17.07.2015

Auswirkungen des IT-Sicherheitsgesetzes auf Webseitenbetreiber

Ihr ISiCO-Experte für das Thema:
Dr. Jan Scharfenberg
Director Informationssicherheit

Das IT-Sicherheitsgesetz bringt nicht nur Neuerungen für Anbieter von kritischen Infrastrukturen

Am 10.07.2015 hat der Bundesrat das IT-Sicherheitsgesetz gebilligt, das einen Monat zuvor durch den Bundestag verabschiedet wurde. Allgemein bekannt ist, dass das Gesetz Meldepflichten für Betreiber kritischer Infrastrukturen – wie Energieversorger oder Einrichtungen des Gesundheitswesens – vorsieht und diese verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten. Weniger bekannt ist jedoch, dass das IT-Sicherheitsgesetz Regelungen für „normale“ Webseitenbetreiber enthält:

Lernen Sie unsere Expertise in der Informationssicherheit kennen

Schützen Sie mit unserer Expertise Ihre digitalen Vermögenswerte mit maßgeschneiderten IT-Sicherheitslösungen.

Jetzt Kennenlerntermin vereinbaren

App- und Webseitenanbieter

Anbieter von Telemedien werden nun verpflichtet, die Sicherung ihrer technischen Einrichtungen durch Maßnahmen nach dem Stand der Technik zu ergreifen. Diese Vorgabe richtet sich an alle Webseiten und App-Anbieter, die geschäftsmäßig Dienste erbringen. Damit fallen nicht kommerziellen Angebote, wie viele Blogs oder private Foren, aus dem Anwendungsbereich des Gesetzes heraus. Vorsicht ist jedoch angebracht, wenn ein nachhaltiger Gewinn durch Werbeanzeigen erwirtschaftet wird. Geschäftsmäßige Anbieter müssen den unerlaubten Zugriff auf ihre Webseiten unterbinden und ihre Plattformen gegen Angriffe absichern.

Verhältnismäßigkeit und Stand der Technik

Dabei treffen die Pflichten nicht alle Anbieter gleichermaßen, sondern es findet an zwei Stellen eine Abwägung statt: Zum einen sind die Maßnahmen zu ergreifen, die technisch möglich und wirtschaftlich zumutbar sind. Damit findet eine Verhältnismäßigkeitsprüfung statt, der zufolge etwa nur Verschlüsselungsverfahren eingesetzt werden müssen, die wirtschaftlich tragbar und für den Anbieter realisierbar sind. Zum anderen wird an den Stand der Technik angeknüpft. Damit wird der Betreiber verpflichtet, seine Sicherheitsvorkehrungen regelmäßig zu überprüfen und, wenn erforderlich, der technischen Entwicklung anzupassen. Eine ähnliche Regelung findet sich schon in der Anlage zu § 9 Bundesdatenschutzgesetz.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte addieren Sie 8 und 5.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Was ist zu tun?

Bislang lag die Absicherung der eigenen Online-Plattform hauptsächlich im eigenen Interesse bzw. des der eigenen Kunden. Nun gibt es eine gesetzliche Pflicht zum Schutz von personenbezogenen Daten und der Absicherung gegen Störungen. Diese ist obenhin bußgeldbewehrt. Webseitenbetreiber sollten spätestens jetzt anerkannte Verschlüsselungsverfahren (z.B. aktuelle TLS-Version mit Perfect Forward Secrecy) beim Umgang mit personenbezogenen Daten und sichere Authentifizierungsverfahrens einsetzen. Ein nachlässiges Einspielen von Sicherheitspatches (etwa bei einer Heartbleed vergleichbaren Sicherheitslücke) kann nun zu Ordnungswidrigkeiten und Bußgeldern bis zu 50.000,00 EUR führen. Das IT-Sicherheitsgesetz bringt also keineswegs nur Neuerungen für Anbieter von kritischen Infrastrukturen. Zu beachten ist, dass das Gesetz erst nach der Unterschrift durch den Bundespräsidenten in Kraft tritt.

Weitere Neuigkeiten

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …