IT-Sicherheitsgesetz: Neuerungen für kommerzielle Webprojekte

Seit Mitte Dezember ist es beschlossene Sache: Die Bundesregierung hat das IT-Sicherheitsgesetz abgesegnet. Bundesinnenminister Thomas de Maizière (CDU) schlug die Inhalte des Gesetzes vor und sieht nur einen Weg: IT-Systeme sowie digitale Infrastrukturen in Deutschland sollen weltweit zu den sichersten zählen. Was dies konkret für Sie als Betreiber eines kommerziellen Webprojekts, sei es ein Online-Shop oder eine mediale Seite, bedeutet, erfahren Sie im Folgenden.

Wen trifft das IT-Sicherheitsgesetz?

Haben Sie Interesse daran, das komplette Gesetz zu lesen, können Sie es sich im PDF herunterladen. Inhaltlich enthält das IT-Sicherheitsgesetz einen Mindeststandard an IT-Sicherheit für kritische Infrastrukturen und Telemediendienste. Das betrifft nicht nur große Konzerne wie etwa Energieversorger, sondern auch kleine Unternehmen oder auch nur materiell ausgerichtete Websites. Bloggen Sie beispielsweise und setzen Werbebanner ein, um Ihren Blog zu monetarisieren, betrifft das IT-Sicherheitsgesetz auch Sie.

De Maizière bilanziert: „Bürger, Wirtschaft und Staat sind immer stärker auf sichere Informationswege angewiesen. Gleichzeitig steigt die Zahl der Angriffe auf das Netz. […] Egal aus welchen Staaten auch immer, ob staatlich oder privat, mit welcher Motivation auch immer. Abwehrmaßnahmen müssen stets ergriffen werden.“ Und weiter: „Die Sicherung der Kommunikation und Informationstechnik ist eine gemeinsame Aufgabe von Staat, Wirtschaft und Zivilgesellschaft.“

In einem Interview erklärt der Bundesinnenminister: „Aber der Staat hat ja schon Angebote gemacht, wenn der Bürger es möchte, zum Beispiel durch die geschützte De-Mail.“ Weiter kündigt de Maizière eine EU-Richtlinie an, die „Erleichterungen im elektronischen Rechtsverkehr“ über gesicherte Leitungen bieten soll. Wir können nur hoffen, dass diese Leitungen Ende-zu-Ende-verschlüsselt werden und nicht nur transportverschlüsselt, wie bei der De-Mail. Noch sind einige Details des IT-Sicherheitsgesetzes offen. Dass sich einiges ändern wird, steht allerdings schon jetzt fest.

Was gilt für Webprojekte?

Betreiben Sie eine kommerzielle Website, trifft das geplante IT-Sicherheitsgesetz auch Sie. Bürger sollen dadurch geschützt werden, dass sämtliche Telemediendienste zum sicheren Betrieb verpflichtet werden. Betreiber müssen garantieren können, dass ihre Server vor unbefugten Zugriffen geschützt und dass sie gegen äußere Einwirkungen gesichert sind. Auflagen, die die Telemediendienste treffen, gelten für alle Webseiten in Deutschland, die geschäftsmäßig betrieben werden. Sie unterscheiden sich von den Auflagen der rund 2.000 deutschen Firmen, die kritische Infrastrukturen betreiben. De Maizière möchte jeden noch so kleinen Shop ins Visier nehmen, denn Sicherheitsprobleme können „zu erheblichen, verheerenden Auswirkungen bei anderen führen“.

Ab der zweiten Jahreshälfte, dann könnte das Gesetz bereits eintreten, sieht der Bundesinnenminister jeden Webseitenbetreiber kommerzieller Projekte in der Pflicht, Lösungen zu nutzen, die „den Stand der Technik berücksichtigen“ und „wirtschaftlich zumutbar“ sind. Er sieht „insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens“ als sinnvoll. Noch scheint die Frage offen zu sein, inwiefern Behörden prüfen, ob die Vorschriften eingehalten werden. Weiter ist bislang unklar, ob Abmahnungen denkbar sind, wenn Installationen nicht so vonstattengehen, dass sie den aktuellen Stand der Technik berücksichtigen. Spinnen wir das obige Blogger-Beispiel weiter: Der Blogger nutzt WordPress in der Version 3.x. Ende November 2014 ist eine Sicherheitslücke bekannt geworden. Damit ist die Sicherheit des Systems gefährdet – und somit verstößt unser Beispielblogger bereits gegen die Gesetzesauflagen. Dasselbe gilt, wenn Lücken in Verschlüsselungsstandards (denken Sie an Heartbleed) nicht geschlossen werden oder der Blogger generell aufs Verschlüsseln verzichtet.

Was können Sie nun tun?

Ob Sie bloggen, einen Shop unterhalten oder sonst wie online sind: Sobald ein kommerzieller Gedanke in Ihrem Hinterkopf auftaucht, sind Sie betroffen. Ausgenommen ist lediglich das „nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine“, heißt es im Gesetz. Damit Sie sämtliche Informationen zur Hand haben, haben wir für Sie die Website itsg-faq.de ins Leben gerufen. Hier können Sie Details nachlesen und sich beraten lassen. Im Wesentlichen benötigen Sie zweierlei: Wirkungsvolle Verschlüsselung und effizienten Viren-/Hackerschutz. So sichern Sie die Kommunikation ab und wirken etwaigen Manipulationen vor. Um die richtigen SSL-Zertifikate zu finden, haben wir einen SSL-Vergleich für Sie eingerichtet. Möchten Sie sich beraten lassen, steht Ihnen gerne unser Support Rede und Antwort. Wir haben Lösungen für alle Webshops – auch für den kleinen Geldbeutel mit Zertifikaten ab 15 Euro pro Jahr. Sprechen Sie uns an, wir freuen uns Sie beraten zu dürfen!