IT-Sicherheitskongress: Wer definiert Stand der Technik?
Auf dem 15. IT-Sicherheitskongress des BSI wurde diskutiert, wer eigentlich den »Stand der Technik« definiert. Das ist eine wichtige Grundsatzfrage, denn laut dem IT-Sicherheitsgesetz sind Betreiber kritischer Infrastrukturen verpflichtet
zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme
alle nötigen Vorkehrungen
nach dem Stand der Technik
zu treffen.
Worauf ich hinauswill, ist, dass bspw. Antiviren-Scanner auch noch zum »Stand der Technik« zählen. Die aktuelle Artikelserie »Antiviren-Scanner: Mehr Risiko als Schutz? – Snakeoil« wirft allerdings die Frage auf, ob der Einsatz eines AV-Scanners vielleicht nicht mehr schadet, als dass er nutzt.
Vor diesem Hintergrund wäre es interessant zu wissen, wer den Stand der Technik definiert und wie streng sich Verantwortliche daran zu halten haben – gerade im Hinblick auf AV-Scanner. Denn setzt man sich offen und ehrlich mit den Risiken des Einsatzes von AV-Software auseinander und prüft die weiteren, zur Verfügung stehenden technischen und organisatorischen Maßnahmen, dürfte schnell deutlich werden, dass der Einsatz von AV-Scannern doch nicht so alternativlos ist, wie er gerne dargestellt wird. Die Frage ist eben, was würde passieren, wenn sich bspw. der Betreiber einer kritischen Infrastrukturen gegen die Empfehlung handelt und keinen AV-Scanner einsetzt? Gerade bezüglich eines IT-Sicherheitsvorfalls eine interessante Frage. Denn dann müsste ein Verantwortlicher vermutlich nachweisen, dass auch der Einsatz eines AV-Scanners diesen Vorfall nicht verhindert hätte.
Antiviren-Scanner: Mehr Risiko als Schutz? – Snakeoil Teil1
Antiviren-Scanner: Nur ein Sicherheitsgefühl? – Snakeoil Teil2
Alternativen zu Anti-Viren-Software – Snakeoil Teil3
Trügerische Sicherheit: Virenscanner-Apps sind schlichtweg überflüssig
