In unserer zweiteiligen Serie möchten wir auf die aktuelle Handreichung des TeleTrusT-Arbeitskreises eingehen und unsere Sicht darstellen. Los geht’s 😊.

„Stand der Technik“ – TEIL 1

Was bedeutet „Stand der Technik“ in der IT-Security – und warum ist das jetzt so wichtig?

Die IT-Sicherheitslage bleibt angespannt und der Druck auf Unternehmen steigt: Neue gesetzliche Anforderungen wie NIS-2, DORA, die DSGVO oder das kommende NIS2UmsuCG verlangen nicht nur mehr Sicherheitsmaßnahmen, sondern auch deren Nachweisbarkeit. Im Zentrum vieler Regelungen steht ein Begriff, der so klar klingt, aber alles andere als eindeutig ist: der Stand der Technik.

Doch was heißt das konkret? Welche Maßnahmen gelten heute als angemessen? Und wie können Unternehmen den Nachweis führen, dass ihre Schutzvorkehrungen aktuellen Standards entsprechen?

Antworten liefert der frisch veröffentlichte „Stand der Technik“-Report vom Bundesverband IT-Sicherheit e.V. (TeleTrusT) 🚀. Die jährlich überarbeitete Handreichung gilt in Fachkreisen längst als wertvoller Wegweiser nicht nur für KRITIS-Betreiber, sondern für alle Organisationen, die ihre IT-Sicherheit rechtskonform, wirksam und zukunftssicher aufstellen wollen.

Im Folgenden beleuchten wir, was genau TeleTrusT unter dem „Stand der Technik“ versteht, welche gesetzlichen Anforderungen es zu beachten gilt und welche technischen und organisatorischen Maßnahmen Unternehmen heute wirklich umsetzen sollten und wo wir genau als Teal zielgerecht unterstützen können.

Was ist eigentlich der Stand der Technik?

Der Begriff Stand der Technik klingt objektiv, ist aber in der Praxis oft schwer zu greifen. Laut TeleTrusT ist damit die am Markt verfügbare Bestleistung einer Maßnahme gemeint, die geeignet ist, gesetzliche IT-Schutzziele wie Verfügbarkeit, Vertraulichkeit und Integrität effektiv zu erreichen. Es geht also nicht zwingend um das Neueste oder Innovativste, sondern um das, was sich im professionellen Umfeld bewährt hat und tatsächlich schützt.

Im Vergleich dazu:

• • Der Stand der Wissenschaft und Forschung umfasst hochinnovative Lösungen – oft noch ohne Marktreife.
  • Die allgemein anerkannten Regeln der Technik sind bewährte Methoden – aber unter Umständen veraltet oder leicht angreifbar.

Was bedeutet das für Unternehmen? Der Stand der Technik ist keine einzelne Maßnahme, sondern immer abhängig vom Schutzbedarf, der Bedrohungslage und der konkreten Anwendung. Er kann durch ein Maßnahmenbündel erreicht werden und muss regelmäßig überprüft und angepasst werden, um wirksam zu bleiben.

Welche Regularien verlangen den Stand der Technik?

Mittlerweile taucht der Begriff Stand der Technik in nahezu allen relevanten Sicherheits- und Datenschutzvorgaben auf, auch wenn er dort nie eindeutig definiert wird. Die Folge: Unternehmen müssen selbst entscheiden, was konkret „angemessen“ oder „erforderlich“ ist und das kann schnell zur rechtlichen Grauzone werden.

Einige wichtige Beispiele:

• • NIS-2-Richtlinie: Weitreichende EU-Vorgabe mit Meldepflichten und Anforderungen an Sicherheits- und Risikomanagement – inklusive expliziter Berücksichtigung des Stands der Technik.
  • DORA: Für den Finanzsektor verbindlich und fordert robuste IKT-Risikomanagementmaßnahmen, die „angemessen“ und „ordnungsgemäß“ sein müssen.
  • DSGVO (Art. 32): Datenschutz durch Technikgestaltung (Privacy by Design) verlangt technische und organisatorische Maßnahmen, unter Berücksichtigung von Risiko, Kosten und dem Stand der Technik.
  • BSI-Gesetz & IT-Sicherheitsgesetz 2.0: Verpflichtet KRITIS-Betreiber, aber auch Unternehmen im besonderen öffentlichen Interesse (UBI), zur Umsetzung technischer und organisatorischer Maßnahmen, inklusive Nachweisführung.
  • TISAX, ISO 27001, BSI Grundschutz: Normen und Standards, die den Stand der Technik in Form von konkreten Anforderungen oder Best Practices operationalisieren.

