• Facebook
  • Google+
  • Twitter
  • XING

IT-Sicherheit – neue gesetzliche Pflichten für alle Website und Onlineshop Betreiber

Digitaler Wachstumsmotor Mittelstand
Jamrooferpix@fotolia.com

Mit dem IT-Sicherheitsgesetz hat der Gesetzgeber in Deutschland erstmalig konkrete Vorgaben zur IT-Sicherheit in Unternehmen formuliert und Versäumnisse mit entsprechenden Bußgeldern sanktioniert. Während in den Medien überwiegend über die Anforderungen an Betreiber kritischer Infrastrukturen berichtet wird, schreibt das Gesetz – von der Öffentlichkeit eher unbeachtet – ganz erhebliche Pflichten zur Absicherung und zum Update von Websites und Onlineshops vor. Jeder, der eine kommerzielle Website oder einen Onlineshop betreibt, ist betroffen. Für IT-Security-Experten ist mit viel Arbeit zu rechnen.

IT-Sicherheitsgesetz 2015

IT-Sicherheit hat als Thema die Massenmedien erreicht. Wenn besonders sensible Daten wie die Steuerdaten des US-Bundesstaats South Carolina, die Krankheitsdaten von über 3.000 Patienten des staatlichen britischen Gesundheitsdienstes oder die delikaten Kundendaten eines Seitensprungportals wie Ashley Madison gehackt und für kriminelle Zwecke missbraucht werden, rückt in den Fokus der Öffentlichkeit immer wieder die Frage, wie IT-Verantwortliche und Datenverwalter eigentlich mit dem Schutz vor unbefugtem Zugriff auf sensible und personenbezogene Daten umgehen. Auch die Abgeordneten des Deutschen Bundestages mussten sich jüngst mit den Risiken und Gefahren von Hackerangriffen unmittelbar auseinandersetzen, als das Intranet des Deutschen Bundestagen von solchen Angriffen betroffen war. Es ist nicht bekannt, ob diese Erfahrungen dazu beigetragen haben, dass der Gesetzgeber sich dieses Themas besonders angenommen hat.

Erstmals in Deutschland wird IT-Sicherheit nicht nur als eine von vielen spezifischen Anforderungen an das gesetzlich geforderte Risikomanagement in Unternehmen betrachtet. Der Gesetzgeber verlangt vielmehr ausdrücklich von den Unternehmen in Deutschland ganz konkrete Massnahmen zur IT-Sicherheit. Im Juni/Juli 2015 haben Deutscher Bundestag und Deutscher Bundesrat das IT-Sicherheitsgesetz verabschiedet, das am 25. Juli 2015 in Kraft getreten ist. Zahlreiche unbestimmte Rechtsbegriffe und Verallgemeinerungen machen es nötig, die Konkretisierung durch Verordnungen und Behördenpraxis, insbesondere des Bundesamts für Sicherheit in der Informationstechnologie (BSI) in den nächsten Monaten zu beobachten. Wichtig ist aber, festzuhalten, dass bereits jetzt von allen betroffenen Unternehmen ohne echte Übergangsfrist ganz konkrete Maßnahmen zur Erhöhung der Sicherheit der eigenen IT verlangt werden. Wer dies nun nicht zeitnah umsetzt, beziehungsweise nicht kann oder will, riskiert Bußgelder zwischen Euro 50.000 und 100.000, neben all den sonstigen vertraglichen und gesetzlichen Sanktionen eines Vertragsbruchs.

Wer ist betroffen?

Im Fokus des Gesetzes stehen in erster Linie die „Betreiber kritischer Infrastrukturen“. Trotz zahlreicher Kritik aus der Wirtschaft enthält das Gesetz keine genaue Definition des Begriffs der kritischen Infrastruktur (KRITIS). Das Gesetz gibt lediglich eine allgemeine Beschreibung wieder und überlässt die nähere Ausgestaltung und Konkretisierung einer vom Bundesministerium des Inneren zu erlassenden Rechtsverordnung. Nach den bisherigen Verlautbarungen aus der Ministerialverwaltung ist mit diesen Klarstellungen in Form der Rechtsverordnung nicht vor Ende des Jahres 2015, möglicherweise sogar erst im Jahr 2016 zu rechnen. Bis dahin steht lediglich die allgemeine Definition des Gesetzes zur Verfügung, wonach kritische Infrastrukturen Einrichtungen, Anlagen oder Teile davon sind, die 

  • den Sektoren Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  • von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Der Gesetzgeber selbst geht von einem Kreis der potentiellen betroffenen Unternehmen aus, der ca. 2.000 Unternehmen umfassen wird. Bisher lässt sich dazu nur festhalten, dass z.B. Krankenhäuser, Lebensmittelproduzenten, Energie- und Wasserversorger, Banken und Versicherungen betroffen sein werden.

