• Kommentare deaktiviert für Warum der „Stand der Technik“ bei Datenschutz und Informationssicherheit unverzichtbar ist

Warum der „Stand der Technik“ bei Datenschutz und Informationssicherheit unverzichtbar ist

Im digitalen Zeitalter ist kein Unternehmen mehr vor Angriffen auf seine IT-Systeme sicher.

Ob es sich um kleine und mittlere Unternehmen, große Konzerne oder öffentliche Einrichtungen handelt – Cyberkriminelle nutzen jede Schwachstelle, die sich bietet.

Deshalb ist es nicht nur sinnvoll, sondern auch gesetzlich vorgeschrieben, sich am sogenannten „Stand der Technik“ zu orientieren, wenn es um Datenschutz und Informationssicherheit geht.

Was bedeutet „Stand der Technik“?

Der Begriff beschreibt den Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, die sich in der Praxis bewährt haben und von Fachleuten als geeignet angesehen werden. Er ist dynamisch – was heute als sicher gilt, kann morgen bereits veraltet sein.

Ein Beispiel: Vor einigen Jahren galt die Verschlüsselung mit dem Standard TLS 1.0 noch als Stand der Technik. Heute ist sie unsicher und längst durch TLS 1.2 oder TLS 1.3 ersetzt worden. Unternehmen, die noch immer auf TLS 1.0 setzen, verletzen ihre gesetzlichen Pflichten und setzen sich unnötigen Risiken aus.

Rechtliche Pflicht nach DSGVO und Co.

Die Datenschutz-Grundverordnung (DSGVO) verlangt in Art. 32 ausdrücklich, dass Verantwortliche „unter Berücksichtigung des Stands der Technik“ geeignete technische und organisatorische Maßnahmen (TOM) ergreifen. Dazu zählen unter anderem:

  • Verschlüsselung von Daten,
  • Sicherstellung der Verfügbarkeit und Belastbarkeit von IT-Systemen,
  • schnelle Wiederherstellung im Notfall.

Auch das IT-Sicherheitsgesetz, die NIS2-Richtlinie sowie ISO-Normen wie ISO/IEC 27001 oder der deutsche BSI IT-Grundschutz setzen denselben Maßstab. Mit anderen Worten: Der Stand der Technik ist der verbindliche Mindeststandard, an dem sich Unternehmen orientieren müssen.

Warum betrifft das Hardware, Software und Systeme gleichermaßen?

1. Hardware

Veraltete Hardware ist ein Sicherheitsrisiko. Alte Firewalls, Router oder PCs erhalten oft keine Sicherheitsupdates mehr. Ein Unternehmen, das noch auf zehn Jahre alte Hardware setzt, öffnet Hackern Tür und Tor. Beispiel: Der Support-Ende von Windows 7 führte dazu, dass Millionen Rechner ungeschützt im Internet hingen – ein gefundenes Fressen für Cyberkriminelle.

2. Software

Software ist noch anfälliger als Hardware. Veraltete Betriebssysteme oder Programme sind häufig das Einfallstor für Angriffe. Ein klassisches Beispiel ist EternalBlue, eine Windows-Schwachstelle, die Microsoft bereits 2017 geschlossen hatte. Unternehmen, die das Update nicht eingespielt hatten, wurden Opfer der berüchtigten WannaCry-Ransomware.

3. Systeme und Prozesse

Auch ganze IT-Systeme müssen regelmäßig modernisiert werden. Ein Unternehmen, das etwa noch Passwörter ohne Mehrfaktor-Authentifizierung einsetzt, bewegt sich nicht mehr auf dem Stand der Technik. Moderne Systeme nutzen inzwischen Zero-Trust-Architekturen oder verpflichtende MFA-Lösungen, um Angreifer abzuwehren.

Konkrete Beispiele aus der Praxis

  • Ein Krankenhaus speichert Patientendaten unverschlüsselt auf veralteten Servern. Ein Angriff führt zu Datenabfluss – das Krankenhaus verstößt sowohl gegen die DSGVO als auch gegen Patientenrechte.
  • Ein Mittelständler nutzt eine alte Exchange-Server-Version ohne aktuelle Patches. Ergebnis: Ein Hacker verschafft sich Zugang zu allen E-Mail-Konten und verschickt Phishing-Mails im Namen des Unternehmens.
  • Ein Onlinehändler setzt noch auf einfache Passwörter und kein MFA. Ein Angreifer erbeutet Kundendaten – das Unternehmen muss Millionen in Schadensbegrenzung und Bußgelder investieren.

