Cloudinfrastrukturen als Stand der Technik

Einleitung

Durch die stetig steigende Bedrohungslage im IT-Umfeld ist das Thema der Informationssicherheit so relevant wie noch nie. Dieser Entwicklung nimmt sich zunehmend auch der europäische Gesetzgeber an - bspw. in Form des Art. 32 Abs. 1 DSGVO oder des Art. 21 Abs. 1 UAbs. 2 NIS2-RL - und fordert die Umsetzung von technischen und organisatorischen Sicherheitsmaßnahmen, die unter Berücksichtigung des Stands der Technik ausgewählt werden sollen.

Doch was ist eigentlich der derzeitige Stand der Technik im IT-Umfeld und können Unternehmen diesen heutzutage überhaupt noch aus eigener Kraft erreichen?

Begriffsbestimmung

Bereits im Jahre 1978 hat das Bundesverfassungsgericht mit seinem Kalkar-Urteil (BVerfG, Beschluss vom 08.08.1978, 2 BvL 8/77) die Grundsätze für die heutige Begriffsauslegung geschaffen. Demnach wird zwischen den allgemein anerkannten Regeln der Technik, dem Stand der Technik und dem Stand der Wissenschaft unterschieden.

Während sich die allgemein anerkannten Regeln der Technik lediglich auf "die herrschende Auffassung unter den technischen Praktikern" beschränken, geht der Stand der Technik über "die allgemeine Anerkennung und die praktische Bewährung" hinaus und verlagert "das Erlaubte oder Gebotene [...] an die Front der technischen Entwicklung". Hiervon übertroffen wird nur noch der Stand der Wissenschaft, dem zufolge "diejenige Vorsorge gegen Schäden getroffen werden [muss], die nach den neuesten wissenschaftlichen Erkenntnissen für erforderlich gehalten wird".

Hieran angelehnt hat das Bundesministerium der Justiz in seinem Handbuch der Rechtsförmlichkeit (BMJ, Handbuch der Rechtsförmlichkeit, 3. Auflage, Teil B, Allgemeine Empfehlungen für das Formulieren von Rechtsvorschriften, 4.5 Bezugnahmen auf technische Regeln) Empfehlungen für die drei Generalklauseln der allgemein anerkannten Regeln der Technik, des Stands der Technik und des Stands von Wissenschaft und Technik festgehalten:

• Die "[a]llgemein anerkannte[n] Regeln der Technik sind schriftlich fixierte oder mündlich überlieferte technische Festlegungen für Verfahren, Einrichtungen und Betriebsweisen, die nach herrschender Auffassung der beteiligten Kreise (Fachleute, Anwender, Verbraucherinnen und Verbraucher und öffentliche Hand) geeignet sind, das gesetzlich vorgegebene Ziel zu erreichen und die sich in der Praxis allgemein bewährt haben oder deren Bewährung nach herrschender Auffassung in überschaubarer Zeit bevorsteht."

• Der "Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen oder vergleichbare Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein."

• Schließlich ist der "Stand von Wissenschaft und Technik [..] der Entwicklungsstand fortschrittlichster Verfahren, Einrichtungen und Betriebsweisen, die nach Auffassung führender Fachleute aus Wissenschaft und Technik auf der Grundlage neuester wissenschaftlich vertretbarer Erkenntnisse im Hinblick auf das gesetzlich vorgegebene Ziel für erforderlich gehalten werden und das Erreichen dieses Ziels gesichert erscheinen lassen."

Demnach ist der Stand der Technik nicht bereits dann erreicht, wenn solche Maßnahmen umgesetzt sind, die sich in der Praxis allgemein bewährt haben. Stattdessen muss ein Niveau erreicht werden, das der herrschenden Ansicht der führenden Experten entspricht.

Einen etwas anderen Definitionsansatz verfolgt hingegen der TeleTrust e.V. in seiner Handreichung zum Stand der Technik und bezeichnet den Stand der Technik darin "als die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichung der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann". Der Stand der Technik sei somit "die am Markt verfügbare Bestleistung einer IT- Sicherheitsmaßnahme zur Erreichung des gesetzlichen IT-Sicherheitsziels". Entgegen des BVerfG und des BMJ führt der TeleTrusT e.V. hier die Marktverfügbarkeit als zusätzliches Kriterium ein.