Die Einhaltung des Stands der Technik ist also kein „nice to have“, sondern ein gesetzlich verankerter Mindeststandard. Und: Wer ihn missachtet, riskiert Bußgelder, Haftungsfragen und Reputationsverlust.

Relevante Bausteine für die IT-Sicherheit

Teal ist spezialisiert auf das Thema Identity Protection. Deswegen widmen wir uns vor allem den Themen, die in der Handreichung des TeleTrusT beschrieben sind, mit denen wir über die letzten Jahre viele Erfahrungen gesammelt haben. Die Maßnahmen aus den nachfolgenden Bausteinen sind aus unserer Sicht essenziell, um eine zeitgemäße und sichere Infrastruktur zu betreiben.

Passwortmanagement

Die Verwaltung von Passwörtern ist auf den ersten Blick relativ „einfach“ zu beherrschen. Wenn man genauer hinschaut, stellen sich jedoch mehrere Fragen, auf die es mehrere Lösungswege geben kann. Gleichzeitig müssen End-Benutzer mit den geforderten Vorgaben klarkommen und im Idealfall nicht davon beeinträchtigt werden. Dasselbe gilt für die Passwortverwaltung von „non-human-identities“ (service accounts) und administrativen Benutzer, die oftmals das wesentlich attraktivere Ziel für Angreifer darstellen und die meistens schlecht abgesichert sind.

In der TeleTrusT-Handreichung beschreiben die Kapitel „3.2.1 Authentisierung“, „3.2.2 Bewertung und Durchsetzung starker Passwörter“ und „3.2.3 Multifaktor-Authentifizierung“ den sicheren Umgang mit Passwörtern.

Die Einschätzung des TeleTrusT-Reports zeigt auf folgenden zwei Grafiken, dass gegenüber der Bewertung aus 2023 die Themen „Bewertung und Durchsetzung starker Passwörter“ und „Multifaktor-Authentifizierung“ wesentlich an Bedeutung gewonnen haben.

Abb.1: Bewertung und Durchsetzung starker Passwörter

Abb.2: Multifaktor-Authentifizierung

Die Maßnahmen sollen vor allem verhindern,

• • dass andere Personen schwache Passwörter erraten,
  • dass gestohlene oder bekannte Passwörter von anderen genutzt werden,
  • und dass jemand die Identität einer anderen Person stiehlt, missbraucht oder betrügerisch verwendet.

Grundsätzlich wird in der Authentisierung zwischen Wissen (z.B. ein Passwort), Besitz (z.B. ein FIDO-Stick) und biometrischen Eigenschaften (z.B. ein Fingerabdruck) unterschieden. Die Kombination dieser Grundsätze sichert die Authentisierung ab, zusätzlich sollten aber folgende Dinge berücksichtigt werden:

