Haben Sie sich schon einmal die Frage gestellt, was denn der „Stand der Technik“ überhaupt bedeutet? Schnell ist man dabei, in die Richtung „Stand jetzt“ zu denken. Das heißt doch dann aber, dass es sich um eine Momentaufnahme handelt. Aber ist das denn überhaupt richtig? Was bedeutet der Stand der Technik eigentlich? Deshalb müssen wir dem Begriff einmal nachgehen. Ich habe mich einmal auf Spurensuche begeben.
Der Stand der Technik als Technikstandard?
Es handelt sich um einen unbestimmten Rechtsbegriff. Er findet in einer ganzen Reihe von Rechtsgebieten seine Anwendung. Mit dem Stand der Technik wird auf die Entwicklung von Wissenschaft und Technik Bezug genommen. Im Bundesimmissionsschutzgesetz etwa spricht man vom Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen. Sie sollen die praktische Eignung einer Maßnahme zur Begrenzung von Emissionen, zur Gewährleistung der Anlagensicherheit oder auch zur Umweltverträglichkeit sichern.
In Gesetzestexten orientiert man sich an der aktuellen Entwicklung von Technologien. Stellvertretend hierzu sei der Lärmschutz genannt. Wo vielleicht vor Jahren Lärmschutzwände an Autobahnen gebaut wurden, weil es nicht besser bekannt war, hat man dann später zum Beispiel einen Wall angelegt. Statt den Lärm abprallen zu lassen, lenkt man ihn über eine Siedlung hinweg. Der Stand der Technik beschreibt hier die technischen Möglichkeiten und den Wissensstand zu einem bestimmten Zeitpunkt.
Wofür wird der Stand der Technik in der Informatik angewandt?
Eminent wichtig ist der Stand der Technik, wenn es um die Erreichung von Schutzzielen geht. Dabei beschäftigt man sich mit ISMS (Information Security Management System) und KRITIS (Kritische Infrastrukturen). Gerade bei der Abwägung beim Einsatz von Schutzmechanismen muss eine systematische Bewertung anhand des Stands der Technik erfolgen. Dieser wiederum muss anhand technologischer Veränderungen oder Änderungen der Bedrohungslage und der gesetzlichen Bedingungen immer wieder neu überprüft werden.
Es existiert keine Definition, die statisch einmal getroffen wurde und dann für alle Zeiten ihre Gültigkeit besitzt. So kann der Stand der Technik beim Schutz kritischer Infrastrukturen bedeuten, Angreifer auszusperren. Er kann gleichermaßen aber auch bedeuten, Angreifer zwar einzulassen, aber nicht mehr hinaus zu lassen. Denn je nach Szenario kann es durchaus ein valider Ansatz sein, diejenigen Mechanismen und Akteure aus dem Angriffsraum zu nehmen, sodass die jeweiligen Fortschritte der Angriffsversuche nicht weiter getragen werden.
Was ist das ISMS?
Ich habe oben das „Information Security Management System“ genannt. Aber was ist das überhaupt? Beim ISMS spricht man vom Managementsystem für Informationssicherheit. Hierbei werden Verfahren und Regeln aufgestellt, mit denen sich die Informationssicherheit dauerhaft definieren lässt. Diese lassen sich mit ISMS steuern, kontrollieren, aufrecht erhalten und eben auch erneuern und verbessern. Mit dem IT-Grundschutz 2006 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein grundlegendes Konzept zur Umsetzung veröffentlicht. Daraus haben sich Standards entwickelt, die kontinuierlich verbessert werden.
Man achtet darauf, dass ein ISMS in der Organisation, in der es eingeführt wird, verankert wird. Es herrschen verbindliche Ziele und Richtlinien. Bei der Einstellung von Mitarbeitern oder Verlassen dieser werden die Anforderungen der Informationssicherheit berücksichtigt. Das Wissen wird aktuell gehalten und auf Aktualität überprüft. Das Sicherheitsniveau wird an aktuelle Entwicklungen angepasst. Man betreibt Datensicherung und strukturierte Rechteverwaltung. Nicht zuletzt ist man aber auch auf Ausfälle oder Störfälle vorbereitet. Wie viele Unternehmen sind dabei fit? Was meinen Sie?
Was sind KRITIS?
Kritische Infrastrukturen sind von wesentlicher Bedeutung für gesellschaftliche Funktionen. Es handelt sich dabei um die Bereiche Energie, Wasser, Ernährung, Informationstechnik, Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport, Verkehr, Staat, Verwaltung, Medien und Kultur. Ein Ausfall dieser kritischen Infrastrukturen hätte erhebliche Auswirkungen. Da überall in diesen Bereichen die Informatik eine entscheidende Rolle spielt, wird diese zunehmend gesondert als „kritische Informationsinfrastruktur“ betrachtet.
Eine Fortführung und Aufrechterhaltung muss unter allen Umständen gewährleistet werden. In der jüngeren Vergangenheit gab es Meldungen über Hackerangriffe auf Kraftwerke oder ähnliche Vorkommnisse bei Verkehrsleitsystemen. Es herrscht die Theorie, dass mit solchen Angriffen eine Gesellschaft zu Fall gebracht werden kann. Das soll nicht so ohne weiteres möglich sein. Das gilt aber nach dem aktuellen Kenntnisstand und damit nach dem Stand der Technik. Damit das so bleibt, müssen die Verantwortlichen ständig ihre Lösungen auf den Prüfstand stellen.
Fazit
Der Stand der Technik lässt sich nicht eindeutig festlegen. Er kann aber als Momentaufnahme gelten. Es gilt, den Stand der Technik zu verfolgen und die eigene Technik so nah wie möglich zu bringen. Der Stand der Technik zeigt auch das Gefahrenpotential für Infrastrukturen auf. Beides liefert sich einen kontinuierlichen Wettstreit. Und dieser ist dann meiner Meinung nach der Stand der Technik. Er ist das Wettrüsten im Kampf um die höhere Macht in einem bestimmten Bereich.
Zum Stand der Technik in der Informatik lässt sich natürlich noch wesentlich mehr sagen. Als Gerichtssachverständiger bin ich leider immer wieder damit konfrontiert, dass auch die besten Informatiker wenig Ahnung davon haben, was denn nun der Stand der Technik für ihre konkrete Software ist.
Aus diesem Grunde habe ich angefangen dediziert darüber einen Blog zu schreiben: https://stand-der-technik.blogspot.com/