Datensicherheits-Anforderungen an Websitebetreiber nach dem IT-Sicherheitsgesetz

activeMind AG - IT-Sicherheitsgesetz-Vorschriften für Websitebetreiber

Durch das IT-Sicherheitsgesetz sind Betreiber von Websites fortan verpflichtet, ihre technische Umgebung, mittels derer die Webseite bereitgestellt wird, ausreichend zu schützen. Die Anforderungen für mehr Datensicherheit sind jedoch sehr offen formuliert, was zu einigen Unklarheiten führt. Dieser Beitrag erklärt, wer von den neuen Vorschriften betroffen ist und welche IT-Sicherheitsmaßnahmen die jeweiligen Websitebetreiber zu treffen haben.

Neue Vorschriften durch das IT-Sicherheitsgesetz

Mit dem seit Sommer 2015 geltenden IT-Sicherheitsgesetz sorgte der Gesetzgeber für viel Aufregung bei allen (vermeintlichen) Betreibern sogenannter „kritischer Infrastrukturen“. Dabei blieb eine Gesetzesänderung nahezu unbemerkt, was aufgrund ihrer Tragweite überrascht: So wurde auch § 13 Telemediengesetz (TMG) um einen neuen Absatz 7 erweitert, welcher Websitebetreiber verpflichtet, gewissen Sicherheitsstandards gerecht zu werden. Fortan müssen all diejenigen, die eine Website dauerhaft und gewerbsmäßig betreiben, diese durch Ergreifung von technischen und organisatorischen Maßnahmen ausreichend vor unbefugtem Zugriff schützen, so dass der Datenschutz und eine ausreichende Verfügbarkeit des Dienstes gewahrt bleiben.

Wer ist von den Datensicherheits-Vorschriften betroffen?

Das Gesetz richtet sich seinem Wortlaut nach an all diejenigen, die „geschäftsmäßig angebotene Telemedien“ betreiben. Wer nun denkt, dass nur ein unmittelbares Verkaufsangebot, wie es beispielsweise bei Onlineshops der Fall ist, Voraussetzung für die Geschäftsmäßigkeit darstellt, liegt leider falsch. Denn geschäftsmäßig ist das Angebot jeder Website an Dritte, soweit dies einigermaßen nachhaltig erfolgt. Das wird auf jede Webseite zutreffen, gewerblich oder privat betrieben, die nicht nur kurzfristig und im Einzelfall angeboten wird, sondern planmäßig und auf eine gewisse Dauer.

Welche IT-Sicherheitsmaßnahmen sind erforderlich?

Die durch das IT-Sicherheitsgesetz bedingte Änderung verlangt zunächst den unbefugten Zugriff auf die Einrichtungen, mittels derer die Website betrieben wird, zu verhindern. Dritten soll es folglich nicht möglich sein, den Server bzw. die IT-Systeme, auf denen die Website gehosted oder mittels derer sie administriert wird, auszulesen oder gar zu kompromittieren. Primär soll das dazu dienen, die immer stärker verbreiteten sogenannten „drive-by-downloads“ zu verhindern, also solche Schadsoftware, die sich unbemerkt auf fremden Websites einnistet und die Rechner von Websitebesuchern infiziert.

Verhindert werden kann der unbefugte Zugriff Dritter auf Server und IT-Systeme unter anderem durch die sichere Konfiguration der eingesetzten Betriebssysteme, die Etablierung eines geeigneten Patch-Managements und den Einsatz einer Firewall, eines Virenscanners sowie von Intrusion-Detection-/Prevention-Systemen. Auch die Auswertung von Protokollen kann hilfreich sein.

Zudem verlangt das Gesetz auch den Schutz personenbezogener Daten, was durch den Einsatz von sicheren Verschlüsselungstechnologien geschehen kann. Dies umfasst neben einer verschlüsselten Datenhaltung auch den Einsatz von Transportverschlüsselungen, so dass der Weg der Daten zwischen Website und Browser des Besuchers ausreichend gesichert ist. Für Websites bedeutet dies insbesondere den Einsatz einer SSL- oder TLS-Verschlüsselung.

