Was „State of the art“ heute bedeutet

State-of-the-Art, also aktuelle Stand der Technik, ist eine oft genutzte Redensart. Sie soll ausdrücken, dass man keine veraltete Technik einsetzt, allerdings auch nichts visionär-zukünftiges. Oft wird der Ausdruck genutzt, um seine Pflichten abzudecken: „Ich habe das System nach State-of-the-Art geschützt, dass trotzdem etwas passiert ist, kann man mir nicht anlasten.“ Soweit so gut, aber was ist denn eigentlich State-of-the-Art? Gehört eine Firewall auf Basis iptables dazu oder nur die Next Generation Firewall eines großen Herstellers? Sind Passwörter mit acht Zeichen Länge State-of-the-Art? Sind Passwörter überhaupt noch State-of-the-Art? Viele Fragen, die meistens individuell geklärt werden müssen und oft zu Diskussionen führen.

In Deutschland sind seit einer Weile gleich zwei Regelungen in Kraft, die eine Orientierung der IT-Sicherheit am "Stand der Technik" fordern, aber unbeantwortet lassen, was im Detail darunter zu verstehen ist. Da ist zum einen die EU-Datenschutz-Grundverordnung (DSGVO), die seit Mai 2018 hohe Anforderungen an die technischen und organisatorischen Maßnahmen stellt. Schon länger, seit dem 25.07.2015, gilt in Deutschland das IT-Sicherheitsgesetz (ITSiG). Beide Rechtsquellen, DSGVO und ITSiG fordern State-of-the-Art und seit kurzem versucht der Branchenverband TeleTrust Anwender, Integratoren und Hersteller bei dieser Frage zu unterstützen. Die im TeleTrust organisierten Fachkreise haben eine Handreichung zum Stand der Technik hinsichtlich technischer und organisatorischer Maßnahmen erarbeitet. Sie liegt in deutscher und in englischer Sprache vor, die englische Sprachfassung wurde in Kooperation mit der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) veröffentlicht.

Worum geht es bei der State-of-the-Art Handreichung? In erster Linie um eine Hilfestellung. Verbindlich ist die Handreichung nicht aber sie gibt zumindest eine Diskussionsgrundlage und einen, von vielen Experten als „korrekt“ bewerteten, Standard vor. Auch wenn der Begriff selbst diffus bleibt, in der Handreichung wird er als „am Markt verfügbare Bestleistung eines Subjekts zur Erreichung eines Objekts“ beschrieben, kann das Dokument durch die zahlreichen, abgedeckten Themenfelder für vertragliche Vereinbarungen, Vergabeverfahren und auch für die Einordnung implementierter Sicherheitsmaßnahmen dienen. Das Dokument ersetzt aber keine Beratung und Bewertung im Einzelfall. Trotzdem macht es Sinn, sich vor allem als Anwender oder Integrator mit dem Papier zu beschäftigen. Es handelt nämlich ein sehr breites Spektrum an Schutzmaßnahmen ab und beschreibt, wie diese Schutzmaßnahmen als „ausreichend“ auszuformen sind.

Thematisch beschreibt das gut 70 Seiten lange PDF angefangen von Serverhärtung und Passwortstärke über Verschlüsselung, VPN und Cloud-Ablage bis hin zu Fernzugriff sowie Web- und Browsersicherheit die meisten wichtigen Sicherheitsmaßnahmen. Auch rein organisatorische Themen wie Geltungsbereich, Risikomanagement und sichere Softwareentwicklung kommen im hinteren Teil vor, sind aber nur kurz angerissen. Mit der kurzen Übersicht kann ein Anwender höchstens feststellen, ob sein Lieferant oder Integrator die wichtigsten organisatorischen Vorrausetzungen von Standards und Vorgehensweisen einhält, beispielsweise indem die notwendigen Rollen definiert und besetzt wurden.

Bei etwa einer Seite Platz für die meisten Themen darf man in der Handreichung kein Lehrbuch sehen. Es geht nicht darum zu erklären, was eine Web-Application-Firewall (WAF) ist, sondern einen Konsens aufzulisten, was sie können sollte, um (im Moment) als State-of-the-Art zu gelten. Stichwort „im Moment“: Wie TeleTrust mit den ständigen Änderungen und Innovationen im technischen Umfeld umgehen wird, bleibt abzuwarten. Trotzdem, gerade durch die Unterstützung der ENISA und den damit europäischen Wirkungskreis, bietet das Dokument eine Diskussionsgrundlage und definiert für Anwender wie Integratoren einen Mindestrahmen für ihre Leistungen.