IT-Sicherheit – Stand der Technik

IT-Sicherheit Stand der Technik visualisiert durch eine Schloßgrafik schwebend vor einem Bildschirm

IT-Sicherheit nach dem Stand der Technik: Was Unternehmen jetzt wissen und umsetzen sollten.

In einer zunehmend digitalisierten Welt ist Cybersicherheit nicht nur ein technisches Thema – sie ist längst zur unternehmerischen Pflicht geworden. Besonders für Geschäftsführer, IT-Leiter und Sicherheitsverantwortliche stellt sich mehr denn je die Frage: Wie kann mein Unternehmen rechtssicher und gleichzeitig wirtschaftlich sinnvoll gegen Cyberbedrohungen geschützt werden? Die Antwort liegt im „Stand der Technik“ – einem Begriff, der zunehmend als Maßstab für die Angemessenheit von Sicherheitsmaßnahmen herangezogen wird. Doch was genau steckt dahinter?

Rechtlicher Rahmen: Dynamik statt Checkliste

Der „Stand der Technik“ ist kein fester Katalog an Maßnahmen, sondern ein dynamischer, sich kontinuierlich entwickelnder Maßstab. Er beschreibt das technisch derzeit Machbare, das unter Experten als effektiv und angemessen gilt. Genau das unterscheidet ihn von den „allgemein anerkannten Regeln der Technik“, die meist bereits in die Jahre gekommen sind, oder vom „Stand der Wissenschaft und Forschung“, der oft zu experimentell für den breiten Einsatz ist.

Mit der europäischen NIS-2-Richtlinie, die bis Oktober 2024 in nationales Recht umgesetzt werden muss, steigt die Relevanz dieses Maßstabs deutlich an. Sie verpflichtet nicht nur Betreiber kritischer Infrastrukturen, sondern auch viele mittlere Unternehmen zur Einhaltung umfassender IT-Sicherheitsmaßnahmen – oft ohne dass sich die Betroffenen dessen bewusst sind. Der Geltungsbereich wurde deutlich ausgeweitet: Bereits ab 50 Mitarbeitern kann ein Unternehmen unter die neuen Anforderungen fallen.

Warum das alle Unternehmen betrifft

Auch wenn Sie als Organisation nicht direkt zu den „besonders wichtigen“ oder „wichtigen Einrichtungen“ gemäß NIS-2 zählen, sollten Sie sich nicht in falscher Sicherheit wiegen. Über qualifizierende Faktoren – etwa durch systemrelevante Dienstleistungen, grenzüberschreitende Tätigkeiten oder kritische Zulieferbeziehungen – können auch kleinere Betriebe in die Regulierung fallen.

Hinzu kommt: Selbst ohne gesetzliche Verpflichtung ergibt sich aus der unternehmerischen Sorgfaltspflicht (z. B. § 1 StaRUG, § 43 GmbHG) ein Bedarf zur frühzeitigen Risikominimierung. Wer fahrlässig handelt, riskiert persönliche Haftung im Schadensfall. Die Botschaft ist klar: IT-Sicherheit ist Chefsache.

Cyberversicherung – kein Ersatz für Prävention

Zunehmend setzen Unternehmen auf Cyberversicherungen, um sich gegen digitale Risiken abzusichern. Doch Vorsicht: Versicherer fordern den Nachweis angemessener technischer und organisatorischer Maßnahmen (TOM). Fehlen diese, kann der Versicherungsschutz im Schadensfall entfallen oder gekürzt werden. Der bloße Abschluss einer Police reicht also nicht – vielmehr ist eine gelebte Sicherheitsstrategie notwendig, die sich am Stand der Technik orientiert.

Der Weg zur angemessenen Sicherheitsstrategie

Der Einstieg in ein angemessenes IT-Sicherheitsniveau beginnt mit einer umfassenden Bestandsaufnahme. Welche Systeme, Anwendungen und Daten gilt es zu schützen? Wo liegen mögliche Schwachstellen? Und wie hoch ist das potenzielle Schadensausmaß? Kurz: Wie kommen wir dem Stand der Technik möglichst nahe?

