Ab 25.07.2015 erweiterte Sicherheitsrichtlinien

Jeder der eine Webseite betreibt vernachlässigt manchmal gerne, sich auch über gewisse Dinge zu informieren, die hinter der Webseite stehen. Nämlich die eingesetzte Technik und deren Sicherheit.

Mit dem 25.07.2015 tritt in Deutschland das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme in Kraft.

Mit der Erweiterung der Sicherheitsrichtlinien (PDF des BSI) will man zwar überwiegend die Großen Anbieter, wie zum Beispiel Webhoster, Internet Service Provider und Webshops in die Pflicht nehmen, doch das ganze kann auch normale User betreffen.

Auch Betreiber einer geschäftsmäßig betriebenen Webseite (etwa ein Webshop auf Basisverwendung von WooCommerce), haben, soweit ihnen dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  • kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen (zum Beispiel Server und Backend, des Servers, bzw. der Webseite) möglich ist (§ 13 Abs. 7 S. 1 Nr. 1 TMG) und

gesichert sind. Diese technischen und organisatorischen Vorkehrungen müssen den Stand der Technik berücksichtigen. Dies bedeutet, dass die Vorkehrungen der Technischen Entwicklung anzupassen und gegebenenfalls durch Updates auf dem Aktuellen Stand zu halten sind. So heißt es zum Beispiel in der Gesetzesbegründung (PDF Bundestag);

Wegen der zunehmenden Verbreitung von Schadsoftware über Telemediendienste werden die bestehenden Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt.

Geschäftsmäßig ist ein Angebot dann, wenn es auf einer nachhaltigen Tätigkeit beruht, es sich also um eine planmäßige und dauerhafte 
Tätigkeit handelt.

Bei einem entgeltlichen Dienst liegt dies regelmäßig vor, so z.B. bei werbefinanzierten Webseiten. Das nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine wird demgegenüber nicht erfasst.

Die betreffenden Diensteanbieter haben im Rahmen ihrer jeweiligen Verantwortlichkeit durch technische und organisatorische Vorkehrungen, die den Stand der Technik berücksichtigen, sicherzustellen, dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und dass diese Einrichtungen gegen Verletzungen des Schutzes personenbezogener Daten und Störungen gesichert sind.

Voraussetzung ist, dass die entsprechenden Vorkehrungen für den konkreten Diensteanbieter technisch möglich und wirtschaftlich zumutbar sind. Durch das Kriterium der Zumutbarkeit wird sichergestellt, dass von dem Diensteanbieter nur solche Vorkehrungen zu treffen sind, deren Kosten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. 

Dies ermöglicht eine flexible Anpassung der jeweiligen Anforderungen im Einzelfall.
 

Nur mal so als Beispiel; Sie haben einen sogenannten Root Server (Dedicated Server) bei einem Anbieter gemietet. Bei diesen Servern sind Sie alleine für alle Sicherungs Maßnahmen verantwortlich, um Hackern den Zugriff auf Nutzerdaten zu erschweren. Sollten Sie dieses nicht machen und ein Hacker stiehlt Nutzerdaten der User, können sie zur Verantwortung gezogen werden, weil Sie ihre im Rahmen der Zumutbarkeit gegebenen Möglichkeiten zur Absicherung der verwendeten Technik womöglich vernachlässigt haben.

Das gilt auch für Werbefinanzierte Dienstleistungen (Beispielsweise Freehoster mit Werbeeinblendungen). Wenn diese sich nicht ausreichend um die Sicherheit der Kundendaten kümmern und ein Hacker stiehlt Nutzerdaten die in Verbindung Ihrer Webseite zugeordnet werden können, können Sie nach der neuen Regelung sogar mit verantwortlich gemacht werden. Insbesondere dann, wenn sich im Nachhinein herausstellt, das Ihre Webseite womöglich noch das Einfalltor war, über das die Hacker dann an die Daten gelangen konnten. Man nennt das wohl Störerhaftung.

Also die Thematik ist nicht ganz einfach und selbst ich verstehe nicht alles, was die neue Regelung mit sich bringt.

Darum lieber immer die Updates fahren, wenn welche verfügbar sind.

Dann kann man zumindest sein Gewissen dahingehend beruhigen, nach bestem Wissen gehandelt zu haben. 

Erstellt am: 25. Juli 2015