Zusätzlich zu den KRITIS-Betreibern enthält das IT-Sicherheitsgesetz aber auch neue Regelungen für andere Unternehmen, über die bisher noch relativ wenig berichtet wurde, obwohl der Kreis der Betroffenen in diesem Fall erheblich größer ist. So enthält das Gesetz auch eine Ergänzung des Pflichtenkatalogs für die Anbieter von Telemediendiensten nach dem Telemediengesetz (TMG). Unter die Definition des Telemedienanbieters fallen auch unabhängig von den Vorgaben des IT-Sicherheitsgesetzes alle Betreiber einer nicht bloß privaten Zwecken dienenden Website oder eines Onlineshops. Sogar private Websites (z.B. von Vereinen oder Privatpersonen) können hierunter fallen, sobald sie kommerziell vertriebene Werbebanner einbinden. Damit wird der Kreis der potenziell vom IT-Sicherheitsgesetz betroffenen Unternehmen ganz erheblich über die vom Gesetzgeber genannte Gruppe von 2.000 Unternehmen hinaus ausgedehnt. Faktisch gibt es heute kaum noch ein Unternehmen, das nicht zumindest einen werbenden oder auf das Unternehmen hinweisenden Auftritt im Internet betreibt. Schon das reicht, um von den Neuregelungen betroffen zu sein.

Was ist zu tun?

Bei der Frage, was nun konkret zu tun ist, muss zunächst zwischen den Websitebetreibern und den KRITIS-Betreibern unterschieden werden. Schließlich ist auch auf die allgemeinen Pflichten zu Risikovorsorge und Risikomanagement zu verweisen.

Wieviel IT-Sicherheit müssen kommerzielle Websites und Onlineshops garantieren?

Websitebetreiber ebenso wie Anbieter von Onlineshops oder Mobile Apps sind künftig gesetzlich verpflichtet, technische und organisatorische Maßnahmen zum Schutz ihrer Internetauftritte vor unerlaubten Zugriffen zu ergreifen. Sie werden dabei angehalten, auf anerkannte Schutzmaßnahmen, wie z.B. Verschlüsselung oder Authentifizierungsverfahren zurückzugreifen. Insbesondere aber sind sie verpflichtet, aktuelle Sicherheitspatches und Updates zeitnah einzustellen. In jedem Fall gelten die technischen Richtlinien des BSI als „hinreichend sicher“. Die konkret zu ergreifenden Maßnahmen werden durch den jeweils aktuellen Stand der Technik bestimmt. Zudem müssen die Maßnahmen für den individuellen Anbieter technisch möglich und finanziell zumutbar sein. Mit dem Kriterium der Zumutbarkeit erlaubt der Gesetzgeber ausdrücklich eine flexible Anpassung der jeweiligen Anforderungen im Einzelfall. Je nach Sensibilität und Umfang der zu verarbeitenden Daten kann das erforderliche Schutzniveau unterschiedlich sein. Wer sich hieran nicht hält, insbesondere veraltete oder nicht-sichere Technik einsetzt, riskiert ein Bußgeld in Höhe von bis zu EUR 50.000.

Was bedeutet das für Websitebetreiber und Onlineshops?

Für alle Betreiber kommerzieller Websites oder von Onlineshops bedeutet dies, dass sie auf jeden Fall alle verfügbaren Sicherheitsupdates der jeweils verwendeten Software einspielen müssen. Veraltete Softwareversionen wie Windows XP oder Windows Server 2003, für die kein Herstellersupport mehr verfügbar ist, sind endgültig zu ersetzen. Verfügbare Firewall- und ggfs. auch Verschlüsselungstechniken müssen eingesetzt werden. Auch intern organisatorisch bei der Frage der Berechtigungskonzepte und organisatorischen Absicherung einer Website oder eines Onlineshops besteht Handlungsbedarf.

Der Gesetzgeber selbst nennt dazu das Beispiel eines Websitebetreibers, dessen Website über eingeblendete Werbebanner kompromittiert werden kann, ohne dass er unmittelbaren technischen Einfluss auf diese Werbebanner hat. Hier werden organisatorische Vorkehrungen verlangt, sodass z.B. die Werbedienstleister, deren Werbeflächen eingeblendet werden, vertraglich zu notwendigen Schutzmaßnahmen verpflichtet werden müssen.