Ebenfalls betroffen sind aber auch entsprechende Analysetools für Websites, wie beispielsweise Google-Analytics, Piwik oder auch Wiredminds, da auch hier bis zur Anonymisierung der IP-Adressen eine Rückverfolgbarkeit einzelner Personen möglich ist. Beim Einsatz sind also ausreichend sichere Zugangspasswörter zu wählen, welche innerhalb eines angemessenen Zyklus gewechselt werden sollten.

Schließlich wird vom Gesetzgeber erwartet, dass Websitebetreiber ausreichende Sicherungen gegen Störungen durch äußere Angriffe, insbesondere DoS- oder DDoS- Attacken, ergreifen. Solche Angriffe zielen darauf ab, dass die Website durch eine gezielt hervorgerufene Überlastung zusammenbricht und folglich nicht mehr erreichbar ist. Diese – zugegebenermaßen recht schwierige – Aufgabe wird die Praxis vor große Hürden stellen, da dauerhaft effektive Gegenmaßnahmen schwer zu finden sind.

Müssen alle Websitebetreiber die gleichen Sicherheitsmaßnahmen leisten?

Der Tatsache geschuldet, dass nicht alle Websitebetreiber das gleiche Maß an Sicherheit leisten können und müssen, hat der Gesetzgeber das Korrektiv der technischen Möglichkeit und wirtschaftlichen Zumutbarkeit von Sicherungsmaßnahmen geschaffen. Es ist also für jede Website individuell zu beurteilen, wie hoch die zu treffenden Sicherheitsmaßnahmen sein müssen.

Leider gibt der Gesetzgeber den Betreibern jedoch keine Kategorien an die Hand, die zu einer solchen Beurteilung herangezogen werden können. Deshalb wird man sich im Zweifel selber helfen müssen und Kriterien wie die Reichweite des Angebots, die Menge und Kritikalität der Daten oder auch die regelmäßige Besucherzahl bemühen müssen. Dies schafft für die Betreiber von Websites auf der einen Seite natürlich Spielräume hinsichtlich der Umsetzung, auf der anderen Seite ist damit aber stets eine gewisse Unklarheit verbunden, ob das gesetzlich zu erfüllende Maß tatsächlich eingehalten wurde.

Bei der Abwägung von Aufwand und Nutzen sollte nicht zuletzt beachtet werden, dass das Gesetz in § 15 a TMG im Falle der unrechtmäßigen Kenntnisnahme von Bestands- oder Nutzerdaten eine Meldepflicht vorsieht, die im Wesentlichen der des § 42 a Bundesdatenschutzgesetz (BDSG) entspricht. Weil das Melden einer Datenpanne etwas ist, was sich jeder gerne ersparen würde, sollte hinsichtlich der IT-Sicherheit nicht zu sparsam vorgegangen werden. Optimale Richtwerte gibt hier unter anderem die Sicherheitsnorm ISO 27001 auf Basis IT-Grundschutz vor.

Welche Investitionen fordert das IT-Sicherheitsgesetz?

Wer nun befürchtet, dass aufgrund dieser gesetzlichen Neuerung begonnen werden muss, umfangreich in die IT-Sicherheit des eigenen Unternehmens investieren zu müssen, sollte bedenken, dass der Datenschutz ohnehin dahingehende Anforderungen stellt. Bereits hier war und ist weiterhin die Verpflichtung enthalten, angemessene technische und organisatorische Maßnahmen umzusetzen, die in den 8 Geboten des Datenschutzes definiert werden. Wer diese Anforderungen bereits einhält, braucht deshalb das Rad nicht neu zu erfinden. Meistens reicht das Drehen an einigen Stellschrauben, um auch den neuen Anforderungen Genüge zu tun.

Sind diese Inhalte hilfreich? Bitte bewerten Sie!
[5 Bewertung(en)/ratings]
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.