsprechend hoch, was es gem. DSGVO angemessen u.a. im Hinblick auf die zu ergreifenden technischen und organisatorischen Maßnahmen zu berücksichtigen gilt.
Martin: Gibt es Quellen, Vorgaben oder Urteile, aus denen hervorgeht, was heute als Mindeststandard nicht mehr ausreicht?
Gerald: Auch diese Frage ist sehr spannend, da es m.A. nach ja schon sehr fraglich ist, was überhaupt „Standard“ sein soll, wer diesen festlegt usw.
Denn der Begriff „Standard“ impliziert ja eigentlich, dass es etwas gibt, das überall Geltung beanspruchen kann. Da jedoch wie vorstehend aufgezeigt „Sicherheit“ etwas sehr Spezifisches ist, ist es schwer, einen überall geltenden „Mindeststandard“ zu definieren, der für alle denkbaren Szenarien Geltung beansprucht.
Dennoch werden regelmäßig Mindestanforderungen zu unterschiedlichsten Produkten, „Sicherheitstechniken“ u.a. vom BSI aufgestellt, die wiederum für Aufsichtsbehörden und Gerichte als Leitlinien dienen zu entscheiden, ob die eingesetzte IT bzw. Techniken noch dem „Stand der Technik“ entsprechen und damit „sicher“ sind oder nicht. Etwaige Urteile von Gerichten oder Beschlüsse von Aufsichtsbehörden, die sich mit diesen Fragen auseinandersetzen kommen im Prinzip immer nur zu Stande, weil etwas im Bereich „Sicherheit“ bildlich gesprochen „in die Hose“ gegangen ist. Wenn nämlich etwas passiert ist und dabei ein Produkt bzw. seine Eigenschaften nicht mehr dem jeweiligen Stand der Technik entsprechen, spricht immer eine gewisse Vermutung dafür, dass der Schaden durch dieses Produkt bzw. durch die veralteten Techniken, Standards etc. direkt oder mittelbar entstanden ist. Der Beklagte muss dann in einem Rechtstreit bzw. in einem behördlichen Verfahren diese Vermutung entkräften, indem er der Behörde bzw. dem Gericht nachweist, dass dieses Produkt / Verfahren nicht kausal für den Schaden war.
In die Jahre gekommene Software, Komponenten, Standards usw., gerade auch wenn sie nicht mehr den Anforderungen von BSI und Co. entsprechen, dürfen daher nach herrschender Meinung eigentlich nicht mehr eingesetzt werden. Denn diese beinhalten bspw. viele bekannt gewordene Sicherheitslücken, die in diesen alten Produkten nicht mehr gepatchet sind. Doch muss man m.A. nach ehrlicherweise auch sagen, dass es auch bei diesen in die Jahre gekommenen Produkten immer darauf ankommt, wie und in welcher „Umgebung“ bzw. unter welchen Umständen sie konkret eingesetzt werden sollen. Denn wenn ein Gerät autark betrieben und nicht im Netzwerk betrieben wird und insbesondere auch nicht mit dem Internet verbunden ist, dürfte das Risiko der Gefährdung geringer sein, als wenn ein solches Gerät mit dem Internet verbunden ist.
Will ein Verantwortlicher derartige Produkte weiterhin betreiben, muss er sich daher immer darüber im Klaren sein, was dieses u.a. in gerichtlichen Verfahren für Probleme mit sich bringen kann.
Martin: Gibt es einen Punkt der dir bei diesem Thema besonders am Herzen liegt?
Gerald: Um es kurz und knapp zu machen:
Mir ist es ein sehr, sehr großes Anliegen, dass man sich hinsichtlich dieses Themas endlich offen und ehrlich, mit den teilweise zugegebenermaßen auch sehr unbequemen Fragestellungen auseinandersetzt. Denn erst eine offene und ehrliche Auseinandersetzung mit Fragestellungen, die jedoch gerne von Politik und Wirtschaft totgeschwiegen werden, kann zu einer Besserung der Gesamtsituation führen.
Man sollte jedenfalls nicht den Fehler machen, jedem neuesten IT-Sicherheitstrend „nachzuhecheln“. Denn wie so einige Beispiele aufzeigen, handelt es sich auch bei diesen „Sicherheits-Technologien“ um Software, die Fehler haben. Daher ist es nicht unwahrscheinlich, dass durch den Einsatz einer solchen „Lösung“ zwar ein Problem gelöst wurde, dadurch aber möglicherweise ein oder mehrere neue Probleme geschaffen wurde. Denn gerade die datenschutzrechtlichen Anforderungen sollten beim Einsatz einer solchen Lösung nicht aus dem Blick verloren werden. Gerade weil solche Lösungen oftmals massiv in Rechte Dritter (z. B. Mitarbeiter) eingreift, sollte man vor Beschaffung den Einsatz einer solchen Software immer an den datenschutzrechtlichen Grundprinzipien messen.
Es ist mir ferner ein sehr großes Anliegen darauf hinzuweisen, dass man als Unternehmen / Nutzer usw. nicht in eine Technikhörigkeit verfällt. Vielmehr sollte man sich als Verantwortlicher immer darüber im Klaren sein, dass moderne Datenverarbeitung ausmacht, dass sie immer intransparenter und komplexer wird. Folglich wird es auch immer schwerer, die gesetzlichen Anforderungen, insbesondere auch die Gewährleistung einer angemessenen Sicherheit zu erfüllen, denn diese bedingen zwangsläufig „Transparenz“.
Von daher ist es wie gesagt absolut essenziell, sich offen und ehrlich mit diesem hochkomplexen und sehr diffusen Thema auseinanderzusetzen. Die vielfach in Unternehmen zu beobachtende „Vogel-Strauß-Mentalität“ „Kopf in den Sand stecken“ und alle relevanten Fragestellungen verdrängen nach dem Motto, „hätt noch immer jutjejange“, hilft jedenfalls nicht weiter und ist der Sache an und für sich nicht zuträglich!
Denn wie viele aktuelle Sicherheitsvorfälle zeigen, dürfte zunehmend das Motto gelten, dass je mehr man sich auf IT verlässt, umso größer ist das Risiko verlassen zu sein, wenn diese nicht mehr so funktioniert bzw. man nicht mehr auf die Daten zugreifen kann. Eine adäquate „Sicherheit“ der Datenverarbeitung ist damit das A und O, um den Geschäftsbetrieb aufrechtzuerhalten, weshalb man dafür halt auch mehr tun muss, als wenn man nur wenig IT einsetzt und seine Geschäftsprozesse nicht ausschließlich auf IT ausrichtet!
Martin: Was ist der „Stand der Technik“?
Wiegand: Laut einschlägiger Literatur und Rechtsprechung genügen Maßnahmen dem „Stand der Technik“, wenn es sich um machbare technische Spitzenleistungen handelt, die sich in der Praxis bewährt haben oder zumindest erfolgreich und praxisnah erprobt wurden. Ferner sollten die Maßnahmen der herrschenden Auffassung führender Fachleute entsprechen.
Hiervon strikt zu trennen sind die „allgemein anerkannten Regeln der Technik“. Maßnahmen entsprechen „allgemein anerkannten Regeln der Technik“, wenn sie allgemein bekannten Erkenntnissen genügen und sich in der Praxis (allgemein) bewährt haben. Die Maßnahmen sollten sich ferner bei der Gesamtheit bzw. zumindest bei der Mehrheit der Praktiker durchgesetzt haben.
Darüber hinaus sind „allgemein anerkannte Regeln der Technik“ insofern von besonderer Bedeutung, als sie nach herrschender Meinung einen Mindeststandard für das Leistungs-Soll repräsentieren, sofern keine vertraglichen Vereinbarungen existieren. Weiterhin gilt nach herrschender Meinung, dass eine Leistung, die gegen Normen (wie DIN etc.) verstößt, die (allerdings im Einzelfall widerlegbare) Vermutung mit sich zieht, dass die Leistung nicht einmal dem Mindeststandard entspricht. Insofern ist in der Regel von einer weitreichenden Gleichwertigkeit von Normen und „allgemein anerkannte Regeln der Technik“ auszugehen.
