Technische und organisatorische Maßnahmen (TOMs)


Das ITSiG und die DSGVO fordern die Einhaltung oder mindestens die Berücksichtigung des Standes der Technik von technischen und organisatorischen Maßnahmen. Eine weitere Konkretisierung der relevanten Systeme und Komponenten erfolgt seitens des Gesetzgebers nicht. Daher muss von der Einhaltung des Standes der Technik alle relevanten Komponenten der Datenverarbeitung, einschließlich aller Datenübertragungs-, Datenspeicherungsmöglichkeiten, ausgegangen werden. 

Da die IT Infrastrukturen sehr anwendungs- und branchenabhängig sind, ist eine vollumfassende Auflistung der einzelnen Komponenten im Rahmen dieser Handreichung nicht möglich. Die Autoren haben sich daher auf die Beschreibung der wesentlichen Komponenten und Prozesse fokussiert.

1.1 Allgemeine Hinweise

Anwendungen sind im Bereich der Verwendung im Kontext des IT-Sicherheitsgesetzes teilweise sehr speziell. Hierbei geht es beispielsweise von der einfachen sicheren E-Mail-Kommunikation bis hin zur sicheren Steuerungsfunktionalität in einem Kraftwerk. Auf Grund dessen ist es nur schwer möglich in dieser Studie eine vollumfassende Auflistung der Anwendungen zu erstellen und diese Anwendung auch zu beschreiben. Ebenfalls kann IT-Sicherheit unterschiedlich umgesetzt wegen. "Viele Wege führen nach Rom" und so gibt es auch nicht DIE EINE Umsetzung einer sicheren Architektur. Deshalb sollen hierbei wesentliche Punkte genannt werden, die als "Stand der Technik" im Sinne der heutigen Nutzbarkeit von IT-Sicherheit verstanden werden können.

Der jeweilige Schutzbedarf ist abhängig von der jeweiligen Anwendung. Gemäß IT-Sicherheitsgesetz müssen die IT-Sicherheitsziele Integrität, Authentizität, Verfügbarkeit bzw. Vertraulichkeit betrachtet werden, auch wenn Sie ggf. für die einzelne Abbildung mit unterschiedlichem Schutzbedarf bewertet werden. Dies bedeutet, dass vor allem folgende Schutzziele zu berücksichtigen sind:

  • Schutz vor Angriffen zum unberechtigten Mitlesen, Ändern, Löschen von übermittelten und gespeicherten Daten
  • Schutz vor Angriff auf Verfügbarkeit der jeweiligen Dienste und Daten beim Betreiber und Nutzer
  • Schutz der Betriebs- und Anwendungssysteme vor unberechtigten Manipulationen, usw.

Zudem muss neben der Realisierung angemessener Schutzmaßnahmen auch das Erkennen von Angriffen auf IT-Systeme, -Dienste und Daten nach dem Stand der Technik gewährleistet werden.

Die Funktionalität zur Umsetzung der gewünschten IT-sicherheitstechnischen Anwendung muss stets vollständig und korrekt umgesetzt sein. Dies sollte von einem unabhängigen Prüfer nachvollziehbar geprüft worden sein. Die Umsetzung muss dabei stets fortschrittliche Verfahren berücksichtigen. Dies sind beispielsweise:

  •  2-Faktor-Authentifizierung
  • gegenseitige Authentisierung
  • Verschlüsselung der Kommunikation während des Transports
  • Verschlüsselung der Daten (z.B. bei der Speicherung)
  • Sicherung des privaten Schlüssels vor unberechtigten Kopieren
  • Einsatz von sicheren Boot-Prozessen
  • Sichere Software-Administration einschl. Patch-Management
  • Sichere Benutzer-Administration mit aktiver Sperrmöglichkeit
  • Sichere Abbildung von Netzwerkzonen zum zusätzlichen Schutz auf Netzwerk-Ebene
  • Sichere Daten-Kommunikation zwischen unterschiedlichen Netzwerkzonen
  • Sicheres Internet-Browsen
  • Umsetzung des Need-To-Know-Prinzips
  • Umsetzung des Minimal-Ansatzes (einschl. Härtung)
  • Umsetzung von Logging-, Monitoring-, Reporting- und Response-Management-Systemen
  • Umsetzung von Malware-Schutz
  • Einsatz von sicheren Backup-Systemen zur Sicherung vor Verlust von Daten
  • Mehrfache Auslegung der Systeme zur Umsetzung von Hochverfügbarkeit, etc.

Darüber hinaus muss neben einzelnen technischen Anwendungsfunktionalitäten auch die gesamte Sicherheitsarchitektur betrachtet werden. Hierzu sind im Rahmen der Bedingungen folgende Punkte zu bewerten (die BNetzA fordert für die Umsetzung hinsichtlich des IT-Sicherheitskataloges gemäß EnWG §11 eine Risikoeinschätzung hoch als Standard bzw. kritisch für kritische Prozesse und Anwendungen):

  • Für den Anwender muss ersichtlich sein, unter welchen Bedingungen er das jeweilige System in der jeweiligen sicheren Konfiguration nutzen und einsetzen kann. Sollten unterschiedliche Einsatzszenarien auf einem Gerät möglich sein (z.B. Zugriff auf Office-IT über Session 1 und Zugriff auf die Prozess-IT über Session 2 ist dies optisch für den Anwender jeweils aussagekräftig darzustellen.
  • Eine ganzheitliche Sicherheitsarchitektur für das Produkt bzw. den Dienst und einer entsprechenden Dokumentation für die Evaluation durch unabhängige Dritte sollte existieren und umgesetzt sein.
  • Die verwendete Kryptographie muss modern und bis Ende des Produktlebenszyklus aktuell und sicher abgebildet werden können. Hierzu empfiehlt das BSI stets aktuell gehaltene Kataloge mit geeigneten Algorithmen.
  • Das eingesetzte Produkt bzw. der jeweilige Dienst darf keine Backdoors beinhalten, die ein Mitlesen oder gar Manipulation der Daten und Anwendungen gestatten.
  • Der Hersteller darf keine Zugriffsschnittstellen, die unabhängig vom Betreiber genutzt werden können, aufweisen.
  • Es wäre empfehlenswert, die Umsetzung der Sicherheitsfunktion von vertrauenswürdigen Dritten prüfen zu lassen.
  • Die in der Anwendung umgesetzten Prozesse (z.B. Benutzerberechtigung, Key Management etc.) sind sicher abzubilden.


Um ein Produkt hinsichtlich "Stand der Technik" zu bewerten, gibt es weitere Kriterien, die zu erfüllen sind. Dies sind die folgenden:

  • Das Produkt bzw. die Dienstleistung internationale Standards berücksichtigen und interoperabel mit Standard-Protokollen sein, soweit diese verwendet werden.
  • Wenn branchenspezifische Standards existieren, sollten diese bei dem Einsatz berücksichtigt werden.
  • Das Produkt oder die Dienstleistung muss einen störungsfreien Betrieb der Komponenten ermöglichen (Marktreife).
  • Das Produkt oder die Dienstleistung muss mit Erfolg in der Praxis erprobt worden sein.
  • Bei der Bewertung ist zu berücksichtigen, dass die Lösung als Einheit betrachtet werden muss, wenn eine Kopplung aus Hard- und Software gegeben ist.
  • Das Produkt muss hinsichtlich der Sicherheits- und der Anwendungsfunktionalität sicher updatefähig sein.


Der Hersteller der Lösung unterliegt ebenfalls in der Bewertung der Lösung Kriterien, die bei der Auswahl von Stand der Technik-Umsetzungen berücksichtigt werden müssen. Der Hersteller kann Investitionssicherheit für die jeweilige Umsetzung garantieren. Dies bedeutet, dass folgende Prüfungen erfolgen sollten:

  • Finanzieller Background des Herstellers garantiert weitere Lebenszyklen des Produktes.
  • Es existiert ein etabliertes Produktmanagement für das jeweilige Produkt und ein Roadmap für die weitere Entwicklung für den Zeitraum des Einsatzes beim Anwender.
  • Das Produkt ist während des Einsatzzeitraums nicht als Auslauf-Produkt gekennzeichnet.
  • Der Hersteller reagiert pro-aktiv auf bekannt gewordene Schwachstellen, die sein Produkt betreffen und schließt diese kurzfristig und stellt notwendige Software-Updates zur Verfügung.
  • Der Hersteller produziert die jeweilige Lösung in einer vertrauenswürdigen Umgebung mit vertrauenswürdigen Personal.
  • Der Hersteller beherrscht eigenständig die vollständigen Sicherheitsfunktionen und hat sich bzgl. der Sicherheitsfunktionen in keine Abhängigkeiten durch weitere Zulieferer begeben.

Sollten Zuliefer-Produkte verwendet werden, die eine geringere Vertrauenswürdigkeit aufweisen, ist durch die Sicherheitsarchitektur des Produktes und Maßnahmen im Produktionsprozess beim Hersteller zu gewährleisten, dass die Gesamtsicherheitsarchitektur hinsichtlich des definierten Schutzbedarfs bestehen bleibt.

1)TeleTrust, IT-Sicherheitsgesetz und Datenschutz-Grundverordnung, Handreichung "Stand der Technik" technische und organisatorische Maßnahmen,https://www.teletrust.de/fileadmin/docs/fachgruppen/ag-stand-der-technik/2020-01_TeleTrusT_Handreichung_Stand_der_Technik_in_der_IT-Sicherheit_DEU.pdf