Letztlich ist jeder Websitebetreiber betroffen, dessen Website nicht allein privaten Zwecken dient oder der nur Werbebanner eines Affiliatenetzwerks nutzt, sowie jeder Onlineshop, der sich zumindest auch an deutsche Kunden und Nutzer richtet. Somit ist der Kreis der Betroffenen durch diese Neuregelungen ungleich viel größer als bei den Betreibern kritischer Infrastrukturen. Zugleich ist hier eine Gruppe betroffen, die üblicherweise immer erst dann anfängt in Sicherheit zu investieren, wenn es bereits zu spät und der Hackerangriff bereits erfolgt ist. Man kann davon ausgehen, dass erfahrene Anbieter anerkannter IT-Sicherheitsmaßnahmen ebenso stark angefragt sein werden wie rechtssichere vertragliche Verpflichtungen für Dienstleister, Softwarehersteller und Werbeanbieter für Websites und Onlineshops.

Was müssen Betreiber kritischer Infrastrukturen (KRITIS) tun?

Von den KRITIS-Betreibern verlangt das Gesetz sowohl individuell als auch als gesamte Industrie noch stärkere Maßnahmen zur Erhöhung der IT-Sicherheit als bei den Websitebetreibern.

Das IT-Sicherheitsgesetz verpflichtet KRITIS-Betreiber, angemessene Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit ihrer IT-Systeme zu verhindern. Zugleich wird die ganze Industrie aufgefordert, sektorspezifische Minimumstandards für IT-Sicherheit aufzustellen. Diese Minimumstandards wird das BSI als inhaltlich aufgewertete Bundesbehörde für den Schutz der Informationssicherheit prüfen und ggfs. genehmigen. Basis dafür werden vermutlich internationale etablierte Industriestandards wie die ISO 27001 etc. sein. Darüber hinaus müssen die Betreiber kritischer Infrastrukturen in einem regelmäßigen 2-Jahres-Rhythmus ausführlich belegen, (z.B. durch Security Audits, Security Checks oder Zertifikate), dass sie alle angemessenen Maßnahmen ergriffen haben. Wer sich nicht an die definierten Minimumstandards hält oder festgestellte Defizite nicht wie vom BSI angeordnet abstellt, riskiert ein Bußgeld bis zu EUR 100.000, in allen anderen Fällen bis zu EUR 50.000.

KRITIS-Betreiber müssen zudem innerhalb von 6 Monaten nach Inkrafttreten des Gesetzes ein Rund-um-die-Uhr (7 mal 24 Stunden) erreichbares Kommunikationssystem gegenüber dem BSI aufbauen um zum einen aufgetretene Vorfälle an das BSI zu berichten und zum anderen Benachrichtigungen und Warnungen des BSI entgegenzunehmen.

Auftretende IT-Sicherheitsvorfälle sind dem BSI zu melden. Hierbei ist grundsätzlich auch eine anonyme Meldung ausreichend, es sei denn die kritische Infrastruktur fällt vollständig aus oder wird beeinträchtigt. In diesen Fällen ist eine namentliche Meldung notwendig. Erheblich sind solche Beeinträchtigungen immer dann, wenn sie nicht automatisiert oder mit wenig Aufwand gemanagt werden können. Dies betrifft z.B. neuartige oder außergewöhnliche Sicherheitsvorfälle, neue Vorgehensweisen oder unerwartete Vorfälle. Alltägliche Vorfälle, die mit wenig Aufwand nach aktuellem Stand der Technik beseitigt werden können (SPAM, bekannte Malware oder Virensignaturen), müssen nicht berichtet werden. Neu ist in diesem Zusammenhang auch die Verpflichtung der Hersteller von IT-Produkten und Systemen, auf Aufforderung des BSI bei der Bekämpfung oder Vermeidung solcher erheblicher Störungen mitzuhelfen. Das Gesetz nimmt somit auch ausdrücklich die IT-Industrie in die Pflicht, solche Vorfälle zu vermeiden. Verstöße gegen die Anzeigepflicht werden mit Bußgeldern bis zu EUR 50.000 geahndet.

Produktevaluierungen durch das BSI

Um das Niveau der Sicherheitsvorkehrungen in IT-Systemen und Produkten zu verbessern, ist das BSI berechtigt, allgemein verfügbare oder angekündigte Produkte auf ihre Anfälligkeit gegen Angriffe jeglicher Art zu untersuchen. Es kann sich dabei externer Unterstützung bedienen, solange es sich hierbei nicht um Konkurrenten des eigentlichen Herstellers handelt. Ist das BSI der Auffassung, dass ein bestimmtes Produkt nicht ausreichend sicher ist, kann es entsprechende Nachbesserungen verlangen. In bestimmten Fällen kann das Ergebnis der Überprüfung sogar öffentlich gemacht werden. Auch diese Pflicht betrifft nicht nur die relativ kleine Gruppe der KRITIS-Betreiber sondern die gesamte IT-Industrie. Wer auch immer Software oder Systeme herstellt, die eine gewisse Anfälligkeit für unbefugte Angriffe mit sich bringen, wird sich der Prüfung und Kritik durch das BSI zwangsläufig stellen müssen. Maßstab der Prüfung ist auch hier der jeweils aktuelle Stand der Technik. Das führt zugleich zur Pflicht der Hersteller, ihre Produkte aktuell zu halten und dem jeweils aktuellen Stand der Technik anzugleichen. Öffentliche Empfehlungen des BSI unter der Unterschrift „Welche Onlineshop-Software/welcher Browser ist am sichersten“ sind nunmehr möglich und stellen für entsprechende Hersteller sowohl Chancen als auch Risiken dar. Wer sich dessen bewusst ist, kann rechtzeitig reagieren.