Anschließend gilt es, technische und organisatorische Maßnahmen aufeinander abzustimmen. Dabei bietet sich das Prinzip des „Zero Trust“ an: Es basiert auf der Annahme, dass kein Gerät, Nutzer oder Dienst vertrauenswürdig ist – solange das Gegenteil nicht bewiesen ist. Ein solches Sicherheitskonzept beinhaltet unter anderem:

  • Granulare Rechtevergabe („least privilege“)

  • Mehrstufige Authentifizierung

  • Netzwerksegmentierung

  • Lückenlose Überwachung und Protokollierung

  • Integration von Threat Intelligence-Diensten

Durch eine stufenweise Umsetzung lässt sich der Schutzbedarf realistisch an die verfügbaren Ressourcen anpassen.

Grundschutz reicht heute nicht mehr

Während ein Basis-Schutz – etwa durch Antivirenlösungen, Firewalls und regelmäßige Updates – immer noch wichtig ist, genügt er angesichts der heutigen Bedrohungslage kaum. Advanced Persistent Threats (APT), Zero-Day-Schwachstellen und Ransomware-Angriffe sind komplexe und gezielte Angriffsformen, die eine erweiterte Verteidigungsstrategie erfordern. Dazu gehören:

  • Endpoint Detection & Response (EDR/XDR): Automatisierte Anomalieerkennung und Reaktionsmechanismen

  • Cloud Sandboxing: Analyse unbekannter Dateien in isolierter Umgebung

  • Managed Detection & Response (MDR): Auslagerung der Sicherheitsüberwachung an spezialisierte Dienstleister

  • Verschlüsselung sensibler Daten: Besonders relevant im Hinblick auf die DSGVO

Organisatorische Maßnahmen: Die oft unterschätzte Hälfte

Neben Technik zählt die Organisation: Klare Rollen, geregelte Prozesse und dokumentierte Notfallpläne sind essenziell. Ebenso unverzichtbar ist die Schulung der Mitarbeitenden – nicht nur einmalig, sondern regelmäßig. Phishing, Social Engineering und Fehlverhalten am Arbeitsplatz gehören zu den häufigsten Einfallstoren für Angriffe. Sensibilisierung ist daher ein zentraler Faktor jeder Sicherheitsstrategie.

Was jetzt zu tun ist – unsere Empfehlungen für Unternehmen

  1. Risikoanalyse starten: Identifizieren Sie die schützenswerten Werte in Ihrem Unternehmen und bewerten Sie mögliche Bedrohungen.

  2. IT-Sicherheitsstrategie definieren: Setzen Sie auf bewährte Standards wie ISO 27001 oder den BSI-Grundschutz – diese gelten auch als Nachweis für den Stand der Technik.

  3. Zero Trust umsetzen: Entwickeln Sie ein mehrschichtiges Sicherheitskonzept, das Zugriffe und Datenflüsse strikt kontrolliert.

  4. Technologien regelmäßig aktualisieren: Der Stand der Technik ist kein einmaliger Zustand – sondern ein bewegliches Ziel.

  5. Externe Partner einbinden: Nutzen Sie die Expertise eines spezialisierten IT-Systemhauses – gerade dann, wenn personelle Ressourcen fehlen.

  6. Verantwortung übernehmen: IT-Sicherheit ist nicht delegierbar – Geschäftsführung und IT-Leitung müssen gemeinsam handeln.

Fazit: IT-Sicherheit ist Investition, nicht Kostenfaktor

Ob als Folge gesetzlicher Vorgaben oder aus Eigeninteresse: Wer den Stand der Technik in puncto IT-Sicherheit vernachlässigt, geht nicht nur ein erhebliches Risiko ein – er verstößt möglicherweise auch gegen Compliance-Vorgaben und verspielte den Versicherungsschutz. Unternehmen sind gut beraten, IT-Sicherheit als kontinuierlichen Prozess zu verstehen, der strategisch gesteuert und professionell umgesetzt werden muss.

Als IT-Systemhaus unterstützen wir Sie dabei – mit praxiserprobten Konzepten, individuell abgestimmten Lösungen und einem klaren Ziel:

Ihre Organisation zukunftssicher und resilient aufzustellen.