Im Ergebnis sind beide Termini sehr allgemein gehaltene Qualitätsdefinitionen, die sich über die Zeit kontinuierlich verändern. Daher ist die Beurteilung, ob eine konkrete Maßnahme dem „Stand der Technik“ oder „allgemein anerkannten Regeln der Technik“ genügt, nicht trivial und nur für eine kurze Zeit gültig, insbesondere im Kontext der sich schnell ändernden Informationstechnologie.
Martin: Welche Rolle spielt dieser Begriff im Umfeld der IT-Sicherheit und Informationssicherheit?
Wiegand: Grob vereinfacht ist beispielsweise dem IT-Sicherheitsgesetz, dem Telemediengesetz, dem Telekommunikationsgesetz und der DSGVO gemein, dass bei der konkreten Ausgestaltung von Maßnahmen der „Stand der Technik“ zu berücksichtigen ist. Die Maßnahmen müssen ferner die tatsächlich konkret bestehenden Risiken und die Verhältnismäßigkeit / Wirtschaftlichkeit der Maßnahmen angemessen berücksichtigen.
Dementsprechend müssen bei der Herleitung und Definition von regulatorisch angemessenen Maßnahmen die Risiken, die Verhältnismäßigkeit / Wirtschaftlichkeit und der „Stand der Technik“ angemessen berücksichtigt werden, was eines differenzierten und systematischen Prozesses einschließlich einer entsprechenden Dokumentation bedarf.
Martin: Gibt es konkrete Ausgestaltungen des Standes der Technik, die als umzusetzende Vorgabe gelten, etwa bestimmte Entwicklungsstandards oder „verwende einen aktuellen Virenscanner“?
Wiegand: Tatsächlich gibt es Hilfestellungen, die die Ausgestaltung von Maßnahmen im Sinne des „Stands der Technik“ erleichtern bzw. ermöglichen sollen, bspw. die „Handreichung zum Stand der Technik“ vom Bundesverband IT-Sicherheit e.V. oder der branchenspezifischen Sicherheitsstandard (B3S) „BAK Datacenter & Hosting mit CDN“. Insbesondere die „Handreichung zum Stand der Technik“ lifert konkrete Anregungen, die für eine erste grobe Orientierung verwendet werden können.
Fragwürdig ist allerdings, die weit verbreitete, auch in den beiden zuvor beispielhaft angeführten Hilfsmitteln und vom BSI vertretene, Position, dass Normen und Standards herangezogen werden sollen, um den „Stand der Technik“ bestimmter Maßnahmen herzuleiten. Wie im Kontext von Frage 1 dargelegt, ist in der Regel vielmehr von einer weitreichenden Gleichwertigkeit von Normen und „allgemein anerkannte Regeln der Technik“ auszugehen.
Darüber hinaus gibt es Produkte, die bspw. vom BSI im Hinblick auf definierte Kriterien zertifiziert wurden, und somit zumindest ein bestimmtes Maß an IT-Sicherheit realisieren.
Im Ergebnis gibt es zumindest nach meiner Einschätzung keine konkreten Ausgestaltungen, die rechtlich verbindlich den Stand der Technik verkörpern. In der Folge sind individuelle und differenzierte Bewertungsprozesse notwendig, um für den jeweiligen Kontext eine angemessene konkreten Ausgestaltung herzuleiten.
Martin: Gibt es einen Punkt der dir bei diesem Thema besonders am Herzen liegt?
Wiegand: Tatsächlich habe ich den Eindruck, dass die Termini „Stand der Technik“ und „allgemein anerkannte Regeln der Technik“ aufgrund unzureichender Sachkenntnis häufig nicht richtig interpretiert und abgegrenzt und somit — auch bei der Vertragsgestaltung — nicht richtig verwendet werden.
Dies führt bspw. auch dazu, dass der Stand der Technik (eine technische Spitzenleistung, die möglicherweise erst vereinzelt praxisnah erprobt wurde) ohne entsprechenden Bedarf fast schon inflationär gefordert wird. Das kann auch zur Folge haben, dass aufgrund unzureichender Erfahrungen mit derartigen Maßnahmen das Sicherheitsniveau eher herabgesetzt als gesteigert wird.