Realitätsabgleich

Im deutschsprachigen Raum gibt es für deutsche Unternehmen eine ganze Reihe von Ressourcen, die (teils sogar kostenfrei) genutzt werden können, um sich mit der Absicherung der eigenen IT-Infrastruktur zu beschäftigen. Jedoch zeigt sich, dass viele Unternehmen - vor allem aus dem KMU-Bereich - mit der Umsetzung überfordert sind. Gut erkennbar ist das an den fortwährenden Bemühungen des Bundesamts für Sicherheit in der Informationstechnik, einen Weg zu finden, auch KMUs bei der Umsetzung angemesser Sicherheitsmaßnahmen zu unterstützen:

• 2005-2017: Mit den IT-Grundschutz-Standards 100-* führte das BSI eine Zertifizierung ein, von der behauptet wurde, dass sie für Unternehmen aller Größen anwendbar sei.

• 2017-heute: Im Zuge der modernisierten IT-Grundschutz-Standards 200-* gab es das Einsehen, dass die Umsetzung der gesamten IT-Grundschutz-Anforderungen viel zu komplex für viele Unternehmen ist. Ein Ausweg war, die sog. Basis-Absicherung einzuführen, für deren erfolgreiche Umsetzung zumindest ein Testat ausgestellt werden kann.

• heute: Doch auch die Basis-Absicherung stellt eine so große Hürde dar, dass in diesem Jahr der sog. CyberRisikoCheck eingeführt wurde, der auf Basis der DIN SPEC 27076:2023-05 ein nochmal wesentlich einfacheres Verfahren für die Umsetzung der besonders wichtigen Maßnahmen vorsieht.

Damit geht das BSI den Weg, den auch schon andere Institutionen angestrebt haben, um den KMUs wenigstens ein Mindestmaß an Sicherheitsmaßnahmen abzuringen. Ähnlich gelagerte Reduzierungen der Anforderungen finden sich bspw. bereits in folgenden Standards:

• VdS 10000: Der Standard des ehemaligen Verbands der Sachversicherer richtet sich explizit an kleine und mittlere Unternehmen. Kritik wird hier unter anderem daran geübt, dass die Definition des Informationssicherheitsmanagements und die Vorgabe technischer Maßnahmen durchmischt erfolgt und damit nicht trennscharf ist.

• CISIS-12: Das Compliance-Informations-Sicherheits-Management-System in 12 Schritten des IT-Sicherheitsclusters e.V. soll eigentlich durch klare Handlungsempfehlungen die Umsetzung vereinfachen. Gerade bei den Dokumentationsanforderungen wird es jedoch auf einer Stufe mit dem BSI IT-Grundschutz gesehen, was KMUs überfordern kann.

• ISA+: Da die Anforderungen von CISIS-12 immer noch zu hoch sind, gibt es vom IT-Sicherheitscluster e.V. noch die weiter abgespeckte ISA+ Informations-Sicherheits-Analyse, die sogar als Self-Assessment bearbeitet werden kann und aus gerade einmal 50 Anforderungen besteht.

Es ist unklar, wie ein Unternehmen den Stand der Technik erreichen können soll, wenn es gerade einmal eine derart abgeschwächte Anforderungsliste umgesetzt hat - oder gar an dieser aus technischen, organisatorischen, finanziellen oder personellen Gründen scheitert.

Hyperscaler als Vorreiter

Richtet man seinen Blick nun vergleichend auf die drei bekannten Hyperscaler Amazon Web Servies, Google Cloud Platform und Microsoft Azure, erhält man ein völlig anderes Bild. Alle drei Anbieter betreiben umfassende Compliance-Programme (AWS, GCP, Azure), die verglichen mit dem deutschen Mittelstand führend sein dürften.

