{"id":27933,"date":"2017-09-07T00:01:39","date_gmt":"2017-09-06T22:01:39","guid":{"rendered":"http:\/\/e3mag.com\/?p=27933"},"modified":"2019-03-11T13:19:43","modified_gmt":"2019-03-11T12:19:43","slug":"it-sicherheitsgesetz","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/it-sicherheitsgesetz\/","title":{"rendered":"IT-Sicherheitsgesetz: Was m\u00fcssen Webseitenbetreiber beachten?"},"content":{"rendered":"

Bei dem IT-Sicherheitsgesetz handelt es sich um ein sogenanntes Artikelgesetz; ein Gesetz, durch das gleichzeitig mehrere Gesetze ge\u00e4ndert und erweitert werden.<\/p>\n

Ziel des Gesetzes ist es, IT-Infrastrukturen in Deutschland auf einem h\u00f6chstm\u00f6glichen Niveau zu halten und dramatische Folgen bei Versorgungsengp\u00e4ssen vor allem bei kritischen Infrastrukturen (KRITIS) zu vermeiden.<\/p>

\"\"<\/a><\/div><\/div>\n

Doch nicht nur KRITIS-Betreiber sind vom IT-Sicherheitsgesetz betroffen, auch f\u00fcr Diensteanbieter einer Webseite stellt der Gesetzgeber neue Anforderungen an die Informationssicherheit. Als Diensteanbieter im Sinne des Gesetzes ist jeder Betreiber einer gesch\u00e4ftsm\u00e4\u00dfigen Webseite zu sehen.<\/p>\n

Das IT-Sicherheitsgesetz hat unter anderem \u00c4nderungen des Telemediengesetzes (TMG) zur Folge. Zu den Telemedien z\u00e4hlen dabei unter anderem Webseiten. Das Ziel, das durch die \u00c4nderungen des TMGs erreicht werden soll, ist die Eind\u00e4mmung der Verbreitung von Schadsoftware \u00fcber Telemedien.<\/p>\n

In Paragraf 13 Absatz 7 des TMGs fordert der Gesetzgeber von Diensteanbietern, dass technische und organisatorische Ma\u00dfnahmen getroffen werden (\u201esoweit dies technisch m\u00f6glich und wirtschaftlich zumutbar ist\u201c), die unerlaubte Zugriffe auf betroffene IT-Systeme verhindern, betroffene IT-Systeme gegen St\u00f6rungen durch Angriffe von au\u00dfen sch\u00fctzen und Verletzungen des Schutzes personenbezogener Daten verhindern.<\/p>\n

Als Nachweis f\u00fcr die Umsetzung derartiger Ma\u00dfnahmen kann beispielsweise der Bericht von regelm\u00e4\u00dfig durchgef\u00fchrten Penetrationstests dienen. Der Gesetzgeber fordert hierbei eine Umsetzung nach dem \u201eStand der Technik\u201c.<\/p>\n

Dieser Begriff wird h\u00e4ufig in Gesetzestexten genutzt, da die Entwicklung der Technologien wesentlich schneller erfolgt als die Gesetzgebung. Als konkrete Vorgabe k\u00f6nnen hier nationale oder internationale Pr\u00fcfungsstandards hinzugezogen werden, wie beispielsweise die technischen Richtlinien des BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik).<\/p>\n

In Paragraf 13 Absatz 7 des TMGs wird im Besonderen der Einsatz von Verschl\u00fcsselungsverfahren gefordert, die als \u201esicher anerkannt\u201c sind. Diese sollen die Nutzer der Webseite davor sch\u00fctzen, dass \u00fcbertragene Daten von unberechtigten Dritten mitgelesen werden k\u00f6nnen.<\/p>\n

Viele Protokolle, die im Internet zur Daten\u00fcbertragung genutzt werden, \u00fcbermitteln Daten im Klartext. Befindet sich ein Angreifer im selben Netzwerk (oder zwischen Sender und Empf\u00e4nger) und es gelingt ihm, den Datenverkehr auf sein Ger\u00e4t umzulenken, kann er die \u00fcbertragenen Daten (zum Beispiel Anmeldedaten) mit einem einfachen Netzwerksniffer mitlesen.<\/p>\n

Der Einsatz eines Verschl\u00fcsselungsverfahrens allein bringt jedoch noch keine absolute Sicherheit. Die zur Verschl\u00fcsselung eingesetzten Protokolle (zum Beispiel TLS) werden, \u00e4hnlich wie Software, stetig weiterentwickelt und Sicherheitsl\u00fccken werden geschlossen.<\/p>\n

\u00c4ltere Versionen gelten teilweise bereits als gebrochen. Webseitenbetreiber m\u00fcssen daher darauf achten, welche Protokolle und welche Versionen insgesamt vom System unterst\u00fctzt werden, und nicht nur, welche bevorzugt angeboten werden.<\/p>\n

Andernfalls kann ein Angreifer eine schwache Protokoll-Version aushandeln, die Verschl\u00fcsselung aufbrechen und den \u00fcbertragenen Datenverkehr, trotz Verschl\u00fcsselung, auslesen.<\/p>\n

Fazit<\/h3>\n

Die Gew\u00e4hrleistung von Vertraulichkeit und Inte\u00adgrit\u00e4t der Nutzerdaten sollte f\u00fcr Webseitenbetreiber auch ohne das IT-Sicherheitsgesetz einen gro\u00dfen Stellenwert haben. Sind die Systeme kompromittiert und Kundendaten flie\u00dfen ab, zieht das immer einen Reputationsschaden nach sich, der gravierende Auswirkungen haben kann.<\/p>\n

Hinzu kommen nun die gesetzlichen Restriktionen die nach dem neuen IT-Sicherheitsgesetz. Eine Abmahnwelle durch Konkurrenz\u00adunternehmen oder \u00fcbereifrige Anwaltskanzleien ist denkbar. Ein Sicherheitscheck der aus dem Internet erreichbaren Systeme sollte daher in regelm\u00e4\u00dfigen Abst\u00e4nden erfolgen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Im Juli 2015 trat das Gesetz zur Erh\u00f6hung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Dieser Artikel erl\u00e4utert die Anforderungen, die das neue IT-Sicherheitsgesetz an Webseitenbetreiber stellt. <\/p>\n","protected":false},"author":1219,"featured_media":15608,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[21,7,16508],"tags":[111,3869],"coauthors":[24412],"class_list":["post-27933","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","category-meinung","category-mag-1709","tag-infrastruktur","tag-verschluesselung","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Im Juli 2015 trat das Gesetz zur Erh\u00f6hung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Dieser Artikel erl\u00e4utert die Anforderungen, die das neue IT-Sicherheitsgesetz an Webseitenbetreiber stellt. <\/p>\n","category_list_v2":"IT-Security Kolumne<\/a>, Die Meinung der SAP-Community<\/a>, MAG 17-09<\/a>","author_info_v2":{"name":"Alexandra Palandrani, IBS","url":"https:\/\/e3mag.com\/de\/author\/alexandra-palandrani\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/27933","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/1219"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=27933"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/27933\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/15608"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=27933"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=27933"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=27933"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=27933"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}