Das neue IT-Sicherheitsgesetz – Was ändert sich? Wer ist betroffen?
Das neue IT-Sicherheitsgesetz – Ein brandaktuelles Thema: Am 25.07.2015 hat die Bunderegierung das neue IT-Sicherheitsgesetz verabschiedet. Seitdem herrscht an vielen Stellen Verwirrung über mögliche Auswirkungen und Folgen. Was bedeutet die Gesetzesänderung konkret und wer ist eigentlich davon betroffen? Die wichtigsten Fakten und Änderungen haben wir hier zusammengefasst.
Worum geht es bei dem neuen IT-Sicherheitsgesetz überhaupt?
Die Cyber-Sicherheit ist DIE Herausforderung unserer Zeit. IT-Ausfälle und Hacker-Angriffe, die eine große Gefahr bergen, sollen durch das neue IT-Sicherheitsgesetz minimiert werden. Dieses enthält verschiedene Modifikationen und Ergänzungen für bereits bestehende Gesetze wie beispielsweise das Telekommunikationsgesetz (TKG) oder das Telemediengesetz (TMG). Ziel der Bunderegierung ist es, Deutschland auch weltweit als einen Standort digitaler Sicherheit zu etablieren. Die Bundesregierung reagiert somit auf das vermehrte öffentliche Interesse für das Thema IT-Sicherheit und die Meinung vieler Bürger/innen, dass es immer öfter zu Vorfällen in diesem Bereich kommt.
Die zentrale Maßnahme liegt darin, dass Betreiber besonders gefährdeter oder kritischer Infrastrukturen Hacker-Angriffe besser vorbeugen sollen. Sie werden zudem verpflichtet, einen Sicherheits-Vorfall direkt beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Zusätzlich sollen branchenspezifisch bestimmte Mindeststandards für die IT-Sicherheit ins Leben gerufen werden, die dann vom BSI abgesegnet werden. Die Unternehmen der verschiedenen Branchen müssen alle zwei Jahre vorweisen, dass sie sich an die jeweiligen Standards halten.
Wer ist betroffen?
In dem entsprechenden Gesetzestexten, die am 25.07.2015 in Kraft getreten sind, werden viele Begriffe nicht genau definiert. So ist beispielsweise auch offen, was unter kritischen Infrastrukturen (siehe oben) zu verstehen ist.
Die Definition nach § 2 Abs. 10 BSIG lautet wie folgt:
„Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die
1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.“
Die oben genannte Rechtsverordnung des Innenministeriums ist allerdings noch zu fassen.
Momentan bleiben also viele Fragen offen. Zum Beispiel: Wer genau gehört zu den Betreibern kritischer Infrastrukturen und muss sich demnach verstärkt mit seiner IT-Sicherheit befassen?
Die meisten kleineren und mittelständischen Unternehmen werden von den zentralen Änderungen wie Kontakt- und Meldepflichten, Mindeststandards etc. eher nicht betroffen sein.
Viel interessanter sind für diese Unternehmen die Änderungen am Telemediengesetz, welche sich sich an alle Betreiber von geschäftlich genutzten Telemediendiensten richten. Dazu gehören auch Online-Shops oder kommerzielle / geschäftliche Blogs, die zum Beispiel Bannerwerbung einsetzen. Diese sind jetzt gesetzlich dazu verpflichtet, ihre Internetseite auf dem neuesten Stand der Technik zu halten und organisatorische Maßnahmen zu ergreifen, um Sicherheitslücken zu schließen. Dadurch soll Datendiebstahl und unbefugter Zugriff auf die eigenen Systeme verhindert werden. Eine Nichtbeachtung soll Bußgelder aber auch Abmahnungen, zum Beispiel durch die Konkurrenz zur Folge haben.
Beispiele:
- Ein Blogbetreiber, der WordPress nutzt, jedoch eine veraltete Version mit Sicherheitslücken installiert hat, würde gesetzeswidrig handeln
- Auch Händler, dessen SSL-Zertifikate veraltet sind und die somit die Sicherheit der Nutzer gefährden, machen sich strafbar.
Fazit
Wichtig für alle geschäftsmäßigen Dienstanbieter, darunter natürlich auch Online-Shops, ist demnach, dass sie die neuen Datenschutzvorgaben beachten und ihre Internetauftritte durch ausreichende und ordnungsgemäße Sicherheitsmaßnahmen gegen Drittzugriffe schützen.
Wie sich die Änderungen durch das neue IT-Sicherheitsgesetz aber im Einzelnen auswirken, bleibt momentan noch unklar.
Weitere hilfreiche Informationen zu diesem Thema
- Telemediengesetz (TMG) § 5 Allgemeine Informationspflichten
- SSL-Verschlüsselung und technischer Zugriffsschutz in Online-Shops jetzt Pflicht?
- IT-Sicherheitsgesetz: Auch Blogger und Webshop-Betreiber sind betroffen
- Regelmäßiger technischer Support für Webseiten/Webshops
Titelbild: © alvarez – istockphoto.com (Dateinr. 24086772)
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!