Anforderungen an die IT-Sicherheit für Websitebetreiber

Welche IT-Sicherheitsmaßnahmen sind erforderlich?

Der unbefugte Zugriff auf die Einrichtungen, mittels derer die Website betrieben wird, ist zu verhindern. Dritten darf es nicht möglich sein, den Server bzw. die IT-Systeme, auf denen die Website gehostet oder mittels derer sie administriert wird, auszulesen oder gar zu kompromittieren. Primär soll das dazu dienen, die immer stärker verbreiteten sogenannten „Drive-by-downloads“ zu verhindern, also solche Schadsoftware, die sich unbemerkt auf fremden Websites einnistet und die Rechner von Websitebesuchern infiziert.

Verhindert werden kann der unbefugte Zugriff Dritter auf Server und IT-Systeme unter anderem durch die sichere Konfiguration der eingesetzten Betriebssysteme, die Etablierung eines geeigneten Patch-Managements und den Einsatz einer Firewall, eines Virenscanners sowie von Intrusion-Detection-/Prevention-Systemen. Auch die Auswertung von Protokollen kann hilfreich sein.

Zudem verlangt das Gesetz auch den Schutz personenbezogener Daten, was durch den Einsatz von sicheren Verschlüsselungstechnologien geschehen kann. Dies umfasst neben einer verschlüsselten Datenhaltung auch den Einsatz von Transportverschlüsselungen, so dass der Weg der Daten zwischen Website und Browser des Besuchers ausreichend gesichert ist. Für Websites bedeutet dies insbesondere den Einsatz einer SSL- oder TLS-Verschlüsselung.

Ebenfalls betroffen sind aber auch entsprechende Analysetools für Websites, wie beispielsweise Google-Analytics, Piwik oder auch Wiredminds, da auch hier bis zur Anonymisierung der IP-Adressen eine Rückverfolgbarkeit einzelner Personen möglich ist. Beim Einsatz sind also ausreichend sichere Zugangspasswörter zu wählen, welche innerhalb eines angemessenen Zyklus gewechselt werden sollten.

Schließlich wird vom Gesetzgeber erwartet, dass Websitebetreiber ausreichende Sicherungen gegen Störungen durch äußere Angriffe, insbesondere DoS- oder DDoS- Attacken ergreifen. Solche Angriffe zielen darauf ab, dass die Website durch eine gezielt hervorgerufene Überlastung zusammenbricht und folglich nicht mehr erreichbar ist. Diese – zugegebenermaßen recht schwierige – Aufgabe wird die Praxis vor große Hürden stellen, da dauerhaft effektive Gegenmaßnahmen schwer zu finden sind.

Müssen alle Websitebetreiber die gleichen Sicherheitsmaßnahmen leisten?

Der Tatsache geschuldet, dass nicht alle Websitebetreiber das gleiche Maß an Sicherheit leisten können und müssen, hat der Gesetzgeber das Korrektiv der technischen Möglichkeit und wirtschaftlichen Zumutbarkeit von Sicherungsmaßnahmen geschaffen. Es ist also für jede Website individuell zu beurteilen, wie hoch die zu treffenden Sicherheitsmaßnahmen sein müssen.

Leider gibt der Gesetzgeber den Betreibern jedoch keine Kategorien an die Hand, die zu einer solchen Beurteilung herangezogen werden können. Deshalb wird man sich im Zweifel selbst helfen müssen und Kriterien wie die Reichweite des Angebots, die Menge und Kritikalität der Daten oder auch die regelmäßige Besucherzahl bemühen müssen. Dies schafft für die Betreiber von Websites auf der einen Seite natürlich Spielräume hinsichtlich der Umsetzung, auf der anderen Seite ist damit aber stets eine gewisse Unklarheit verbunden, ob das gesetzlich zu erfüllende Maß tatsächlich eingehalten wurde.

Hinweis: Die Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018 zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018 dürfte auf die folgenden Aussagen keinen Einfluss haben. Das Papier behandelt die Frage der anwendbaren Rechtsgrundlagen und geht auf Folgepflichten nicht ein. Da im Ergebnis DSGVO und IT-Sicherheitsgesetz gleichförmige Pflichten aussprechen, hätte auch ein „Totalentfall“ des 4. Abschnitts des TMG keine wesentliche Auswirkung.

Dieser aktualisierte Artikel wurde zuerst am 9. Juni 2016 veröffentlicht.