• • Benutzerkonten und vor allem auch administrative Benutzer müssen zwingend durch einen weiteren Authentifizierungsfaktor abgesichert werden. Hier kann z.B. Windows Hello for Business, Azure MFA oder SCAMA helfen.
  • Komplexe Passwörter zu verwenden, ist unerlässlich. Außerdem sollten Passwörter nach Ihrem individuellen Schutzbedarf abgesichert werden. Im Domänenumfeld können hier z.B. Fine Grained Password Policies (FGPP) verwendet werden.
  • Zusätzlich müssen zwingend regelmäßig überprüft werden, ob kompromittierte Passwörter in Verwendung sind. Ist dies der Fall, müssen Benutzer informiert und zum Passwortwechsel aufgefordert werden. Hier können Administratoren kommerzielle Angebote wie Azure Password Protect oder kostenfreien wie DSInternals verwenden.
  • Das regelmäßige Ändern von Passwörtern für Service Accounts und Funktionsbenutzer stellt eine oft vernachlässigte, jedoch essenzielle Sicherheitsmaßnahme dar. Wo möglich, sollte der Einsatz von Group Managed Service Accounts in Betracht gezogen werden, um diesen Prozess zu automatisieren. Ist dies nicht umsetzbar, können alternative Automatisierungslösungen den administrativen Aufwand deutlich reduzieren. Falls auch dies nicht realisierbar ist, sollte der Passwortwechsel zumindest dokumentiert und gezielt an Dritte – etwa einen Dienstleister oder Auszubildende – delegiert werden. Auf diese Weise lässt sich die Belastung der ohnehin stark geforderten Administratoren gezielt verringern.

(3.2.5) Verschlüsselung von Datenträgern

Das Verschlüsseln von Datenträgern ist eine altbewährte Methode, um „Data at rest“ effektiv zu schützen. Gerade im Bereich der Clients ist diese Maßnahme bereits weit verbreitet und verhindert z.B. Datenverlust, wenn ein Laptop aus dem Hotelzimmer bei einer Konferenz oder ähnlichem gestohlen wird. Die Einschätzung des TeleTrusT-Arbeitskreises war bereits 2023 eindeutig. Die Verschlüsselung von Datenträgern ist ein unerlässlicher Baustein in der IT-Sicherheit. Im 2025er Bericht ist diese Maßnahme sogar nochmals höher bewertet worden, was die Dringlichkeit erneut verdeutlicht.

Im Serverbereich ist die Festplattenverschlüsselung bislang noch nicht flächendeckend etabliert. Aus unserer Sicht liegt dies vor allem daran, dass es über viele Jahre hinweg bei VMware-Hypervisoren nur mit zusätzlicher Software möglich war, Gast-Systeme zu verschlüsseln. Inzwischen ist dies jedoch auch mit Bordmitteln umsetzbar – und sollte dringend als Standard umgesetzt werden.

Unternehmen, die Hyper-V einsetzen, hatten hier von Beginn an Vorteile: Ähnlich wie im Client-Bereich konnte die Verschlüsselung mit BitLocker genutzt und sinnvoll mit einer Pre-Boot-Authentifizierung kombiniert werden. Dabei muss vor dem Systemstart zunächst eine PIN eingegeben werden, bevor ein Zugriff durch den Anwender möglich ist.

Unabhängig von der eingesetzten Technologie ist es zwingend erforderlich, die zugehörigen Entschlüsselungsschlüssel sicher zu speichern und zuverlässig vor unbefugtem Zugriff zu schützen. Im Fall von BitLocker bietet sich beispielsweise eine Sicherung im Active Directory an. Dadurch können Helpdesk-Mitarbeitende im Bedarfsfall, etwa bei vergessener PIN oder technischen Problemen, effektiv unterstützen.

Zusammenfassend handelt es sich um eine längst etablierte Sicherheitsmaßnahme, deren Umsetzung in jedem Unternehmen mittlerweile selbstverständlich sein sollte.

(3.2.8) Schutz des elektronischen Datenverkehrs mit PKI

Wenn Informationen ausgetauscht werden, sind zwei Dinge von zentraler Bedeutung. Zum einen muss der Empfänger sicher sein, dass der Absender auch wirklich der Absender ist. Zum anderen müssen beide Parteien sicher sein, dass die Nachricht unverändert beim Empfänger ankommt. Um beides sicherzustellen, betreiben viele Unternehmen eine Public Key Infrastructure oder auch Certificate Authority genannt. Genauso ist es auch möglich von externen Anbietern vertrauenswürdige Zertifikate zuzukaufen. Die Handreichung des TeleTrusT empfiehlt diese Maßnahme, um insbesondere vor folgenden Bedrohungen zu schützen:

