Das müssen Sie zum neuen IT-Sicherheitsgesetz wissen
Seit zwei Wochen gilt in Deutschland das neue IT-Sicherheitsgesetz. Es hat nicht nur für Betreiber von Kritischen Infrastrukturen – etwa Kraftwerken oder Wasserversorger – Folgen, sondern auch für Betreiber von Webseiten.
Das Regelwerk mit dem sperrigen Namen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) wurde am 24. Juli 2015 im Bundesgesetzblatt veröffentlicht. Damit trat das Gesetz einen Tag später, am 25. Juli 2015, in Kraft.
Das Gesetz wendet sich vor allem an die Betreiber Kritischer Infrastrukturen, also Unternehmen, die die Grundversorgung der Menschen mit Wasser, Strom und Telekommunikation sicherstellen – und damit bevorzugte Ziele von kriminellen oder militärischen Hackern sind. Aber Betreiber von Webseiten werden mit dem IT-Sicherheitsgesetz in die Pflicht genommen.
Und das sind laut BSI die wichtigsten Regelungen des neuen Gesetzes:
- Telekommunikationsunternehmen sind ab sofort verpflichtet, ihre Kunden zu warnen, wenn sie bemerken, dass der Anschluss des Kunden – etwa als Teil eines Botnetzes – für IT-Angriffe missbraucht wird. Gleichzeitig sollen die Provider ihre Kunden auf mögliche Wege zur Beseitigung der Störung hinweisen.
- Für Betreiber von Webangeboten wie zum Beispiel Online-Shops gelten mit Inkrafttreten ab sofort erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme.
- Das BSI stellt nach eigenen Angaben oft fest, dass auf Webservern veraltete und angreifbare Softwareversionen laufen. Eine grundlegende und wirksame Maßnahme ist daher das regelmäßige und rasche Einspielen von Software-Updates und Sicherheitspatches, die jeder Anbieter eines Telemediendienstes beachten sollte.
- Betreiber Kritischer Infrastrukturen sind jetzt verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und – sofern nicht andere Spezialregelungen bestehen – diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen.
- Das Gesetz verpflichtet nur die Anbieter gewerblicher Telemediendienste. Nicht-kommerzielle Webseiten von Privatpersonen oder Vereinen werden daher nicht von der neuen Absicherungspflicht erfasst. Zu beachten ist jedoch, dass ein gewerbliches Angebot von Telemediendiensten auch bei Privatpersonen und Vereinen angenommen wird, wenn mit der Webseite dauerhaft Einnahmen generiert werden sollen. Dafür genügt es bereits, wenn auf der Webseite bezahlte Werbung platziert wird, beispielsweise in Form von Bannern.