Normen und Standards
Normen und Standards. Weltweit schaffen sowohl Normen als auch Standards Klarheit über die Eigenschaften von innovativen Produkten und fachmännisch ausgeführten Dienstleistungen, um Wertschöpfungspotentiale in herausfordernden Wettbewerbs- und Marktsituationen zu generieren. Ferner gestalten hinreichende Normen und Standards einen zuverlässigen Rahmen sowie entscheidende Anforderungen für fortschrittliche Zukunftsfelder. Beides erfolgt im Spannungsfeld zwischen Individualisierung und Vereinheitlichung und steht nicht zwangsläufig im Widerspruch zueinander. Darüber hinaus dienen wirtschaftlich sinnvolle Normen und Standards – als Stand der Technik – in allen Lebensbereichen unserer Gesellschaft einer systematischen Qualitätsverbesserung und machen insofern Sinn. Insbesondere betrifft dies die fünf Bereiche der Gesellschaft, Technik, Verwaltung, Wirtschaft (z.B.: Industrie, Produktion) und Wissenschaft.
Das bedeutet, sowohl Normen als auch Standards sind für die globale Wirtschaft und insofern besonders auch auf lokaler Ebene von großer Bedeutung um bekannte Probleme zu lösen. Darüber hinaus schafft die Anwendung von Standards einerseits Effizienzverbesserungen bei Prozessen und schlägt systematische Methoden vor um Werte zu erschaffen. Daraus folgt, dass die Anwendung von Standards Vertrauen in Produkte und Dienstleistungen auf Märkten etabliert. Andererseits geben Standards Orientierung hinsichtlich Minimalanforderungen zur Sicherheit und zum Wohle aller.
Die angewendeten Normen und Standards repräsentieren den nationalen, regionalen aber auch internationalen Stand der Technik und orientieren sich daher an internationalen Best-Practices. Insbesondere umfasst dies nationale rechtliche Anforderungen (z.B. SVG, SVV), europäischer Richtlinien (eIDAS, DSGVO, NIS-Richtlinie etc.) oder dem Stand der Technik entsprechenden Rahmenwerken hinsichtlich technisch-organisatorischer Anforderungen (z.B.: CEN, Common Criteria for Information Technology, DIN, EESSI, ETSI, IETF, ISO, ITSEC, NIST, ÖNORM, Schutzprofile, SOG-IS, WebTrust for CA).
Zur detaillierten Erklärung und der Beschreibung der A-SIT-Tätigkeiten finden Sie hier eine Auflistung relevanter Normen und Standards sowie von Best-Practices. Hintergründe über Beschlüsse, Gesetze, Verordnungen etc. können Sie im Bereich der Rechtsgrundlagen nachschlagen.
AUFLISTUNG NACH GRUPPIERUNG
Normen vs. Standards. Im deutschsprachigen Raum erfolgt eine Unterscheidung zwischen Normen und Standards während der angloamerikanische Raum beides als Standard gleichsetzt. Häufig basiert die Entwicklung einer Norm insbesondere zufolge des höheren Entwicklungstempos auf der Grundlage eines bereits etablierten Standards. Ungeachtet dessen sind die vollständige Einhaltung oder eine Orientierung an Normen sowie Standards solange freiwillig, bis diese Vertragsinhalt sind oder Gesetzgeber diese rechtsgültig vorschreiben.
Die Norm. Bei einer Norm handelt es sich vorrangig um ein qualifiziertes Dokument fundierter Empfehlungen und Rahmenbedingungen. Es wird durch die Beteiligung relevanter Stakeholder an einer Problemlösung, mit dem Ziel eines Konsenses konzipiert und ausgearbeitet. Beispiele für Normen im IT-Sicherheitsbereich umfassen etwa: DIN ISO/IEC 27000 Reihe, ÖVE/ÖNORM EN ISO/IEC 17065 etc.