• • Diebstahl der Identität / Vortäuschung einer falschen Identität
  • Manipulation der Inhalte von elektronischen Nachrichten oder Dateien
  • Manipulation der zeitlichen Einordnung von Nachrichten oder Dateien

Die Maßnahme ist seit längerem als Stand der Technik klassifiziert und ist im 2025er Report nochmals leicht angehoben worden:

Wer eine eigene Zertifizierungsstelle betreibt, sollte jedoch wissen, dass diese Systeme auch gezielt angegriffen werden. Da unter anderem auch Domain Controller Zertifikate zur verschlüsselten Kommunikation besitzen, ist die Zertifizierungsstelle oftmals Ausgangspunkt für eine Kompromittierung der gesamten Umgebung. Active Directory Domain Services (ADDS) ist beispielsweise die Lösung von Microsoft, die oftmals nicht sicher betrieben wird. Historisch gewachsene Systeme, schlechte Dokumentation und eine hohe Komplexität machen das System anfällig für Cyberangriffe. Den verschiedenen Angriffstechniken auf Zertifizierungsstellen und Active Directory haben wir uns ausführlich in einem separaten Blogbeitrag gewidmet: PSPKI Audit – Wieso man seine PKI analysieren sollte

Bereits ein vergleichsweise einfacher Angriffsvektor verdeutlicht, wie essenziell die Absicherung eines PKI-Systems ist. Angreifer nutzen immer wieder die Möglichkeit, sich Zertifikate mit einem sogenannten Subject Alternative Name (SAN) auszustellen. Viele Zertifikatvorlagen erlauben die Verwendung solcher alternativer Namen, beispielsweise zur Absicherung von Webservern oder ähnlichen Diensten.

Problematisch wird es, wenn berechtigte Benutzer sich eigenständig Zertifikate mit beliebigen SANs – etwa administrator@domainname – ausstellen können und sich darüber authentifizieren. In solchen Fällen wird das PKI-System schnell zum Einfallstor.
Daher sollte die Resilienz der Public Key Infrastructure regelmäßig und mit höchster Priorität überprüft werden.

(3.2.21) Systemhärtung

Standardmäßig sind viele Betriebssysteme – ob Windows, Linux oder Appliances – alles andere als sicher konfiguriert. Ungenutzte Dienste, offene Schnittstellen und schwache Voreinstellungen bieten eine unnötig große Angriffsfläche. Genau hier setzt Systemhärtung an: Sie sorgt für eine gezielte Absicherung von Systemen durch das Abschalten überflüssiger Funktionen, das Einschränken von Schnittstellen und das Erzwingen sicherer Konfigurationen.

Das Prinzip: Nur das, was wirklich gebraucht wird, bleibt aktiv – alles andere wird deaktiviert. Das gilt für physische Server genauso wie für virtuelle Maschinen, Cloud-Instanzen oder spezielle Verwaltungsclients wie Privileged Access Workstations (PAW).

Einmal richtig umgesetzt, schützt Systemhärtung nicht nur vor der Einschleusung von Malware oder Ransomware, sondern auch vor Identitätsdiebstahl, Datenabfluss, Sabotage und der missbräuchlichen Nutzung Ihrer Infrastruktur – etwa für Crypto-Mining oder den Versand von Spam. Zudem erschwert sie Angreifern das sogenannte Lateral Movement, also das unbemerkte Weiterwandern von kompromittierten Systemen zu anderen Zielen im Netzwerk.

In der Praxis wird Systemhärtung zunehmend zum unverzichtbaren Bestandteil jeder IT-Sicherheitsstrategie. Das zeigt auch ein Blick in den aktuellen TeleTrusT-Report: Im Vergleich zum Jahr 2023 wird das Thema heute deutlich höher eingestuft – mit wachsender Relevanz im Maßnahmenkatalog und in der fachlichen Bewertung durch Expertengremien.

