Zum Inhalt

IT Sicherheitsgesetz: Ab 2017 sind auch Websitebetreiber in der Pflicht!

Vom IT-Sicherheitsgesetz, das bereits 2015 in Kraft trat, hat man irgendwie und irgendwann schon mal was gehört. Wie bei so vielen Dingen, die quasi lautlos vom Gesetzgeber verabschiedet wurden und in der Presse keine allzu große Aufmerksamkeit erfuhren, hat man dann auch eben „irgendwie“ das diffuse Gefühl: Das betrifft mich nicht.

Schließlich geht es ja um „Betreiber Kritischer Infrastrukturen“ – und dazu gehört man selbst ja nicht.

Doch das ist ein Irrtum, denn mit dem IT-Sicherheitsgesetz gab es auch eine Änderung des Telemediengesetzes, das eben alle (insbesondere „geschäftsmäßigen) Webseiten betrifft.

Die FAQ des BSI sind da deutlich:

„Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseiten-Betreiber technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern. […]“

Im Klartext: Wer seine Website technisch nicht aktuell hält, dem droht der Gesetzgeber ab 2017 mit Bußgeldern bis zu 50.000 Euro.

(Dafür kann man bei uns übrigens deutlich über 100 Jahre Backup- und Update – Service buchen…)

Was genau Webseitenbetreiber aber tun müssen, um dem Kriterium „technisch aktuell“ zu entsprechen, bleibt offen.

Empfehlenswert sind aber in jedem Fall:

  • Das zeitnahe Einspielen von Sicherheitsupdates (z.B. des CMS Joomla, WordPress, Typo3 etc.)
  • Die Anwendung eines Verschlüsselungsverfahrens – besonders dann, wenn mit der Website Daten übertragen werden (z.B. über ein Kontaktformular)

Noch nicht klar ist, ob – ähnlich wie beim fehlenden/fehlerhaften Impressum – eine Marktverhaltensregel anerkannt werden wird, mit der dann beispielsweise Mitbewerber die Möglichkeit haben werden, unliebsame Konkurrenz wegen mangelhafter Aktualität der Systeme abzumahnen.

Sicherheit auch im eigenen Interesse

Unabhängig davon, dass von Gesetzesseite empfindliche Strafen angedroht werden, ist die technische Aktualität der eignen Website aber auch im eignen Interesse.

Die Annahme, dass sich ein Hacker nicht für die Website eines KMU interessiert, ist nämlich schlicht falsch. Dabei hat der Hacker tatsächlich kein Interesse daran, dem Unternehmen zu schaden – er will schlicht die Technik nutzen, die hinter der Website liegt.  Es werden beispielsweise Phishing-Seiten installiert, Spam versendet oder man wird Teil eines Botnetzes, das dann wiederum andere Systeme angreift.

Abgesehen davon, dass ein Hackerangriff auf die eigene Website zum totalen Datenverlust bei der Website führen kann, drohen auch noch ganz andere Konsequenzen:

  • Die eigene Domain und/oder IP landet auf einer Blacklist: Die eigenen E-Mails kommen nirgends mehr an. Virenscanner blockieren den Empfang der Mails.
  • Virenscanner blockieren die Website im Browser – die eigene Website kann nicht mehr von Kunden aufgerufen werden.
  • Google gibt in den Suchergebnissen zu Ihrer Website die Warnung an „Diese Website wurde möglicherweise gehackt“
  • Wenn der Hack nicht behoben wird, wirft Google die Seite ganz aus dem Index.

Das alles bedeutet einen enormen Schaden für die Reputation des eigenen Unternehmens.

Der Aufwand, das wirklich allerschlimmste Abzuwenden ist dabei überschaubar: Allein das zeitnahe Einspielen der Sicherheitsupdates hilft, das Schlimmste zu verhindern. „Zeitnah“ ist hier allerdings der Knackpunkt. Wenn ein Update eine Woche nach seinem Erscheinen eingespielt wird, kann es bereits zu spät sein.

Sicherheit ist immer ein Katz-und-Maus-Spiel.

Eine Sicherheitslücke wird entdeckt (was für den Hacker Aufwand bedeutet, da er diese Lücke ja ersteinmal suchen und finden muss) – der CMS-Anbieter bietet eine Update an und veröffentlich es (was ebenfalls Aufwand bedeutet) – wird nun das Update nicht eingespielt, stehen Tür und Tor offen:

Die Sicherheitslücke ist bekannt – der Hacker muss also nicht erst nach einer suchen, sondern kann quasi durch die offenstehende Haustür hereinkommen.

Als normaler Unternehmer weiß man aber gar nicht zwingend, ob und wann es neue Updates gegeben hat – es sei denn, man schaut wirklich täglich in das Backend seiner Website (aber wer macht das schon?). Deswegen gehört diese Arbeit eigentlich in die Hände einer Agentur, die zeitnah reagieren kann.

Interesse an unseren Lösungen? Dann einfach anrufen: 02689 958434 oder mailen:

Weiterführende Informationen zum Thema:

Fragen und Antworten zum Inkrafttreten des IT-Sicherheitsgesetzes

Was bedeuten gehackte Seiten für Hoster

Wirtschaftsanwälte zum Thema IT-Sicherheitsgesetz

 

IT-Sicherheitsgesetz: Das müssen Webseitenbetreiber wissen

 

Veröffentlicht inBlogNews

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.