Der „Stand der Technik“ ist ein unbestimmter Rechtsbegriff. Das bedeutet, dass er keine gesetzliche Definition hat, sondern von Experten immer neu definiert wird und sich mit der Zeit verändert. Der Begriff kann jederzeit von Gerichten und Behörden nachgeprüft und in Frage gestellt werden.

Es ist aber auch wichtig, dass es diesen Begriff z.B. in Gesetzen gibt, um damit technischen Veränderungen gerecht zu werden.

• Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO
• § 8a Abs. 1 S. 2 BSIG für Betreiber Kritischer Infrastrukturen (Beachte Ausweitung durch NIS2-Richtlinie!): „Dabei soll der Stand der Technik eingehalten werden“, d.h. in begründeten Ausnahmefällen ist eine Einhaltung nicht notwendig. Bsp.: Updates könnten zum Ausfall der kritischen Dienstleistung führen.
• § 8a Abs.1a BSIG: ab 01.05.2023 Einsatz von Systemen der Angriffserkennung verpflichtend; Besonderheit: Gem. Abs. 2 Möglichkeit der Festlegung branchenspezifischer(!) Standards durch Branchenverbände, also auf Besonderheiten der Branche bezogen (allgemeine Normen DIN und ISO ohne Abänderung nicht ausreichend). Müssen sich am Stand der Technik orientieren, also (i.d.R.) sich neuesten Entwicklungen anpassen. Geeignetheitsfeststellung des Standards durch BSI erfolgt regelmäßig für zwei Jahre. Betreiber sind aber nicht verpflichtet, den Standard umzusetzen. Können davon abweichen, solange notwendiges Sicherheitsniveau eingehalten wird. Eine Übersicht von solchen branchenspezifischen Standards findet man auf der Homepage des BSI.
• § 8c Abs. 2 S. 1 BSIG für Anbieter digitaler Dienste (Beachte Ausweitung durch NIS2-Richtlinie): Auch hier Abmilderung, da nur Sicherheitsniveau, das dem Risiko angemessen ist, notwendig ist
• § 19 Abs. 4 S. 2 TTDSG für Anbieter von Telemedien (Schutz gegen Störungen und unberechtigtem Zugriff auf die Einrichtungen)
• § 165 Abs. 1 S. 2 TKG für Telekommunikationsanbieter (Schutz Fernmeldegeheimnis und personenbezogener Daten)

Allgemein anerkannte Regeln der Technik:

• für Fälle mit geringem Gefährdungspotential
• schriftlich (oder mündlich) überlieferte technische Festlegungen
• sind allgemein bzw. von der Mehrheit der Fachleute (als sinnvoll/richtig) anerkannt und haben sich über einen längeren Zeitraum in der Praxis bewährt
• Umgangssprachlich: „So machen wir das schon seit Jahren“
• D.h. die neuesten technischen Entwicklungen, die sich noch nicht etabliert haben, sind damit nicht zu berücksichtigen (Unterschied zu „Stand der Technik“)

Stand der Technik (engl. „state of the art“)

• Verzichtet auf die allgemeine Anerkennung und Bewährtheit in der Praxis und schließ damit die neusten Entwicklungen in der Technik mit ein.
• Beurteilendes Unternehmen, Behörde, Gericht, muss sich mit dem aktuellen Stand beschäftigen. Man muss herausfinden, welche Techniken und Ansichten der Fachleute (inklusive der Neuesten!) es gibt und abwägen, welche Verfahrensweise technisch notwendig, geeignet und angemessen ist.
• D.h. nicht, dass sich Behörden und Gerichte tiefgehend auf technischer Ebene mit der Fragestellung auseinandersetzen (Dürfen sie auch nicht, außer sie eignen sich das notwendige technische Wissen selbst an). Vielmehr vertrauen sie hierzu auf Fachleute /Sachverständige.
• Wurde ermittelt, was der Stand der Technik ist, muss z.B. das Gericht nur noch anhand der Sachlage beurteilen, ob die in Frage stehende Verfahrensweise dem entspricht. Hierzu bedient sich das Gericht (i.d.R.) auch Sachverständiger. Kommt es zu Meinungsverschiedenheiten von Sachverständigen, kann der Rechtsanwender zwischen beiden Meinungen entscheiden oder – wie oft – sich darauf beschränken, nach der Beweislast zu entscheiden.
• Im Gegensatz zum „Stand der Wissenschaft und Technik“ sind rein in der Wissenschaft existierende Techniken und Meinungen nicht zu berücksichtigen (mind. praktisch erfolgreiche Erprobung notwendig).

Stand der Wissenschaft und Technik:

• Für Fälle mit sehr hohem Gefährdungspotential (z.B. AtomG)
• Neueste wissenschaftlich vertretbare Erkenntnisse müssen berücksichtigt werden
• Ergeben diese Erkenntnisse, dass alle bisherigen Techniken nicht ausreichend sind, um das gesetzliche Ziel zu erreichen und ist eine wissenschaftliche Lösung praktisch (noch) nicht umsetzbar, dann ist dies hinzunehmen. Es gibt also keine Ausrede: „Das ist technisch aber (noch) nicht umsetzbar“.

Ein Penetrationstest, oft auch als "Pen-Test" bezeichnet, kann als Stand der Technik betrachtet werden, wenn er aktuelle Methoden und Techniken verwendet, um Sicherheitslücken in IT-Systemen aufzudecken. Dies schließt die Verwendung von modernen Tools und Software, aktuelles Wissen über Sicherheitslücken, Exploits und die Fähigkeit, sich gegen aktive Bedrohungen zu verteidigen, ein.

"Stand der Technik" bezieht sich dabei auf den aktuellen Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, die die praktische Eignung einer Maßnahme zur Erreichung eines vorgegebenen Ziels sichern, hier speziell der IT-Sicherheit.

Mehr Infos

Ein Penetrationstest gilt dann als Stand der Technik, wenn er:

• Die neuesten Erkenntnisse in der IT-Sicherheit widerspiegelt.
• Mit Tools durchgeführt wird, die auf dem neuesten Stand sind und kontinuierlich aktualisiert werden.
• Von Fachkräften mit aktuellem und relevantem Wissen in der Cybersicherheit durchgeführt wird.
• Aktuelle Schwachstellen und Bedrohungsvektoren berücksichtigt.
• An die spezifische IT-Infrastruktur und an die spezifischen Anforderungen des zu testenden Unternehmens oder der zu testenden Organisation angepasst wird.
•  

In rechtlichen Kontexten, wie etwa bei der Bewertung im Rahmen der DSGVO oder bei der Festlegung von Sicherheitsstandards in Unternehmen, wird der "Stand der Technik" oft herangezogen, um die Angemessenheit der Sicherheitsmaßnahmen zu bewerten.

Mehr Infos vom BSI

Handreichung zum Stand der Technik 

Stand: Februar 2024