Verantwortliche für die Informationssicherheit müssen dabei eine Vielzahl technischer und organisatorischer Maßnahmen umsetzen. Die Verantwortlichen müssen zunächst einmal entscheiden, welche Einstellungen auf die vorhandenen Systeme anzuwenden sind. Hier ist dringend davon abzuraten, jede Konfiguration komplett selbständig zu erstellen. Stattdessen sollten gängige Empfehlungen von industrieerprobten Stellen wie z.B. das Center for Internetsecurity (CSI), das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder Herstellerempfehlungen wie die Security Baseline von Microsoft herangezogen werden. Diese Standards umfassen hunderte von Einstellungen. Diese bieten einen sehr guten Schutz und können auf die individuellen Bedürfnisse angepasst werden.

Ist die Zielkonfiguration definiert, muss man sich die Frage stellen, wie die Einstellungen ins Feld ausgebracht werden können. Hierzu haben wir bereits unsere Ansätze (Layered-, Rapid- und Lifecycle-Hardening) in einem weiteren Blogbeitrag zum Thema „Drei effektive Methoden zur Einführung einer Systemhärtung“ vorgestellt.

Ein Systemhärtungs-Projekt ist immer auch ein Beseitigen von Altlasten und außerdem müssen für Auditoren immer öfter vernünftige Reports als Nachweis erzeugt werden. Deswegen arbeiten wir in diesem Themenkomplex eng mit unserem Partner FB Pro GmbH zusammen. Die Lösung Enforce Administrator ermöglicht es, Industriestandards leicht zu kombinieren, Windows, Linux, Domain und non-Domain Systeme mit einer einheitlichen Technologie abzusichern. So lassen sich Härtungskonfigurationen auf dem Stand der Technik definieren, auf IT-Systeme ausrollen und über den gesamten Lebenszyklus zentral verwalten – transparent, nachvollziehbar und auditfähig.

Wer prüfen möchte, wie ein System heute abgesichert ist, kann dies mit dem kostenlosen Tool Audit-Tap auf GitHub von FB Pro durchführen. Mit diesem können Sie Compliance-Berichte für Ihre Systeme erstellen. Die daraus resultierenden HTML-Berichte bieten einen transparenten Überblick über die Sicherheitskonfiguration Ihrer Geräte im Vergleich zu internationalen Sicherheitsstandards und Hardening-Guides.

(3.2.28) Absicherung administrativer IT-Systeme

Immer noch administrieren viele Administratoren ihre Systeme von derselben Maschine, die auch zum E-Mails schreiben und surfen verwendet wird – des „normalen Office PCs“. Office-Computer sind nicht ausreichend geschützt und anfällig für Phishing oder weitere Angriffe. Ist ein Office-Gerät erst einmal kompromittiert, können angreifen dies ausnutzen und administrative Anmeldeinformationen stehlen und sich damit weitere Zugänge verschaffen. Deswegen ist die Office-Arbeit zwingend von der administrativen Arbeit zu trennen.

Dafür verwendete administrative IT-Systeme – also Clients oder Server, über die andere Systeme gesteuert und verwaltet werden – stehen im Zentrum vieler IT-Infrastrukturen. Das macht sie ebenfalls zu einem besonders lohnenden Ziel für Angreifer: Wenn hier ein Zugriff gelingt, sind oft gleich ganze Netzwerke oder Produktionsumgebungen kompromittiert. Umso wichtiger ist es, dass diese Systeme besonders sorgfältig abgesichert werden – und zwar technisch, organisatorisch und betrieblich.

Was ist zu beachten?

• • Nur für die Administration nutzen: Administrative Systeme gehören in isolierte Netzwerksegmente und dürfen ausschließlich für administrative Aufgaben verwendet werden – nicht für E-Mail, Office oder Web-Zugriffe.
  • Systemhärtung & sichere Authentifizierung: Auch diese Systeme müssen konsequent gehärtet werden. Zugriffe erfolgen idealerweise per Multifaktor-Authentifizierung (MFA) über verschlüsselte Kanäle – stets über persönliche, nachvollziehbare Konten.
  • Protokollierung & Rechtevergabe: Sämtliche Tätigkeiten müssen zentral protokolliert und regelmäßig ausgewertet werden. Wichtig: Admins sollten keinen Zugriff auf eigene Logs haben – das Vier-Augen-Prinzip ist hier Goldstandard.
  • Software-Kontrolle: Auf administrativen Endpunkten darf nur freigegebene Software betrieben werden. Ungeprüfte Tools, Browser oder Test-Skripte haben dort nichts verloren.
  • Absicherung sensibler Zonen: Der Zugriff auf hochsensible Netzbereiche erfolgt idealerweise über dedizierte Sprungserver oder Admin-Terminals – logisch getrennt vom übrigen Netz.

