Information und Bildungsarbeit von und für die SAP-Community

IT-Sicherheitsgesetz: Was müssen Webseitenbetreiber beachten?

Im Juli 2015 trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Dieser Artikel erläutert die Anforderungen, die das neue IT-Sicherheitsgesetz an Webseitenbetreiber stellt.
Alexandra Palandrani, IBS
7. September 2017
It-Security
avatar

Bei dem IT-Sicherheitsgesetz handelt es sich um ein sogenanntes Artikelgesetz; ein Gesetz, durch das gleichzeitig mehrere Gesetze geändert und erweitert werden.

Ziel des Gesetzes ist es, IT-Infrastrukturen in Deutschland auf einem höchstmöglichen Niveau zu halten und dramatische Folgen bei Versorgungsengpässen vor allem bei kritischen Infrastrukturen (KRITIS) zu vermeiden.

Doch nicht nur KRITIS-Betreiber sind vom IT-Sicherheitsgesetz betroffen, auch für Diensteanbieter einer Webseite stellt der Gesetzgeber neue Anforderungen an die Informationssicherheit. Als Diensteanbieter im Sinne des Gesetzes ist jeder Betreiber einer geschäftsmäßigen Webseite zu sehen.

Das IT-Sicherheitsgesetz hat unter anderem Änderungen des Telemediengesetzes (TMG) zur Folge. Zu den Telemedien zählen dabei unter anderem Webseiten. Das Ziel, das durch die Änderungen des TMGs erreicht werden soll, ist die Eindämmung der Verbreitung von Schadsoftware über Telemedien.

In Paragraf 13 Absatz 7 des TMGs fordert der Gesetzgeber von Diensteanbietern, dass technische und organisatorische Maßnahmen getroffen werden („soweit dies technisch möglich und wirtschaftlich zumutbar ist“), die unerlaubte Zugriffe auf betroffene IT-Systeme verhindern, betroffene IT-Systeme gegen Störungen durch Angriffe von außen schützen und Verletzungen des Schutzes personenbezogener Daten verhindern.

Als Nachweis für die Umsetzung derartiger Maßnahmen kann beispielsweise der Bericht von regelmäßig durchgeführten Penetrationstests dienen. Der Gesetzgeber fordert hierbei eine Umsetzung nach dem „Stand der Technik“.

Dieser Begriff wird häufig in Gesetzestexten genutzt, da die Entwicklung der Technologien wesentlich schneller erfolgt als die Gesetzgebung. Als konkrete Vorgabe können hier nationale oder internationale Prüfungsstandards hinzugezogen werden, wie beispielsweise die technischen Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik).

In Paragraf 13 Absatz 7 des TMGs wird im Besonderen der Einsatz von Verschlüsselungsverfahren gefordert, die als „sicher anerkannt“ sind. Diese sollen die Nutzer der Webseite davor schützen, dass übertragene Daten von unberechtigten Dritten mitgelesen werden können.

Viele Protokolle, die im Internet zur Datenübertragung genutzt werden, übermitteln Daten im Klartext. Befindet sich ein Angreifer im selben Netzwerk (oder zwischen Sender und Empfänger) und es gelingt ihm, den Datenverkehr auf sein Gerät umzulenken, kann er die übertragenen Daten (zum Beispiel Anmeldedaten) mit einem einfachen Netzwerksniffer mitlesen.

Der Einsatz eines Verschlüsselungsverfahrens allein bringt jedoch noch keine absolute Sicherheit. Die zur Verschlüsselung eingesetzten Protokolle (zum Beispiel TLS) werden, ähnlich wie Software, stetig weiterentwickelt und Sicherheitslücken werden geschlossen.

Ältere Versionen gelten teilweise bereits als gebrochen. Webseitenbetreiber müssen daher darauf achten, welche Protokolle und welche Versionen insgesamt vom System unterstützt werden, und nicht nur, welche bevorzugt angeboten werden.

Andernfalls kann ein Angreifer eine schwache Protokoll-Version aushandeln, die Verschlüsselung aufbrechen und den übertragenen Datenverkehr, trotz Verschlüsselung, auslesen.

Fazit

Die Gewährleistung von Vertraulichkeit und Inte­grität der Nutzerdaten sollte für Webseitenbetreiber auch ohne das IT-Sicherheitsgesetz einen großen Stellenwert haben. Sind die Systeme kompromittiert und Kundendaten fließen ab, zieht das immer einen Reputationsschaden nach sich, der gravierende Auswirkungen haben kann.

Hinzu kommen nun die gesetzlichen Restriktionen die nach dem neuen IT-Sicherheitsgesetz. Eine Abmahnwelle durch Konkurrenz­unternehmen oder übereifrige Anwaltskanzleien ist denkbar. Ein Sicherheitscheck der aus dem Internet erreichbaren Systeme sollte daher in regelmäßigen Abständen erfolgen.

avatar
Alexandra Palandrani, IBS

Alexandra Palandrani ist Auditor & Consultant IT Security bei IBS Schreiber.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.