Die hohe Abstraktion von gesetzlichen Pflichten zu IT-Sicherheitsmaßnahmen stellt Unternehmen häufig vor große Herausforderungen. Gesetzliche Vorgaben zu IT-Sicherheitsanforderungen und ‑pflichten enthalten nur selten detaillierte Vorgaben dazu, welche Maßnahmen konkret zu ergreifen sind und welche Qualität diese haben müssen. Die zentrale qualitative Anforderung daran, wie IT-Sicherheit herzustellen ist, ist vielmehr häufig der abstrakte Verweis auf den „Stand der Technik“. Obwohl die deutsche Formulierung „Stand der Technik“ nur auf technische Vorgaben verweist, muss diese Formulierung im Hinblick auf Normen mit europarechtlichem Ursprung weit ausgelegt werden. Der „state of the art“ umfasst sowohl technische als auch organisatorische Vorgaben.
Beispielhaft seien zwei der bedeutendsten IT-Sicherheitsnormen für deutsche Unternehmen genannt, die explizit auf diesen „Stand der Technik“ verweisen.
Die zentrale Norm für IT-Sicherheit bei der Verarbeitung personenbezogener Daten ist Art. 32 DS-GVO. Gemäß Art. 32 Abs. 1 DS-GVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Bei der Auswahl dieser Maßnahmen ist unter anderem der Stand der Technik zu berücksichtigen.
§ 8a Abs. 1 BSIG verpflichtet die Betreiber kritischer Infrastrukturen, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Auch dabei soll der Stand der Technik eingehalten werden.
Unternehmen, die durch diese Normen verpflichtet werden, stehen daher vor der Herausforderung, zu ermitteln, was genau der Gesetzgeber meint, wenn er auf den Stand der Technik verweist. In Branchenworkshops mit Unternehmen im Rahmen unseres Forschungsprojekts zur IT-Sicherheitsregulierung wurde uns immer wieder das Feedback gegeben, dass der Umgang mit der abstrakten Generalklausel „Stand der Technik“ gerade für den Mittelstand mit einer erheblichen Rechtsunsicherheit einhergeht.
Notwendigkeit der Abstraktion
Der Gesetzgeber macht es sich mit diesem generellen Verweis allerdings nicht einfach nur leicht. In der Tat gibt es sowohl praktische als auch rechtswissenschaftliche Gründe, die häufig gegen eine detailliertere technische Vorgabe oder die Nennung eines konkreten Industriestandards im Gesetz sprechen.
Der Bereich des Technik- und insbesondere des IT-Sicherheitsrechts ist in besonderem Maße geprägt zum einen durch die hohe Komplexität der Systeme, und zum anderen durch die Schnelligkeit neuer Entwicklungen, Erkenntnisse und Produktzyklen und die dementsprechende Variabilität der Sicherheitsanforderungen. Staatliche Rechtsetzung ist notwendigerweise schwerfälliger und muss daher, um nicht veraltete Anforderungen zu zementieren, auf einem höheren Abstraktionsniveau verbleiben. Denn eine Verweisung des Gesetzes auf eine konkrete Maßnahme oder einen konkreten technischen Standard in einer bestimmten Version ist nur dort sinnvoll, wo häufige Änderungen nicht zu erwarten sind. Andernfalls würden Innovationen durch das starre und veraltete Gesetz sogar verhindert statt gefördert. Der Prozess der Gesetzgebung ist schlicht zu langsam, um mit der rasanten Entwicklung in diesem Feld Schritt halten zu können.
Der Gesetzgeber kann auch nicht einfach auf einen technischen Standard in der jeweils aktuellsten Version verweisen. Ein solcher gleitender Verweis begegnet verfassungsrechtlichen Bedenken, da eine Veränderung des Normgehalts durch eine Aktualisierung des Standards in diesem Fall nicht mehr der Kontrolle des Gesetzgebers unterliegt. Eine Neufassung des technischen Standards könnte also vom ursprünglich beabsichtigten Ziel des Gesetzgebers deutlich abweichen und unterliegt nicht mehr dessen Kontrolle.
