Am 25. Juli 2015 ist das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) in Kraft getreten. Anforderungen an Betreiber sind jedoch weitgehend unbestimmt.
Zum Gesetz
Mit dem IT-Sicherheitsgesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland erreicht werden. Es richtet sich an das Bundesamt für Sicherheit in der Informationstechnik (BSI), Betreiber Kritischer Infrastrukturen, Telekommunikationsunternehmen, aber auch an Betreiber von Webangeboten, z.B. Online-Shops.
Für letztere Adressaten ist insbesondere die nachfolgende Ergänzung von § 13 Telemediengesetz (TMG) um einem neuen siebten Absatz durch das IT-Sicherheitsgesetz von Bedeutung:
„Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1.
kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2.
diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind.
Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“
Damit werden erhöhte Anforderungen und Pflichten an die technischen und organisatorischen Maßnahmen von Webshop-Betreibern zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme eingeführt.
Nach der Gesetzesbegründung (BT-Drucks. 18/4096) können Vorkehrungen nach § 13 Abs. 7, S. 1 TMG insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens sowie – bei personalisierten Telemedien – das Angebot eines sicheren und dem jeweiligen Schutzbedarf angemessenen Authentifizierungsverfahrens sein. Je nach Sensibilität und Umfang der verarbeiteten Daten könne das erforderliche Schutzniveau unterschiedlich sein.
Ein wesentliches Ziel des Gesetzgebers sei es, das unbemerkte Herunterladen allein durch das Aufrufen bzw. Nutzen einer dafür von Angreifern präparierten Website (sogenannte Drive-by-Downloads) als einen der Hauptverbreitungswege von Schadsoftware einzudämmen.
Mit dem Kriterium der „Zumutbarkeit“ wird laut Gesetzesbegründung sichergestellt, dass von dem Diensteanbieter nur solche Vorkehrungen zu treffen sind, deren Kosten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen.
Das IT-Sicherheitsgesetz schreibt jedoch nicht konkret vor, wie die neuen Maßnahmen umzusetzen sind. Vielmehr sind die neuen Anforderungen weitgehend unbestimmt gefasst.
Hinweis für die Praxis
Geschäftsmäßige Diensteanbieter, somit auch Betreiber von Webangeboten sind verpflichtet, die neuen Regelungen zu erfüllen. Da die konkreten Maßnahmen jedoch weitgehend nicht vorgeschrieben sind, bleibt abzuwarten, wie die Rechtsprechung die unbestimmten Rechtsbegriffe zukünftig definiert und ausfüllt.
Bereits aus dem Gesetz unmittelbar ersichtliche Anforderungen sind aber z.B. eine regelmäßige Aktualisierung der verwendeten Software, insbesondere durch Sicherheitsupdates oder das Verwenden von Transportverschlüsselungen (SSL-Zertifikate).
Stichwörter
IT- Sicherheitsgesetz, seit 25.07.2015 in Kraft, Betreiber von Webangeboten, Online-Shops, § 13 Abs. 7 TMG