IT-Sicherheitsgesetz: Was Websitebetreiber jetzt beachten müssen

Am 25. Juli 2015 trat das IT-Sicherheitsgesetz in Kraft. Ziel des Gesetzes ist die Verbesserung der IT-Sicherheit in Betrieben, wobei in den Medien das Gesetz insbesondere den Betreibern kritischer Infrastrukturen (z.B. Atomkraftwerke) zugerechnet wurde.

Ziel des Gesetzes

Das neue Gesetz regelt, wer für IT-Sicherheit zu sorgen hat. Bei der Formulierung hatte der Gesetzgeber sowohl den Schutz des Gemeinwesens als auch den Schutz von Privatpersonen im Sinn. Um dies zu erreichen, räumt er den Betreibern kritischer Infrastrukturen einige Spezialregeln ein, die wir hier jedoch nicht weiter erörtern wollen. Wir fokussieren uns stattdessen auf die Anforderungen an die normalen, mittelständischen Unternehmen in Deutschland.

Alle betroffen bis auf die Kleinsten

Grundsätzlich gilt das Gesetz sowohl für die Betreiber kritischer Infrastrukturen, aber auch für alle anderen Gewerbetreibenden – und insbesondere deren Websites, darauf weist das zuständige Bundesamt für Sicherheit in der Informationstechnik sogar selber ausdrücklich hin. Nicht betroffen von dem Gesetz sind Kleinstunternehmen, die weniger als 10 Personen beschäftigen und die weniger als 2 Mio. Euro Umsatz jährlich generieren.

Das Gesetz gilt ab sofort

In den Medien wird berichtet, dass das Gesetz eine Vorlaufzeit von zwei Jahren einräumt. Dies ist richtig, gilt aber nicht für die Anbieter von Telekommunikations- und Telemediendiensten, d.h., jeder Website- und Webshopbetreiber muss ab sofort seine Systeme gegen Cyberangriffe absichern.

Das ist zu tun

  1. Verschlüsseln Sie die Datenübertragung
    die TLS Verschlüsselung (https) ist Stand der Technik, leicht implementierbar und mittlerweile sogar kostenfrei zu haben.
    Tipp: wer einfach so seine Website von HTTP auf HTTPS umstellt, riskiert einen erheblichen Einbruch im Google Ranking. Im Zweifelsfall sprechen Sie mit Ihrer Agentur.
  2. Verschlüsseln Sie Ihre serverseitigen Datenbanken
    Das Gesetz bleibt im konkreten Fall zwar unbestimmt, allerdings ist abzusehen, dass persönliche Adress- oder Zahlungsdaten Ihrer Kunden nicht mehr im Klartext abgespeichert werden sollten.
  3. Installieren Sie zeitnah Sicherheitsupdates
    Sie sind verpflichtet, Ihre Systeme zeitnah auf den Stand der Technik zu bringen. Das gilt insbesondere für Ihre Website und Ihren Webshop (z.B. TYPO3, Magento), da hier über Sicherheitslücken Dritte Schaden nehmen können.
  4. Organisieren Sie Sicherheit
    Als Betreiber einer Website sind Sie nicht nur zur technischen Sicherheit angehalten, auch organisatorisch haben Sie für Sicherheit zu sorgen. Stellen Sie bspw. sicher, dass nur berechtigte Mitarbeiter Änderungen an Ihren Web-Systemen vornehmen können. Auch muss nicht jeder Mitarbeiter Zugriff auf persönliche Daten der Kunden haben.
  5. Prüfen Sie regelmäßig den Stand der Technik
    Ein einmal etabliertes Security- und Backup-Konzept ist nicht per se sicher. Überprüfen Sie spätestens alle zwei Jahre, ob Ihre Vorgehensweise noch „dem Stand der Technik“ entspricht.

Fallstricke in der Umsetzung

Der Gesetzgeber stand vor dem Problem, Vorgaben zu einem Themenkomplex machen zu müssen, der extrem schnelllebig ist. Um gar nicht erst Gefahr zu laufen, durch zu konkrete Vorgaben längst obsolete Technologien juristisch einzuzementieren, wurden die Formulierungen im Gesetzestext oftmals unbestimmt gehalten. In der juristischen Praxis heißt das, dass im Schadensfall ein Gericht wird auslegen müssen, ob Sie sich ordnungsgemäß an das Gesetz gehalten haben.

Darüber hinaus weist das Gesetz darauf hin, dass Sie nur solche Maßnahmen umsetzen müssen, die technologisch und wirtschaftlich zumutbar sind. Die gut gemeinte Formulierung sollten Website-Betreiber jedoch nicht in der Art deuten, dass jedwedes kostenpflichte Software-Update unzumutbar sei.

Ausblick

Es ist nicht davon auszugehen, dass Verstöße gegen das IT-Sicherheitsgesetz kurzfristig zu Strafzahlungen führen werden. Wie immer gilt: wo kein Kläger, da kein Richter. Doch genau an diesem Punkt könnte es noch spannend werden: falls Gerichte in den nächsten Jahren erkennen, dass das IT-Sicherheitsgesetz ein Bestandteil des fairen Wettbewerbs ist, wird es Wettbewerbern leicht fallen, im großen Stil Abmahnungen zu verteilen. Es wird nur noch eine Frage der Zeit sein, bis findige Abmahnanwälte diesen Weg bestreiten werden.

Empfehlung

Wir leben in einer immer stärker vernetzten Gesellschaft, die auf die Sicherheit ihrer IT-Systeme angewiesen ist. Arrangieren Sie sich mit den Vorgaben des Gesetzgebers, denn das Ziel des IT-Sicherheitsgesetzes ist durchaus aller Ehren wert. Sowohl Ihr Hosting- als auch Website-Partner stehen bereit, Ihnen beim Sichern der Website bzw. des Webshops mit Rat und Tat zur Verfügung zu stehen. Organisierte Sicherheit schützt nicht nur Ihre Kunden, sondern zu allererst Ihre eigenen Datenbestände.