Im Hinblick auf die IT-Sicherheit gibt es daher kaum eine andere Lösung als die generelle gesetzliche Verweisung auf den Stand der Technik, um qualitative Anforderungen zu regeln. Mit einer Generalklausel-Verweisung wie „Stand der Technik“ kann der Gesetzgeber den Regelungsgehalt zugunsten neuer technischer Entwicklungen und Innovationen öffnen.
3-Stufen-Theorie der qualitativen Anforderung
Was genau bedeutet aber „Stand der Technik“ bei der Interpretation eines Gesetzes? Muss ein durch das Gesetz verpflichtetes Unternehmen sich im Hinblick auf die IT-Sicherheit am Marktstandard orientieren, an technischen Standards oder an neuesten Erkenntnissen aus der Wissenschaft?
Worauf jeweils Bezug zu nehmen ist, hängt davon ab, ob der Gesetzgeber auf die „allgemein anerkannten Regeln der Technik“, den „Stand der Technik“ oder den „Stand der Wissenschaft und Technik“ Bezug nimmt. Für das Verhältnis dieser Begriffe stellte das BVerfG 1978 in der „Kalkar-Entscheidung“ eine „Drei-Stufen-Theorie“ für eine qualitative Abstufung auf.
Die „allgemein anerkannten Regeln der Technik“ bilden die unterste der drei Stufen. Im Rahmen dieser Vorgabe müssen sich Anwender an der empirisch zu ermittelnden Mehrheitsauffassung unter den technischen Praktikern orientieren. Dies kann ein Unternehmen beispielsweise durch eine Marktanalyse von Konkurrenten und Konkurrenzprodukten ermitteln und sich an marktführenden Technologien orientieren.
Die zweite Stufe ist der „Stand der Technik“. Diese Stufe bezieht bereits den technischen Fortschritt mit ein. Die Feststellung des „Standes der Technik“ kann für den Normadressaten schwierig sein, weil er sich bei der Auswahl von IT-Sicherheitsmaßnahmen nicht ausschließlich auf die Marktführerschaft einer Technologie oder eines Produkts stützen kann, sondern selbst eine Bewertung des Entwicklungsstands fortschrittlicher Verfahren vornehmen und deren Eignung für ihren konkreten Einzelfall prüfen muss. Gegenüber den „allgemein anerkannten Regeln der Technik“ wird hier zugunsten größerer Dynamik bewusst auf das Merkmal der Anerkennung verzichtet, um eine Zeitverkürzung zwischen technischer Neuentwicklung und ihrer Durchsetzbarkeit zu erreichen. Ein Unternehmen muss sich für den Stand der Technik bei IT-Sicherheitsmaßnahmen nicht an der Mehrheit der marktverfügbaren Technologien orientieren, sondern an den besten marktverfügbaren Lösungen.
Die dritte und qualitativ höchste Stufe ist der „Stand von Wissenschaft und Technik“. Dieser umfasst die neuesten technischen und wissenschaftlichen Erkenntnisse und verpflichtet den Normadressaten neben der Marktbeobachtung auch zur Beachtung der wissenschaftlichen Forschung. Der „Stand von Wissenschaft und Technik“ ist noch dynamischer als der „Stand der Technik“, weil er nicht durch das bereits im Markt Angekommene begrenzt wird.
Im Bereich der IT-Sicherheit hat der Gesetzgeber also den Mittelweg gewählt. Unternehmen sollen dazu aufgefordert werden, bessere und innovative Lösungen zu berücksichtigen, allerdings erst, wenn diese Lösungen auch marktreif sind. Eine Beobachtung und Übernahme von wissenschaftlichen Ergebnissen, die diese Marktreife noch nicht erlangt haben, ist hingegen nicht notwendig.
Rolle von Industriestandards
Um technikneutrale Vorgaben wie „Stand der Technik“ mit Leben zu füllen, kommt technischen Standards eine besondere Rolle zu. Einer der ersten Wege, um den Stand der Technik für eine bestimmte Technologie zu ermitteln, ist der Blick auf Industriestandards. Zentral im Bereich der IT-Sicherheit sind beispielsweise die ISO/DIN 27000er Normen. Diese Standards haben keine unmittelbare normative Geltung, sondern vielmehr Empfehlungscharakter. Sie tragen die widerlegliche Vermutung in sich, den Stand der Technik wiederzugeben, können hinter diesem aber auch zurückbleiben.