Die Folgen bei Missachtung

Unternehmen, die den Stand der Technik ignorieren, setzen nicht nur ihre Daten und Systeme aufs Spiel. Sie riskieren auch:

  • Bußgelder nach DSGVO (bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes),
  • Haftungsansprüche durch Kunden, Geschäftspartner oder Betroffene,
  • Reputationsschäden, die Vertrauen und Marktstellung massiv beeinträchtigen.

Fazit

Der Stand der Technik ist keine theoretische Anforderung, sondern ein praktischer Maßstab, der täglich über Sicherheit oder Unsicherheit entscheidet. Unternehmen, die ihre Hardware, Software und Systeme konsequent modernisieren, erfüllen nicht nur gesetzliche Vorgaben, sondern schaffen auch Vertrauen bei Kunden und Partnern.

Es gilt also: Datenschutz und Informationssicherheit sind nur dann wirksam, wenn der Stand der Technik eingehalten wird – und dieser verändert sich ständig. Wer heute investiert, spart morgen Kosten, Ärger und möglicherweise sogar die Existenz des Unternehmens.

Handlungsempfehlungen für KMU: So stellen Sie den Stand der Technik sicher

Gerade kleine und mittlere Unternehmen (KMU) stehen oft vor der Herausforderung, mit begrenzten Ressourcen hohe Anforderungen an Datenschutz und Informationssicherheit erfüllen zu müssen. Folgende Maßnahmen helfen, den Stand der Technik im Blick zu behalten:

1. Hardware regelmäßig erneuern

  • Führen Sie eine Bestandsaufnahme aller eingesetzten Geräte durch (Server, Router, Firewalls, Endgeräte).
  • Prüfen Sie die Hersteller-Support-Zyklen (End of Life / End of Support).
  • Ersetzen Sie Hardware rechtzeitig, bevor Updates und Patches eingestellt werden.
  • Beispiel: Ein PC mit Windows 10 darf nach Supportende im Oktober 2025 nicht mehr produktiv genutzt werden, da keine Sicherheitsupdates mehr bereitgestellt werden.

2. Software aktuell halten

  • Richten Sie ein zentrales Patchmanagement ein, um Updates automatisiert einzuspielen.
  • Nutzen Sie nur Software, die vom Hersteller aktiv gepflegt wird.
  • Verzichten Sie auf Eigenentwicklungen oder Nischenprodukte ohne langfristige Wartung.
  • Beispiel: Office-Versionen ohne Sicherheitsupdates (z. B. Office 2010) sind nicht mehr stand der Technik.

3. Systeme modernisieren

  • Setzen Sie auf Mehrfaktor-Authentifizierung (MFA) für alle kritischen Systeme.
  • Verwenden Sie aktuelle Verschlüsselungsverfahren (z. B. TLS 1.3, AES-256).
  • Planen Sie eine regelmäßige Sicherheitsarchitektur-Überprüfung (z. B. durch externe Audits oder Penetrationstests).
  • Beispiel: Ein VPN-Zugang ohne MFA gilt als veraltet und hochriskant.

4. Informationssicherheits-Management etablieren

  • Richten Sie ein ISMS (Informationssicherheits-Managementsystem) ein, z. B. nach ISO/IEC 27001 oder BSI IT-Grundschutz.
  • Dokumentieren Sie technische und organisatorische Maßnahmen (TOMs).
  • Schulen Sie Mitarbeiter regelmäßig zu Cyberrisiken (Phishing, Social Engineering).

5. Kontinuierliche Risikoanalyse durchführen

  • Bewerten Sie jährlich, welche Bedrohungen für Ihr Unternehmen relevant sind.
  • Vergleichen Sie Ihre Schutzmaßnahmen mit aktuellen Empfehlungen von BSI, ENISA oder ISO.
  • Passen Sie Ihre Sicherheitsstrategie flexibel an neue Bedrohungslagen an.

Kurzcheck für KMU: Sind Sie noch auf Stand der Technik?

  • Werden alle Systeme regelmäßig gepatcht?
  • Ist MFA flächendeckend eingeführt?
  • Nutzen Sie verschlüsselte Verbindungen (TLS 1.2 oder höher)?
  • Sind alle Geräte und Systeme noch im Hersteller-Support?
  • Gibt es ein dokumentiertes ISMS oder Sicherheitskonzept?

Wenn eine dieser Fragen mit „Nein“ beantwortet werden muss, besteht Handlungsbedarf – und zwar sofort.

Fragen Sie uns oder vereinbaren Sie einen Termin.