In der Praxis werden sogenannte Privileged Access Workstations (PAW) verwendet. Wir haben hier unsere Sicht in einem ausführlichen Blogartikel zum Thema beschrieben: PAW – Deep Dive und praktische Umsetzung

Viele Unternehmen tun sich allerdings schwer damit, jedem Administrator ein zusätzliches, dediziertes Gerät zur Verfügung zu stellen. Aus unserer Sicht ist dies insbesondere bei der Administration von Domain-Controllern oder anderen kritischen Systemen (T0-Systeme) zwingend erforderlich. Unter Berücksichtigung einer Risikobewertung sind jedoch für „normale“ Serversysteme auch abweichende Mechanismen denkbar. So setzen immer mehr Unternehmen erfolgreich Privileged-Access-Management-(PAM)-Systeme ein. Lösungen wie CyberArk werden schnell sehr kostspielig und können z. B. durch Software wie Devolutions oder Passwordstate ersetzt werden. Diese Systeme können unter anderem die temporäre Vergabe von Adminrechten steuern, automatisiert dokumentieren und jederzeit Nachvollziehbarkeit herstellen. Damit bleiben Ihre Adminsysteme schlank, sicher – und unter Kontrolle.

PAWs und/oder PAM-Systeme sind längst kein optionaler Zusatz mehr. Der aktuelle TeleTrusT-Report 2025 zeigt deutlich: Die Absicherung administrativer IT-Systeme zählt heute zu den zentralen, elementaren Bausteinen moderner IT-Sicherheitsarchitekturen. Im Vergleich zum Report aus dem Jahr 2023 hat sich die Maßnahme sowohl hinsichtlich der Bewährung in der Praxis als auch der Anerkennung durch Fachexperten deutlich weiterentwickelt.

Fazit

Jetzt ist der richtige Zeitpunkt zu handeln

Der neue „Stand der Technik“-Report zeigt eindrucksvoll: IT-Sicherheit ist kein Einmalprojekt, sondern ein kontinuierlicher Prozess. Unternehmen müssen nicht nur gesetzliche Anforderungen erfüllen – sie müssen ihre Systeme aktiv gegen aktuelle Bedrohungen schützen. Und genau hier setzen wir von Teal an.

Wir helfen Ihnen, die richtigen Maßnahmen zu identifizieren, professionell umzusetzen und kontinuierlich zu verbessern – ob Überwachung und Schutz der Verzeichnisdienste, Systemhärtung, Cloud-Sicherheit, Business Continuity oder sichere Authentifizierung. Gemeinsam bringen wir Ihre IT auf ein modernes, regulatorisch tragfähiges und vor allem sicheres Niveau.

Sprechen Sie uns an!

Ob Sie gerade erst starten oder Ihr bestehendes Sicherheitskonzept auf den neuesten Stand bringen möchten – wir unterstützen Sie mit fundierter Beratung, erprobten Tools und langjähriger Praxiserfahrung. Teal ist Ihr Ansprechpartner für Identity Protection.

Im zweiten Teil der Serie (Veröffentlichung Anfang Juli) gehen wir auf weitere wichtige Bausteine aus der Handreichung zum Stand der Technik ein:

• • 2.29 Überwachung von Verzeichnisdiensten und identitätsbasierte Segmentierung
  • 2.31 Cloud-Sicherheitsplattform
  • 3.9 Absicherung privilegierter Benutzerkonten
  • 3.17 Geschäftskontinuitäts-Management (BCM)
  • 3.18 Notfall- und Krisenmanagement
  • 3.20 Technische Sicherheitsüberprüfung