Information et éducation par et pour la communauté SAP

IT-Sicherheitsgesetz: Was müssen Webseitenbetreiber beachten?

Im Juli 2015 trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Dieser Artikel erläutert die Anforderungen, die das neue IT-Sicherheitsgesetz an Webseitenbetreiber stellt.
Alexandra Palandrani, IBS
7 septembre 2017
Sécurité informatique
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Bei dem IT-Sicherheitsgesetz handelt es sich um ein sogenanntes Artikelgesetz; ein Gesetz, durch das gleichzeitig mehrere Gesetze geändert und erweitert werden.

Ziel des Gesetzes ist es, IT-Infrastrukturen in Deutschland auf einem höchstmöglichen Niveau zu halten und dramatische Folgen bei Versorgungsengpässen vor allem bei kritischen Infrastrukturen (KRITIS) zu vermeiden.

Doch nicht nur KRITIS-Betreiber sind vom IT-Sicherheitsgesetz betroffen, auch für Diensteanbieter einer Webseite stellt der Gesetzgeber neue Anforderungen an die Informationssicherheit. Als Diensteanbieter im Sinne des Gesetzes ist jeder Betreiber einer geschäftsmäßigen Webseite zu sehen.

Das IT-Sicherheitsgesetz hat unter anderem Änderungen des Telemediengesetzes (TMG) zur Folge. Zu den Telemedien zählen dabei unter anderem Webseiten. Das Ziel, das durch die Änderungen des TMGs erreicht werden soll, ist die Eindämmung der Verbreitung von Schadsoftware über Telemedien.

In Paragraf 13 Absatz 7 des TMGs fordert der Gesetzgeber von Diensteanbietern, dass technische und organisatorische Maßnahmen getroffen werden („soweit dies technisch möglich und wirtschaftlich zumutbar ist“), die unerlaubte Zugriffe auf betroffene IT-Systeme verhindern, betroffene IT-Systeme gegen Störungen durch Angriffe von außen schützen und Verletzungen des Schutzes personenbezogener Daten verhindern.

Als Nachweis für die Umsetzung derartiger Maßnahmen kann beispielsweise der Bericht von regelmäßig durchgeführten Penetrationstests dienen. Der Gesetzgeber fordert hierbei eine Umsetzung nach dem „Stand der Technik“.

Dieser Begriff wird häufig in Gesetzestexten genutzt, da die Entwicklung der Technologien wesentlich schneller erfolgt als die Gesetzgebung. Als konkrete Vorgabe können hier nationale oder internationale Prüfungsstandards hinzugezogen werden, wie beispielsweise die technischen Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik).

In Paragraf 13 Absatz 7 des TMGs wird im Besonderen der Einsatz von Verschlüsselungsverfahren gefordert, die als „sicher anerkannt“ sind. Diese sollen die Nutzer der Webseite davor schützen, dass übertragene Daten von unberechtigten Dritten mitgelesen werden können.

Viele Protokolle, die im Internet zur Datenübertragung genutzt werden, übermitteln Daten im Klartext. Befindet sich ein Angreifer im selben Netzwerk (oder zwischen Sender und Empfänger) und es gelingt ihm, den Datenverkehr auf sein Gerät umzulenken, kann er die übertragenen Daten (zum Beispiel Anmeldedaten) mit einem einfachen Netzwerksniffer mitlesen.

Der Einsatz eines Verschlüsselungsverfahrens allein bringt jedoch noch keine absolute Sicherheit. Die zur Verschlüsselung eingesetzten Protokolle (zum Beispiel TLS) werden, ähnlich wie Software, stetig weiterentwickelt und Sicherheitslücken werden geschlossen.

Ältere Versionen gelten teilweise bereits als gebrochen. Webseitenbetreiber müssen daher darauf achten, welche Protokolle und welche Versionen insgesamt vom System unterstützt werden, und nicht nur, welche bevorzugt angeboten werden.

Andernfalls kann ein Angreifer eine schwache Protokoll-Version aushandeln, die Verschlüsselung aufbrechen und den übertragenen Datenverkehr, trotz Verschlüsselung, auslesen.

Conclusion

Die Gewährleistung von Vertraulichkeit und Inte­grität der Nutzerdaten sollte für Webseitenbetreiber auch ohne das IT-Sicherheitsgesetz einen großen Stellenwert haben. Sind die Systeme kompromittiert und Kundendaten fließen ab, zieht das immer einen Reputationsschaden nach sich, der gravierende Auswirkungen haben kann.

Hinzu kommen nun die gesetzlichen Restriktionen die nach dem neuen IT-Sicherheitsgesetz. Eine Abmahnwelle durch Konkurrenz­unternehmen oder übereifrige Anwaltskanzleien ist denkbar. Ein Sicherheitscheck der aus dem Internet erreichbaren Systeme sollte daher in regelmäßigen Abständen erfolgen.

avatar
Alexandra Palandrani, IBS

Alexandra Palandrani ist Auditor & Consultant IT Security bei IBS Schreiber.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.