Solche Industriestandards können auch im Rahmen von § 434 Abs. 1 S. 2 Nr. 2 BGB und anderen vertragsrechtliche Normen zur vertraglich geschuldeten Sollbeschaffenheit für die IT-Sicherheit eines Produkts werden. Auch Gerichte und durch sie oder die Parteien bestellte Sachverständige für IT-Sicherheit greifen zur Bestimmung des Standes der Technik häufig auf Industrienormen zurück.
Global gibt es jedoch eine wachsende Anzahl von Standardisierungs-Organisationen unterschiedlicher Sektoren, die sich mit IT-Sicherheit befassen und entscheidenden Einfluss den „Stand der Technik“ haben. Allerdings ist die Standardisierung im Bereich der IT-Sicherheit unübersichtlich, von unterschiedlicher Qualität und stark fragmentarisch, da nicht für alle Produkt- und Servicekategorien überhaupt Standards existieren. Objektive und verallgemeinerbare Kriterien beispielsweise für eine gerichtliche Prüfung im Hinblick auf die Einhaltung des Standes der Technik fehlen.
Dass der Gesetzgeber und die Rechtsprechung damit für die Erfüllung rechtlicher Pflichten in gewissem Umfang die Kenntnis und Berücksichtigung internationaler Industriestandards voraussetzt ist ebenfalls nicht unproblematisch.
Standardisierung ist nicht demokratisch. Die Teilnahme an den verschiedenen Standardisierungsgremien verlangt in vielen Fällen einen jährlichen Mitgliedsbeitrag und hohen Personalaufwand. Es ist daher nicht überraschend, dass viele Gremien von großen internationalen Unternehmen dominiert werden, die häufig auch federführend bestimmte Standards vorantreiben und schreiben. Kleine und mittlere, überwiegend national operierende Unternehmen sind eher selten an Standards beteiligt. Zwar ermöglichen die meisten Verbände und Gremien die Beteiligung externer Experten (aus Wissenschaft, Politik, NGOs, Interessenverbänden und kleineren Unternehmen), auch diese Beteiligung erfordert jedoch finanziellen und personellen Aufwand. Eine Beteiligung am Schaffen von Standards ist daher aktuell nicht gleichberechtigt für alle Betroffenen einer Rechtspflicht möglich. Gerade im Bereich der IT-Sicherheitstechnologie kann dies dazu führen, dass neue, innovative Verfahren von KMU und Start-Ups wenig Berücksichtigung in der Standardisierung finden.
Mögliche Abhilfe für dieses Legitimationsdefizit können vorgeschaltete nationale Gruppen sein. Hier könnten kleine und mittlere Unternehmen sowie Verbände mit geringeren Einstiegshürden und Kosten beteiligt werden, um dann den Konsens der nationalen Gruppe in das internationale Gremium einzubringen.
Ebenfalls problematisch ist der Zugang zu internationalen Industriestandards. Während einige Gremien ihre Normen frei veröffentlichen, sind unter anderem DIN/ISO/IEC Normen kostenpflichtig. Dies ist bedingt durch die unterschiedlichen Finanzierungsmodelle der Gremien. Diejenigen, die Mitgliedsbeiträge erheben, können regelmäßig ihre Standards kostenlos öffentlich machen; diejenigen, bei welchen die Mitgliedschaft oder Mitarbeit kostenlos ist, müssen sich regelmäßig über den Vertrieb der Standards finanzieren. Bei einer Einbeziehung von Standards in die Rechtspflichten für IT-Sicherheit muss daher im Sinne der Normwirksamkeit darauf geachtet werden, ob der maßgebliche Standard den Normadressaten auch zur Verfügung steht. Sofern Gerichte ihre Rechtsprechung zu den anerkannten Regeln oder dem Stand der Technik auf Industriestandards stützen, ist es schwierig zu legitimieren, wie ein Normadressat an einen Standard gebunden sein darf, der ihm nicht ohne weiteres zur Verfügung steht. Auch diese Problematik der Zugänglichkeit trifft in besonderem Maße kleine und mittlere Unternehmen.
