IT-Sicherheitsgesetz: Was müssen Webseitenbetreiber beachten?

Bei dem IT-Sicherheitsgesetz handelt es sich um ein sogenanntes Artikelgesetz; ein Gesetz, durch das gleichzeitig mehrere Gesetze geändert und erweitert werden.

Ziel des Gesetzes ist es, IT-Infrastrukturen in Deutschland auf einem höchstmöglichen Niveau zu halten und dramatische Folgen bei Versorgungsengpässen vor allem bei kritischen Infrastrukturen (KRITIS) zu vermeiden.

Doch nicht nur KRITIS-Betreiber sind vom IT-Sicherheitsgesetz betroffen, auch für Diensteanbieter einer Webseite stellt der Gesetzgeber neue Anforderungen an die Informationssicherheit. Als Diensteanbieter im Sinne des Gesetzes ist jeder Betreiber einer geschäftsmäßigen Webseite zu sehen.

Das IT-Sicherheitsgesetz hat unter anderem Änderungen des Telemediengesetzes (TMG) zur Folge. Zu den Telemedien zählen dabei unter anderem Webseiten. Das Ziel, das durch die Änderungen des TMGs erreicht werden soll, ist die Eindämmung der Verbreitung von Schadsoftware über Telemedien.

In Paragraf 13 Absatz 7 des TMGs fordert der Gesetzgeber von Diensteanbietern, dass technische und organisatorische Maßnahmen getroffen werden („soweit dies technisch möglich und wirtschaftlich zumutbar ist“), die unerlaubte Zugriffe auf betroffene IT-Systeme verhindern, betroffene IT-Systeme gegen Störungen durch Angriffe von außen schützen und Verletzungen des Schutzes personenbezogener Daten verhindern.

Als Nachweis für die Umsetzung derartiger Maßnahmen kann beispielsweise der Bericht von regelmäßig durchgeführten Penetrationstests dienen. Der Gesetzgeber fordert hierbei eine Umsetzung nach dem „Stand der Technik“.

Dieser Begriff wird häufig in Gesetzestexten genutzt, da die Entwicklung der Technologien wesentlich schneller erfolgt als die Gesetzgebung. Als konkrete Vorgabe können hier nationale oder internationale Prüfungsstandards hinzugezogen werden, wie beispielsweise die technischen Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik).

In Paragraf 13 Absatz 7 des TMGs wird im Besonderen der Einsatz von Verschlüsselungsverfahren gefordert, die als „sicher anerkannt“ sind. Diese sollen die Nutzer der Webseite davor schützen, dass übertragene Daten von unberechtigten Dritten mitgelesen werden können.

Viele Protokolle, die im Internet zur Datenübertragung genutzt werden, übermitteln Daten im Klartext. Befindet sich ein Angreifer im selben Netzwerk (oder zwischen Sender und Empfänger) und es gelingt ihm, den Datenverkehr auf sein Gerät umzulenken, kann er die übertragenen Daten (zum Beispiel Anmeldedaten) mit einem einfachen Netzwerksniffer mitlesen.

Der Einsatz eines Verschlüsselungsverfahrens allein bringt jedoch noch keine absolute Sicherheit. Die zur Verschlüsselung eingesetzten Protokolle (zum Beispiel TLS) werden, ähnlich wie Software, stetig weiterentwickelt und Sicherheitslücken werden geschlossen.

Ältere Versionen gelten teilweise bereits als gebrochen. Webseitenbetreiber müssen daher darauf achten, welche Protokolle und welche Versionen insgesamt vom System unterstützt werden, und nicht nur, welche bevorzugt angeboten werden.

Andernfalls kann ein Angreifer eine schwache Protokoll-Version aushandeln, die Verschlüsselung aufbrechen und den übertragenen Datenverkehr, trotz Verschlüsselung, auslesen.

Conclusion

Die Gewährleistung von Vertraulichkeit und Inte­grität der Nutzerdaten sollte für Webseitenbetreiber auch ohne das IT-Sicherheitsgesetz einen großen Stellenwert haben. Sind die Systeme kompromittiert und Kundendaten fließen ab, zieht das immer einen Reputationsschaden nach sich, der gravierende Auswirkungen haben kann.

Hinzu kommen nun die gesetzlichen Restriktionen die nach dem neuen IT-Sicherheitsgesetz. Eine Abmahnwelle durch Konkurrenz­unternehmen oder übereifrige Anwaltskanzleien ist denkbar. Ein Sicherheitscheck der aus dem Internet erreichbaren Systeme sollte daher in regelmäßigen Abständen erfolgen.