Minimumstandards für den IT-Einkauf des Bundes

Mit dem IT-Sicherheitsgesetz wird das BSI ermächtigt, nicht nur Empfehlungen auszusprechen, sondern auch verpflichtende Mindeststandards für IT-Sicherheit in IT-Systemen und Produkten vorzuschreiben, die der Bund plant zu erwerben. Es bleibt abzuwarten, ob andere Einkaufsabteilungen sowohl der Öffentlichen Hand als auch in Privatunternehmen auf diesen neuformulierten Standard aufspringen. Aus Sicht des IT-Einkäufers ist es in jedem Fall attraktiv und wohl auch angemessen, dass er mindestens die Belieferung mit Produkten auf dem IT-Sicherheitsniveau der Bundesbehörden nach Empfehlung des BSI angeboten bekommt.

Es bleibt also festzuhalten, dass sowohl die Betreiber der kritischen Infrastrukturen als auch deren Lieferanten aus der IT-Branche den jeweils aktuellen Stand der Technik in der IT-Sicherheit sehr genau beobachten und in ihre Produkte und Systeme zu übernehmen haben. Hier besteht an vielerlei Stelle ohne Zweifel erheblicher Nachholbedarf bei Herstellern und Kunden.

Was folgt daraus für Geschäftsführer und IT-Leiter oder Website-Admins persönlich?

Das aktive Erkennen und Steuern von IT-Risiken für das eigene Unternehmen oder die vom Unternehmen betriebene Website oder des Onlineshops gehört zu den originären Aufgaben einer guten Unternehmensführung. Der Gesetzgeber nimmt Geschäftsführungen sämtlicher Unternehmensformen in Deutschland gemäß § 91 Abs. 2 Aktiengesetz und § 43 Abs.1 GmbH Gesetz persönlich hierfür in Haftung. Schadensersatzfolgen oder Bußgeldzahlungen, die dem Unternehmen aufgrund unzureichend gesicherter IT entstehen, werden der Geschäftsführung und mittelbar auch IT-Leitern (in den Grenzen des Arbeitsrechts) persönlich zur Last gelegt. Im Sinne einer arbeitsteiligen Unternehmensorganisation können die tatsächliche Ausführung und Organisation der benötigten Tätigkeiten auf Mitarbeiter und IT-Leitung übertragen werden. Die Verantwortung vor dem Gesetz für diesen Bereich kann jedoch kein Geschäftsführer weg-delegieren. Dies gilt im übrigen für alle Mitglieder der Geschäftsführung gleichermaßen, selbst wenn diese die Geschäftsführungsbereiche untereinander aufgeteilt haben. Geschäftsführung, Vorstand und IT-Leitung haben somit ein unmittelbar persönliches Interesse daran, dass ihre Unternehmen den neuen Anforderungen des IT-Sicherheitsgesetzes gerecht werden und für die erwartbaren Angriffe auf die IT-Sicherheit des Unternehmens im Rahmen des technisch möglichen und wirtschaftlich zumutbaren vorbereitet sind. IT-Sicherheit wird somit zu einer unmittelbaren Geschäftsführungsaufgabe. Dabei steht es jedem Geschäftsführer oder IT-Leiter frei, sich jegliche benötigte Unterstützung intern wie extern zu besorgen.

Autor

Dr. Matthias Orthwein, LL.M. (Boston) ist Rechtsanwalt in München, Experte für IT-Recht und eCommerce und Partner bei der Wirtschaftsrechtskanzlei SKW Schwarz. Er berät seit vielen Jahren nationale und internationale Mandanten im IT-Recht, insbesondere im Softwarerecht und der rechtlichen Gestaltung des e-Commerce. Er ist zudem ein erfahrener Experte für nationale und internationale Datenschutzrechtsfragen. Dr. Orthwein ist Lehrbeauftragter für IT und Datenschutzrecht an der Hochschule Rosenheim.

www.skwschwarz.de
m.orthwein@skwschwarz.de
www.twitter.de/M_Orthwein

Kommentare (0)

Keine Kommentare gefunden!

Neuen Kommentar schreiben

  • Facebook
  • Google+
  • Twitter
  • XING
© 2016 eSTRATEGY-Magazin
Facebook
Twitter
RSS
Xing
Google+