Rolle des BSI-Grundschutzes
Aufgrund dieser Fairness- und Legitimationsdefizite internationaler Industriestandards kommt in Deutschland den technischen Hinweisen des BSI besondere Bedeutung für Unternehmen zu, um den Stand der Technik in der IT-Sicherheit zu ermitteln. Das IT-Grundschutz-Kompendium des BSI wird jährlich aktualisiert und an den Stand der Technik angepasst. Die Empfehlungen sind dabei nicht verbindlich im Hinblick auf die gesetzlichen Sicherheitsanforderungen, sondern haben den Charakter von Best Practice Lösungen. Das BSI stellt sein IT-Grundschutz-Kompendium für die nicht-kommerzielle Nutzung unentgeltlich zur Verfügung.
Das Ziel des Kompendiums ist das Erreichen eines angemessenen und ausreichenden Schutz- und Sicherheitsniveaus für IT-Systeme. Es enthält die IT-Grundschutz-Bausteine, in denen jeweils Gefährdungen und Sicherheitsanforderungen für ein Thema der Informationssicherheit dargestellt und technische, infrastrukturelle, organisatorische und personelle Maßnahmen für die drei möglichen Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“ empfohlen werden.
Das IT-Grundschutz-Kompendium des BSI ist insofern leichter zugänglich als internationale Industrienormen. Allerdings hat es gegenüber internationalen Normen den Nachteil, dass eine Einhaltung oder Zertifizierung gerade nicht international übertragbar oder harmonisiert ist. Als Maßgabe eignet es sich daher überwiegend nur für den deutschen Markt. Dafür ist das Kompendium sehr umfangreich. In der Vergangenheit hat der Umfang und Dokumentationsaufwand gerade kleine und mittlere Unternehmen davon abgeschreckt, das BSI Grundschutz-Kompendium zu nutzen, um ihre IT-Sicherheitsmaßnahmen auszuwählen und einzurichten. Das BSI stellt daher auch einen verkürzten „Leitfaden zur Basis-Absicherung nach IT-Grundschutz“ zur Verfügung.[1]
Auswirkungen
Der Stand der Technik hat nicht nur im Rahmen der unmittelbaren Anwendung und Einhaltung der gesetzlichen Normen für IT-Sicherheit Relevanz. Mittelbar wirkt sich der Stand der Technik auch auf die Sorgfaltspflichten im Rahmen der zivilrechtlichen Haftung für Schäden aus. „Marktübliche Standards“, einschließlich Standards für die IT-Sicherheit, haben auch Einfluss auf Gewährleistungsrechte wegen Mängeln. Hier wirken sich Standards auf die geforderte Qualität „mittlerer Art und Güte“ aus. Die Sorgfaltspflichten erstrecken sich auch auf IT-Sicherheitsanforderungen in Corporate Governance und Organhaftung.
Fazit
Die Abstraktion der gesetzlichen Anforderungen an die IT-Sicherheit ist aufgrund der hohen Komplexität und rasanten Entwicklungen in diesem Feld notwendig. Dennoch muss der Rechtsunsicherheit bei den Anwendern unbedingt Rechnung getragen werden. Gerade für kleine und mittlere Unternehmen ohne viele IT-Sicherheitsfachkräfte ist der Stand der Technik nicht leicht zu ermitteln. Der Gesetzgeber darf hier nicht allein auf die Rolle internationaler Industrienormen setzen. Diese sind im Bereich der IT-Sicherheit nicht nur lückenhaft, sondern begegnen auch Bedenken im Hinblick auf Fairness und Zugänglichkeit. Umso wichtiger ist es daher, dass deutsche Behörden, konkret das BSI, handhabbare Vorgaben und Leitlinien zum Stand der Technik veröffentlichen, die gerade dem Mittelstand erlauben, den Stand der Technik für IT-Sicherheitsmaßnahmen zu berücksichtigen. Eine tatsächliche Verbesserung der IT-Sicherheit für die gesamte Gesellschaft kann nur erzielt werden, wenn gesetzliche Regulierung und einfach verfügbare technische Standards sinnvoll zusammenwirken.
Ninja Marnau, CISPA
Dieser Beitrag erschien erstmals im BayWiDI-Magazin 1/2020. Die vollständige Ausgabe finden Sie hier.
[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Leitfaden_zur_Basis-Absicherung.html