17.07.2015
Auswirkungen des IT-Sicherheitsgesetzes auf Webseitenbetreiber

Dr. Jan Scharfenberg
Director Informationssicherheit
Das IT-Sicherheitsgesetz bringt nicht nur Neuerungen für Anbieter von kritischen Infrastrukturen
Am 10.07.2015 hat der Bundesrat das IT-Sicherheitsgesetz gebilligt, das einen Monat zuvor durch den Bundestag verabschiedet wurde. Allgemein bekannt ist, dass das Gesetz Meldepflichten für Betreiber kritischer Infrastrukturen – wie Energieversorger oder Einrichtungen des Gesundheitswesens – vorsieht und diese verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten. Weniger bekannt ist jedoch, dass das IT-Sicherheitsgesetz Regelungen für „normale“ Webseitenbetreiber enthält:
Lernen Sie unsere Expertise in der Informationssicherheit kennen
Schützen Sie mit unserer Expertise Ihre digitalen Vermögenswerte mit maßgeschneiderten IT-Sicherheitslösungen.
App- und Webseitenanbieter
Anbieter von Telemedien werden nun verpflichtet, die Sicherung ihrer technischen Einrichtungen durch Maßnahmen nach dem Stand der Technik zu ergreifen. Diese Vorgabe richtet sich an alle Webseiten und App-Anbieter, die geschäftsmäßig Dienste erbringen. Damit fallen nicht kommerziellen Angebote, wie viele Blogs oder private Foren, aus dem Anwendungsbereich des Gesetzes heraus. Vorsicht ist jedoch angebracht, wenn ein nachhaltiger Gewinn durch Werbeanzeigen erwirtschaftet wird. Geschäftsmäßige Anbieter müssen den unerlaubten Zugriff auf ihre Webseiten unterbinden und ihre Plattformen gegen Angriffe absichern.
Verhältnismäßigkeit und Stand der Technik
Dabei treffen die Pflichten nicht alle Anbieter gleichermaßen, sondern es findet an zwei Stellen eine Abwägung statt: Zum einen sind die Maßnahmen zu ergreifen, die technisch möglich und wirtschaftlich zumutbar sind. Damit findet eine Verhältnismäßigkeitsprüfung statt, der zufolge etwa nur Verschlüsselungsverfahren eingesetzt werden müssen, die wirtschaftlich tragbar und für den Anbieter realisierbar sind. Zum anderen wird an den Stand der Technik angeknüpft. Damit wird der Betreiber verpflichtet, seine Sicherheitsvorkehrungen regelmäßig zu überprüfen und, wenn erforderlich, der technischen Entwicklung anzupassen. Eine ähnliche Regelung findet sich schon in der Anlage zu § 9 Bundesdatenschutzgesetz.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Was ist zu tun?
Bislang lag die Absicherung der eigenen Online-Plattform hauptsächlich im eigenen Interesse bzw. des der eigenen Kunden. Nun gibt es eine gesetzliche Pflicht zum Schutz von personenbezogenen Daten und der Absicherung gegen Störungen. Diese ist obenhin bußgeldbewehrt. Webseitenbetreiber sollten spätestens jetzt anerkannte Verschlüsselungsverfahren (z.B. aktuelle TLS-Version mit Perfect Forward Secrecy) beim Umgang mit personenbezogenen Daten und sichere Authentifizierungsverfahrens einsetzen. Ein nachlässiges Einspielen von Sicherheitspatches (etwa bei einer Heartbleed vergleichbaren Sicherheitslücke) kann nun zu Ordnungswidrigkeiten und Bußgeldern bis zu 50.000,00 EUR führen. Das IT-Sicherheitsgesetz bringt also keineswegs nur Neuerungen für Anbieter von kritischen Infrastrukturen. Zu beachten ist, dass das Gesetz erst nach der Unterschrift durch den Bundespräsidenten in Kraft tritt.
Weitere Neuigkeiten
03.02.2025
Externer Datenschutzbeauftragter (DSB): Pflicht, Aufgaben und Kosten
Die Bestellung eines Datenschutzbeauftragten ist für ein Großteil der Unternehmen Pflicht. Doch was macht ein DSB überhaupt und was sollte er können. Und wann ist es sinnvoll, einen externen DSB zu bestellen und wann reicht vielleicht eine interne Lösung? Wir haben alle Informationen zum externen Datenschutzbeauftragten zusammengestellt, um Ihnen die Entscheidung zu erleichtern.
Weiterlesen … Externer Datenschutzbeauftragter (DSB): Pflicht, Aufgaben und Kosten
23.01.2025
Cyber Resilience Act: Frist, Anwendung & Maßnahmen
Der Cyber Resilience Act bringt weitreichende Veränderungen in der EU mit sich und betrifft insbesondere Unternehmen aus dem Maschinen- und Anlagenbau. Produkte mit kommunikationsfähigen digitalen Elementen müssen ab 2027 strenge Sicherheitsstandards erfüllen, um die CE-Kennzeichnung zu erhalten. Das Gesetz verlangt Maßnahmen zur Minimierung von Cybersicherheitsrisiken während des gesamten Produktlebenszyklus - vom Design bis zur regelmäßigen Bereitstellung von Updates nach Inverkehrbringen. Damit Ihrem Unternehmen die Umsetzung gelingt, gibt dieser Beitrag einen Überblick über alle wesentlichen Neuerungen.
Weiterlesen … Cyber Resilience Act: Frist, Anwendung & Maßnahmen
14.01.2025
Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits sowie einen ausführlichen Leitfaden inkl. Selbstcheck zum Download finden Sie hier.
Weiterlesen … Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download