Am 25.07.2015 ist nach der Verabschiedung durch den Bundesrat das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ – kurz „IT-Sicherheitsgesetz“ – in Kraft getreten. Die Anpassung von insgesamt acht unterschiedlichen Gesetzen soll die Verbesserung der IT-Sicherheit bei Unternehmen, den Schutz der Bürgerinnen und Bürger in einem sicheren Netz sowie den Schutz der IT des Bundes gewährleisten. Diese Maßnahmen wenden sich gegen die Bedrohung durch Straftaten, die zumeist unter dem Begriff „Cybercrime“ zusammengefasst werden. In diesem Beitrag erläutern wir die wesentlichen Auswirkungen, die sich für Unternehmen aus den Änderungen im „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSIG) sowie im „Telemediengesetz“ (TMG) ergeben.

Hintergrund

Als „Cybercrime“ bezeichnete Straftaten nutzen die Möglichkeiten der Informationstechnologie oder haben sie als Zielpunkt. Klassische Fälle sind das Ausspähen/Abfangen von Daten, digitale Erpressung – z. B. durch Blockieren/Verschlüsseln von Daten – sowie Angriffe, die IT-Systeme überlasten oder funktionsunfähig machen sollen (Denial of Service).

In Deutschland stellt „Cybercrime“ für Unternehmen eine zunehmende Bedrohung dar. Dies betrifft nicht nur weltweit agierende Konzerne, sondern auch den Mittelstand. Dieser verfügt nicht selten über begehrtes Patentwissen und/oder ist in multinationale Wertschöpfungsketten eingebunden. Die komplexe Vernetzung von Unternehmen in diesen Prozessen bietet vielfältige Angriffsmöglichkeiten für Cyber-Kriminelle.

Dieser Artikel ist erstmalig erschienen in:

Kritische Infrastrukturen

Das BSIG bildet den gesetzlichen Rahmen für die Anforderungen an organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse. Die Änderungen des BSIG fokussieren den Erhalt der Funktionsfähigkeit des Betriebs von „Kritischen Infrastrukturen“. Um die Realisierung der genannten Vorkehrungen sicherzustellen, sind Meldepflichten bei aufgetretenen oder sich andeutenden erheblichen Störungen (nicht nur durch Cyberangriffe) eingeführt worden. Zusätzlich werden regelmäßige Sicherheitsaudits durch unabhängige Prüfer gefordert.

Wer zum Kreis der Betreiber einer „Kritischen Infrastruktur“ zählt, ist noch nicht abschließend festgelegt. Fest steht, dass Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen dazugehören. Die tatsächliche Festlegung wird noch in einer Rechtsverordnung konkretisiert.

Mehr Sicherheit im Internet

Ein weiteres Ziel des IT-Sicherheitsgesetzes ist der Schutz der Bürgerinnen und Bürger bei der Benutzung des Internets. Mit den Änderungen des Telemediengesetzes wird ein sogenannter Diensteanbieter verpflichtet, in den von ihm betriebenen Telemediendiensten ein angemessenes Sicherheitsniveau für die veröffentlichten Inhalte zu schaffen. Diensteanbieter im Sinne des Gesetzes sind nicht nur Unternehmen, die die technische Infrastruktur zur Verbreitung von Webangeboten zur Verfügung stellen (Provider). Vielmehr gelten sowohl der Onlineshop-Betreiber als auch das Unternehmen, welches eine das Erscheinungsbild des Unternehmens repräsentierende Website betreibt oder betreiben lässt, als Diensteanbieter. Damit umfasst der Geltungsbereich des geänderten TMG mehr Unternehmen, als zunächst erwartet wurde. Ausgenommen sind nur nicht gewerbsmäßige Angebote, z. B. durch ideelle Vereine.

Die geforderten Maßnahmen müssen dazu geeignet sein, die genutzten technischen Einrichtungen gegen unerlaubte Zugriffe und Störungen von außen zu schützen. Ferner müssen sie den Schutz personenbezogener Daten sicherstellen. Der Schutz vor unerlaubtem Zugriff beinhaltet auch die Pflicht, dafür zu sorgen, dass kein Schadcode, z. B. durch sogenannte Drive-by-Downloads in den eigenen Webangeboten, verbreitet wird. Dies gilt unabhängig davon, ob dieser Schadcode durch das Unternehmen selbst oder durch einen fremden Dritten unter Ausnutzung von Schwachstellen in die angebotenen Webinhalte gelangt ist. Entsprechende Maßnahmen müssen auch die Inhalte, auf die der Anbieter keinen Einfluss hat (z. B. Werbebanner, eingebundene Routenplaner), umfassen. Hierfür sind geeignete organisatorische Maßnahmen zu ergreifen.

Die Nichtumsetzung dieser Verpflichtung kann mit einem Bußgeld bis zu EUR 50.000 geahndet werden. Bisher ungeklärt sind mögliche Schadensersatzansprüche durch Opfer von Schadsoftware, die z. B. durch Drive-by-Downloads auf Webpräsenzen von Unternehmen verteilt wurden.

FOLGEN FÜR DIE PRAXIS

Mit Inkrafttreten der Rechtsverordnung bleiben den Betreibern „Kritischer Infrastrukturen“ maximal zwei Jahre, um die entsprechenden Maßnahmen umzusetzen. Momentan ist noch nicht abzusehen, wann diese Rechtsverordnung ergehen wird, vermutet wird aber, dass sie noch in der laufenden Legislaturperiode des Bundestages erfolgt. Das bedeutet, dass die potenziell betroffenen Unternehmen unverzüglich mit der Vorbereitung der notwendigen Maßnahmen beginnen sollten.

Für die Umsetzung der im Telemediengesetz geforderten Maßnahmen sind keine Fristen vorgesehen – daher müssen diese unverzüglich vorgenommen werden. Der unmittelbare Handlungsbedarf umfasst eine genaue Analyse der derzeitigen Webangebote, deren technischer Ausgestaltung sowie der bisher vorgenommenen Sicherheitsmaßnahmen. Ebenfalls kann die Prüfung von Hosting- oder Outsourcingverträgen sowie weiterer Nutzungsverträge in Hinblick auf die geänderte Gesetzeslage notwendig sein. Die explizite Nennung von Verschlüsselungsverfahren (im Gesetz) sowie der Verweis auf sichere Authentifizierungsverfahren bei personalisierten Telemediendiensten (in der Gesetzesbegründung) könnten auch der Diskussion über die Nutzung des elektronischen Personalausweises neue Impulse verleihen.

Gerne stehe ich für weitere Fragen persönlich zur Verfügung: