Sicherheitsstandards in der Softwarebranche

by Tobias Tretzmüller

Aktuelle News, IT-Recht, IT-Vertragsrecht29. Oktober 20200 comments

Bei IT-Vorfällen stellt sich oft die Frage, war die Software „sicher“. Doch wer beurteilt diese Eigenschaft – und nach welchen Kriterien? Was bedeutet „Stand der Technik“? Welche allgemeingültigen Sicherheitsstandards sich in der Softwarebranche etabliert haben, erfahren Sie in diesem Artikel:

Was bedeutet Stand der Technik?

Art und Umfang der Pflichten von IT-Herstellern werden vom aktuellen Erkenntnisstand der Wissenschaft und Technik mitbestimmt. Die Rechtsprechung und Vertragsgestalter nehmen in diesem Rahmen häufig Bezug auf den „Stand der Technik“. Dieser grundsätzlich unbestimmte Rechtsbegriff ist zwischen dem innovativeren Technologiestand „Stand der Wissenschaft und Forschung“ und dem bewährten Technologiestand „allgemein anerkannter Regeln der Technik“ angesiedelt. Tatsächlich findet der Rechtsanwender in der österreichischen Gewerbeordnung (§ 71a GewO) eine Definition des Stands der Technik:

Der Stand der Technik…ist der auf den einschlägigen wissenschaftlichen Erkenntnissen beruhende Entwicklungsstand fortschrittlicher Verfahren…deren Funktionstüchtigkeit erprobt und erwiesen ist.

Diese Definition kann jedoch nicht ohneweiters auf die Softwarebranche umgelegt werden. Das für IT-Sicherheit in Deutschland zuständige Bundesamt für Sicherheit in der Informationstechnik stellt gar fest, dass es nicht möglich ist, den „Stand der Technik“ allgemeingültig und abschließend zu beschreiben. Stand der Technik lasse sich jedoch „anhand existierender nationaler und internationaler Standards und Normen ermitteln“.

Die Common Criteria-Standards

Für den IT-Bereich bestehen de facto keine allgemeingültigen Sicherheitsstandards. Das ist dem Umstand geschuldet, dass sich Software stetig und dynamisch weiterentwickelt. Zunehmend werden IT-Produkte allerdings nach den Common Criteria-Standards zertifiziert.

Die Common Criteria, die gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit in der Informationstechnik, bilden die international am weitesten verbreitete Grundlage für die Bewertung und Prüfung der Sicherheitseigenschaften von IT-Produkten und -Systemen. Sie sind seit 1999 weltweit einheitlich als internationaler Standard ISO/IEC 15408 anerkannt und seit 2006 in der Common Criteria Version 3.1. verfügbar.

Die Common Criteria ermöglichen eine unabhängige technische Evaluierung der Funktionalität und Vertrauenswürdigkeit von sogenannten Evaluierungsgegenständen, wie Datenbanken, Software oder Betriebssystemen. Zur Unterstützung der Evaluierung und Zertifizierung von Produkten können auch Entwicklungs- und Produktionsstandorte separat nach den Common Criteria evaluiert und zertifiziert werden.

Diese Evaluierungsgegenstände werden in verschiedenen Evaluierungsstufen geprüft. Es gibt insgesamt sieben hierarchisch geordnete Evaluierungsstufen, die in Bezug auf die Sicherheit zunehmen. Wenn das Gefährdungspotential eher gering ist, ist eine Evaluation nach der Evaluierungsstufe 1 ausreichend. Ab Evaluierungsstufe 4 ist beispielsweise der Quellcode zu analysieren. Ab Evaluierungsstufe 5 kommen formale Verifikationsmethoden hinzu.

Fazit

Bis sich in der Softwarebranche ein einheitlicher Sicherheitsstandard durchgesetzt hat, ist es wohl noch ein langer Weg. Möglicherweise bleibt dies gar eine Utopie. Andererseits nimmt das Bedürfnis nach einer nachweisbar sicheren Software zu. Am ehesten haben aktuell die Common Criteria das Potential, dieses Bedürfnis zu befriedigen. Vertragsverfassern ist zu empfehlen, den doch unbestimmten Begriff des „Stands der Technik“ zu definieren und konkretisieren.

Möglicherweise interessant: Wann ist eine Software mangelhaft?