Stand der Technik in der IT-Sicherheit: TeleTrusT-Handreichung als aktualisierte Neuausgabe 2025 verfügbar

Diese vor einigen Jahren durch den TeleTrusT mit Unterstützung der ENISA etablierte „Handreichung“ gilt inzwischen als eine Art Referenzstandard und wird daher häufig zitiert

[datensicherheit.de, 17.06.2025] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) meldet, dass am 17. Juni 2025 nach längerer Vorarbeit eines großen Kreises von Fachleuten als Autoren die vollständig überarbeitete TeleTrusT-Handreichung „Stand der Technik in der IT-Sicherheit“ veröffentlicht wird. Diese vor einigen Jahren durch den TeleTrusT mit Unterstützung der ENISA etablierte „Handreichung“ gilt inzwischen als eine Art Referenzstandard und wird daher häufig zitiert. Das nun vorliegende aktualisierte Dokument ist auf rund 140 Seiten angewachsen und hat erstmals eine ISBN.

Abbildung: TeleTrusT

Vollständig überarbeitete TeleTrusT-Handreichung „Stand der Technik in der IT-Sicherheit“ liegt vor

Gesetzgeber fordert Orientierung der IT-Sicherheit am sogenannten Stand der Technik

Mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (kurz: IT-Sicherheitsgesetz bzw. ITSiG) verfolgt der Gesetzgeber das erklärte Ziel, Defizite in der IT-Sicherheit abzubauen. Zusätzlich gilt seit dem 25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die Technischen und Organisatorischen Maßnahmen (TOM).

• Diese beiden Rechtsgrundlagen fordern die Orientierung der IT-Sicherheit am sogenannten Stand der Technik, lassen aber eben unbeantwortet, was im Detail konkret darunter zu verstehen ist.

Das am 25. Juli 2015 in Kraft getretene ITSiG soll demnach eine Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland herbeiführen. „Die dadurch eingeführten Gesetzesänderungen dienen dem Schutz dieser Systeme hinsichtlich der aktuellen und zukünftigen Gefährdungen der Schutzgüter Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität.“ Ausweislich der Gesetzesbegründung ist das Ziel dieses Gesetzes die Verbesserung der IT-Sicherheit von Unternehmen, der verstärkte Schutz der Bürger im Internet – und in diesem Zusammenhang auch die Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA).

Es muss ein dem Risiko angemessenes Schutzniveau gewährleistet werden

Bei dem IT-Sicherheitsgesetz handelt es sich um ein sogenanntes Artikelgesetz: Es dient lediglich der Änderung mehrerer anderer Gesetze. Durch dieses neue Gesetz wurden unter anderem Regelungen für Kritische Infrastrukturen (KRITIS) im Gesetz über das Bundesamt für die Sicherheit in der Informationstechnik (BSIG) geschaffen und gesetzliche Änderungen im Atomgesetz (AtomG), Energiewirtschaftsgesetz (EnWiG), Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) vorgenommen.

• Die „relevanten KRITIS-Betreiber“ wurden durch die im Februar 2016 veröffentlichte Verordnung konkretisiert. Obwohl das Gesetz augenscheinlich nur auf die KRITIS-Betreiber abstellt, sind von den beschlossen Änderungen auch Anbieter in den Bereichen Telemedien und Telekommunikation betroffen.

„Täglich zeigen Meldungen zu Sicherheitsvorfällen in Unternehmen und Behörden, dass dringender Handlungsbedarf zur Verbesserung der IT-Sicherheit besteht.“ Artikel 32 DSGVO regelt zur „Sicherheit der Verarbeitung“, dass „unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen sind“. Damit solle ein dem Risiko angemessenes Schutzniveau gewährleistet werden, z.B. durch Maßnahmen wie Verschlüsselung.

TeleTrusT-Handreichung soll nun konkrete Hinweise und Handlungsempfehlungen geben

„Sowohl der nationale als auch der europäische Gesetzgeber enthalten sich jedoch konkreter, detaillierter technischer Anforderungen und Bewertungskriterien für die sicherheitsrelevanten Technischen und Organisatorischen Maßnahmen.“ Den Gesetzesadressaten werden auch keinerlei methodische Ansätze geliefert. Diese Ausgestaltung – zumal in einem dynamischen Marktumfeld – soll den Fachkreisen überlassen bleiben.

• Der TeleTrusT flankiert und ergänzt die Rechtslage mit der fachlichen Kompetenz der organisierten IT-Sicherheitswirtschaft in Deutschland und hat deshalb einen verbandsinternen Arbeitskreis „Stand der Tech­nik“ initiiert, um aus Sicht der IT-Sicherheitslösungs­anbieter und ‑berater, den betroffenen Wirtschaftskreisen Handlungsempfehlungen und Orientierung zu geben.

Dieser Arbeitskreis hat den „Stand der Technik“ für die relevanten Systeme, Komponenten und Prozesse im Sinne des IT-Sicherheitsgesetzes in einer Handreichung zusammengefasst – dieses Dokument soll konkrete Hinweise und Handlungsempfehlungen geben.

Weitere Informationen zum Thema:

TeleTrusT, 17.06.2025
Handreichung Stand der Technik in der IT-Sicherheit / Technische und organisatorische Maßnahmen / 2025

SOUNDCLOUD, 2022
Stand der Technik / Franziska Bock, Karsten Bartels, Tamasz Lawicki

heise online, Holger Bleich & Joerg Heidrich, 16.12.2022
Auslegungssache 76: Zum Stand der Technik / Der Terminus „Stand der Technik“ ist so schwammig wie relevant. Im c’t-Datenschutz-Podcast bringen wir Licht ins Dunkel und erläutern, was der Begriff bedeutet.

TeleTrusT, 09.12.2020
IT-Sicherheitsgesetz / „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (ITSiG) / TeleTrusT: Ja zum Gesetzeszweck – Kritik an der Umsetzung

datensicherheit.de, 10.05.2023
Stand der Technik in der IT-Sicherheit: TeleTrusT-Handreichung in überarbeiteter Auflage erschienen / Seit 2019 etablierte und fachlich breit anerkannte Technische und organisatorische Maßnahmen (TOM) zum Stand der Technik

datensicherheit.de, 07.02.2019
Stand der Technik der IT-Sicherheit: Handreichung auch auf Englisch / ENISA und der TeleTrusT – Bundesverband IT-Sicherheit e.V. publizieren Handreichung auch in englischer Sprachfassung

datensicherheit.de, 13.06.2018
Stand der Technik: TeleTrusT veröffentlicht revidierte und erweiterte Handreichung / Technische und organisatorische Maßnahmen im Kontext der DSGVO und des IT-Sicherheitsgesetzes

datensicherheit.de, 24.08.2016
TeleTrusT: Kritische Stellungnahme zum BSI-Diskussionspapier über den Stand der Technik / Bisher keine verlässliche Anleitung für Anbieter von Telemediendiensten

datensicherheit.de, 28.05.2016
Stand der Technik: TeleTrusT legt Handreichung vor / Für Betreiber Kritischer Infrastrukturen wie für jedes Nicht-KRITIS-Unternehmen relevant