Auch die Investitionen, die in die weitere Absicherung der Infrastruktur getätigt werden, werden regelmäßig die Bemühungen deutscher KMUs weit übersteigen. Stellvertretend sei hier Google als Anbieter erwähnt. Nicht nur, dass das Unternehmen mit Project Zero proaktiv nach bisher unbekannten Schwachstellen in den verwendeten Komponenten sucht, das Unternehmen arbeitete mit Titan an der Absicherung der Kerninfrastruktur bis hinunter zur Hardware-Ebene und hat seine Lösung als OpenTitan der restlichen Industrie zur Verfügung gestellt. Ähnlich ging das Unternehmen mit seiner Orchestrierungslösung Borg um, die als Kubernetes einem breiten Fachpublikum bereitgestellt wurde und inzwischen zum neuen Standard beim Betrieb von Serveranwendungen avanciert. Nicht erwähnt sind dabei alle weiteren Sicherheitsmaßnahmen, die Google beispielhaft ergreift, um die bereitgestellten Cloudinfrastrukturen sowohl physisch als auch logisch abzusichern.

Die von den Hyperscalern umgesetzten Maßnahmen dürften dem entsprechen, was führende Experten aktuell für sinnvoll halten, um sichere IT-Umgebungen aufzubauen. Gleichzeitig sind diese durch die Bereitstellung als Cloud-Services für externe Dritte marktverfügbar. Mit der Erstellung eines normalen Kundenkontos kann jedes Unternehmen von den Investitionen der Hyperscaler profitieren und mit der eigenen Infrastruktur ein Sicherheitsniveau erreichen, das mit eigenen Mitteln häufig nicht realisierbar wäre.

Doch sogar mit dieser großen Anzahl an umfassenden Maßnahmen sind selbst die Hyperscaler nicht vor Kompromittierungen sicher. So zeigt sich derzeit am Beispiel von Microsoft recht deutlich, dass auch aktuelle Maßnahmen nicht hundertprozentig schützen können.

Drittmeinungen

Ähnliche Meinungen zur Vorreiterrolle der Cloudanbieter im Sicherheitsbereich werden auch an anderer Stelle vertreten:

• Auf Heise.de sieht man den "Faktor Sicherheit als Vorteil", denn "[d]er Zugriff auf die Ressourcen durch die Mitarbeiter eines Unternehmens ist durch eine Administrierung des Cloud-Anbieters geregelt. Gleiches gilt für den Zutrittsschutz zu Rechner-Anlagen."

• Nach Ansicht von KPMG ist die "Cloud [..] schlicht sicherer als On-Premise-IT" und "[v]iele Finanzunternehmen wissen diesen Sicherheitsaspekt mittlerweile zu schätzen. Während sie [...] früher [...] lieber die Finger von ihr gelassen haben, ist die Sicherheit heute ein wichtiges Entscheidungskriterium für die Nutzung dieser innovativen Technologie."

• Auch die Uni Stuttgart stellt fest, dass "Cloud-Anbieter [..] strenge behördliche Vorgaben befolgen [müssen], was zur Erhöhung der Sicherheit führen kann" und "Cloud-Anbieter spezialisierte Sicherheitsexperten [haben], die Sicherheitsprogramme entwickeln, die die Sicherheit weiter erhöhen."

Fazit

Während die Bedrohungslage für IT-Umgebungen heutzutage ständig zunimmt, scheitern gerade KMUs in Deutschland weiterhin daran, ihre Infrastrukturen ausreichend abzusichern. Selbst die stetige Absenkung der Mindestanforderungen hat bisher nicht dazu geführt, dass die Unternehmen in der Masse ein angemessenes Sicherheitsniveau erreichen. Stattdessen entfernt man sich immer weiter von der gesetzlich geforderten Umsetzung des Stands der Technik.

Der Wechsel von eigenen IT-Infrastukturen hin zu Cloud-Services der Hyperscaler kann gerade für KMUs ein Weg sein, IT-Umgebungen zu erhalten, die von den massiven Sicherheitsinvestitionen der Anbieter profitieren. Dadürch können sie ein Niveau erreichen, das für sie aus eigener Kraft ansonsten nicht erreichbar wäre.