Seit Juli 2015 ist das IT-Sicherheitsgesetz in Kraft, ein Gesetz zur „Erhöhung der Sicherheit informationstechnischer Systeme“. Übergeordnetes Ziel ist der Schutz der Bürger sowie die Sicherheit von Unternehmen im Internet. Schaut man sich das neue Gesetz an, so birgt es einige besonders interessante Punkte.
Anforderungen aus IT-Sicherheitsgesetz auch für Webshop-Betreiber relevant
Zu den Adressaten etwa gehören neben den Betreibern Kritischer Infrastrukturen auch die Betreiber bestimmter Webangebote, z. B. von Onlineshops. Sie unterliegen nunmehr erhöhten Anforderungen hinsichtlich des Schutzes der Kundendaten und der eingesetzten IT-Systeme. Betroffen vom neuen Gesetz ist also nicht nur der Betreiber eines Kernkraftwerks, an den man im Kontext von IT-Sicherheit wohl recht schnell denken wird, sondern auch jeder „kleine“ Onlineshop-Besitzer, der von seinem „Glück“ in der Regel wohl noch gar nichts weiß. Oft hat er zudem gar keinen Einfluss auf die Softwareversionen auf den Webservern, deren Aktualität im Gesetz gefordert wird, außer er betreibt einen eigenen Webserver, was selten der Fall ist. So wird es schwierig mit der Umsetzung dieser Forderung. Es bleibt abzuwarten, wie der Gesetzgeber dies regeln möchte.
Definition der Maßnahmen nach dem „Stand der Technik“ vage
Laut IT-Sicherheitsgesetz müssen die Regelungen unterliegenden Betreiber von Webseiten die geforderten technischen und organisatorischen Maßnahmen nach dem „Stand der Technik“ ergreifen. – Ein viel zitierter, aber zugleich sehr vager Begriff, der die Betreiber im Unklaren darüber lässt, welche Maßnahmen nun konkret gefordert sind. Letztlich unterscheiden sich diese von Fall zu Fall, den Stand der Technik gibt es somit nicht. Webseiten-Betreiber bewegen sich hier auf dünnem Eis.
Auch private Website-Betreiber und Vereine betroffen
Dies gilt aber nicht nur für Anbieter kommerzieller Webseiten, sondern auch für Privatpersonen und Vereine, die mit ihrer Webseite dauerhaft Einnahmen generieren, etwa wenn sie darauf bezahlte Werbung (z. B. über Google AdSense) platzieren. Betreiber solcher Webseiten werden ebenso von der neuen Absicherungspflicht erfasst und den damit verbundenen Vagheiten unterworfen. Sie werden kritisch zwischen den oftmals vergleichsweise geringen Einnahmen und dem ihnen nunmehr auferlegten technischen Aufwand abwägen müssen.
Rechtsverordnung zur Benennung der Anbieter Kritischer Infrastrukturen steht noch aus
Als Betreiber Kritischer Infrastrukturen – wie erwähnt ebenfalls Adressaten des neuen IT-Gesetzes – gelten übrigens auch Unternehmen des Versicherungswesens. Erstaunlich, denkt man hier doch eher an die Transportbranche, Telekommunikationsunternehmen oder Energieversorger. In Kürze tritt eine derzeit im Bundesministerium des Innern erarbeitete Rechtsverordnung in Kraft. Diese wird jene Unternehmen bestimmen, die im Sinne des Gesetzes als Betreiber Kritischer Infrastrukturen gelten. Die hiervon betroffenen Versicherungsunternehmen werden neuen Pflichten zur Meldung erheblicher IT-Sicherheitsvorfälle unterliegen. Es ist zu erwarten, dass die Kosten hierfür auf die Versicherungsprämien umgelegt werden. Vielleicht ein ohnehin willkommener Anlass für Beitragserhöhungen.
Fazit
Wie der Beitrag andeutet, sind viele Regelungen im IT-Sicherheitsgesetz noch sehr vage. Eine Liste der Unternehmen, für die die Festlegungen bindend sind, liegt durch die ausstehende Rechtsverordnung noch nicht vor. Zudem bleibt abzuwarten, wie der Gesetzgeber die Kontrolle der Umsetzung des IT-Sicherheitsgesetzes zukünftig gestalten wird. Ungeachtet dessen sind Unternehmen, die online Produkte oder Dienstleistungen anbieten, gut beraten, ihre IT-Systeme kritisch hinsichtlich der IT-Sicherheit zu prüfen – am besten unter professioneller Begleitung.
Detailliertere Informationen zum Thema finden Sie unter https://www.bsi.bund.de/DE/Service/FAQ/IT-Sicherheitsgesetz/faq_node.html;jsessionid=DC5B1FE74FADFC1FA1383D09AFDC4A5B.2_cid368.