Ein Standard. Die Entwicklung von Standards kann sich im Gegensatz zu einer Norm auch unter Ausschluss der Öffentlichkeit ereignen. Zudem erfolgt dies entweder formalisiert oder nicht formalisiert. Das bedeutet, die Entwicklung findet entweder im Rahmen eines Regelwerks (z.B.: Framework, Norm) statt oder resultiert aus ungeplanten Prozessen (z.B.: zufällige Verbreitung, zahlenmäßige Nutzung). Bei Best-Practices handelt es sich ferner um weit verbreitete sogenannte De-facto-Standards auf der Grundlage unverbindlicher Empfehlungen. Die folgenden Beispiele repräsentieren Standards aus dem Bereich der IT-Sicherheit: BSI-Standard 200-2, Common Criteria for Information Technology Security Evaluation, SOG-IS-Crypto-Catalogue etc. Relevante Standards aus anderen Branchen und Themenfeldern sind zum Beispiel: HL7, USB etc.
Der Normungsprozess wird im angloamerikanischen Raum daher auch als Standardization zusammengefasst. Für die Planung, Konzeption, Spezifizierung, Realisierung und Veröffentlichung sind Normungsorganisationen verantwortlich. Darüber hinaus entstehen Normen auf nationaler, regionaler und internationaler Ebene.
Protection-Profiles. Standardisierte Schutzprofile nach Common-Criteria definieren den Schutzbedarf und die Sicherheitsziele für Produktklassen. Insbesondere für die digitale Signatur und elektronische Identitäten sind diese Schutzprofile relevant.
Gesellschaftlicher Nutzen. Auch Verbraucherinnen und Verbraucher profitieren von der weltweiten Normung und Standardisierung wodurch das Leben einfacher wird. Normen und Standards aus dem vernetzten Funktionsbereich der Sicherheit für die Informationstechnik (auch: IT-Security) sind besonders nützlich, weil vornehmlich die Qualität von Sicherheitseigenschaften für Dienstleistungen, Prozesse, Systeme und Produkte dadurch international vergleichbar ist. Daraus folgen auch eine Förderung der Innovationsverbreitung und eine Stärkung der Kompatibilität der beteiligten Systeme. Weiters ist die Entwicklung neuer Lösungen auf der Grundlage rechtsverbindliche verankerter Grundsätze (z.B.: Privacy und Security-by-Design) von Anfang an zweckmäßig möglich. Darüber hinaus haben Normen und Standards gerade im Hinblick auf die Wirksamkeit zur Vorbereitung auf künftige Sicherheitsanforderungen in einer hochgradig vernetzten Welt (z.B.: Internet-of-Things) einen hohen Stellenwert. Die beschriebenen Faktoren sorgen daher für eine Verbesserung der Wirtschaftsleistung und liefern einen Volkswirtschaftlichen Nutzen entlang der Wertschöpfungskette im Bereich der IT-Sicherheit:
- Bereichsübergreifende Interoperabilität von Komponenten und Systemen
- Effizientes Risikomanagement und Minimierung von Schadensfolgen
- Eine gemeinsame Sprache, gemeinsame Systeme und Reduktion von Missverständnissen
- Einheitliche Messung, methodische Evaluierung, systematische Prüfung und permanente Verbesserung der Leistungsfähigkeit
- Internationale Kooperation für unterschiedliche Organisationen/Unternehmen
- Identifizierung von Schwachstellen und Ableitung von Maßnahmenplänen
- Qualitätssicherung und kontinuierliche Verbesserung
- Reduktion von Redundanzen und methodische Vereinfachungen komplexer Kernprobleme
- Schaffung neuer Marktzugänge
- Schutzfunktion für Verbraucherinnen und Verbraucher unter vertrauenswürdigen Erwartungen
- Sichtung bestehender Leistungsstandards und auf geleisteten Vorarbeiten aufbauen
Links
- Common Criteria
- Österreichisches Normungsinstitut
- ETSI – Technical Standards, Technical Reports und Special Reports in Zusammenhang mit elektronischer Signatur.
- Electronic Signatures – European Committee for Standardization