Sie sind hier:   Startseite > Informationen / News > IT-Sicherheitsgesetz 2015

IT-Sicherheitsgesetz 2015

Betreiber von Kraftwerken, Gas, Strom und Telekommunikationsnetzen sowie Behörden und öffentliche Einrichtungen sind die Hauptadressaten dieses neuen Gesetzes. Dies wurde durch Presse und Medien verbreitet.

Was aber gerne übersehen wird ist, daß auch "Betreiber von geschäftlich genutzten Telemediendiensten" darunter fallen. Im Gesetz existiert zwar eine Ausnahme für Kleinunternehmer, diese greift aber ausgerechnet im Bereich der Telemediendienste NICHT!

Was versteht man unter Telemediendiensten? Nach deutschem Recht versteht man darunter elektronische Informations- und Kommunikationsdienste. Das beinhaltet nahezu alle Angebote im Internet, darunter Webshops, Suchmaschinen, Webmaildienste, Podcasts, Chats und Webportale. Auch private und Firmen-Websites sowie Blogs gelten als Telemediendienst.

Auch die im Gesetz verankerte Begrenzung auf "geschäftsmäßiges" Bereitstellen der oben genannten Dienste öffnet keine Hintertür für Privatleute oder Firmen. Der Gesetzgeber versteht hierunter nicht nur kostenpflichtige oder werbefinanzierte Angebote, sondern auch schon solche, die auf Nachhaltigkeit beruhen. "Geschäftsmäßig" reicht perDefinition weiter als "Gewerbsmäßig". Bereits eine Bannerwerbung kann ein Webangebot in den Bereich der Geschäftsmäßigkeit befördern.

Damit triffen für sehr viele Anbieter von Internetinhalten zukünftig die Regelungen des neuen §13 Absatz 7 des TMG zu. Dieser verlangt zunächst einmal "Maßnahmen gegen unerlaubten Zugriff" als  Pflichtaufgabe! Exemplarisch werden im Gesetz z.B. "Drive-By Downloads" von z.B. gehackten Websites genannt.

Damit ist das zeitnahe Einspielen von Sicherheitspatches und die sichere Konfiguration für Contentmanagement-Systeme, Serversoftware und Blogs eine Pflicht geworden, die bei Unterlassung bereits Geldstrafen zeitigen kann. Wie schnell "zeitnah" zu geschehen hat, steht nicht im Gesetz, hier wird die Rechtssprechung Zeitrahmen aufzeigen. Man sollte aber nicht darauf warten, daß es "ja anderen passieren kann".

Des weitern werden "Maßnahmen zum Schutz  personenbezogener Daten" Pflicht. Insbesondere der Einsatz von Verschlüsselungs-technologieen sind hier gemeint mit der Maßgabe, daß diese Verfahren "als Sicher anerkannt" sind.

Damit dürften vom BSI (Bundesamt für Sicherheit im Internet) empfohlene Lösungen gemeint sein.
Schließlich sind noch Maßnahmen "gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind" zu implementieren. Gemeint sind nach lesart des Gesetzes wohl DDoS Attacken und ähnliche Angriffe.

Wie Sie unschwer feststellen können, ist die Aufgabenliste für Internet- und Diensteanbieter erheblich gewachsen.

Hinzu kommt, daß mangelhafte IT-Sicherheit jetzt nicht mehr nur technische Schlamperei ("Absichern tun wir, wenn Geld da ist...") ist, sondern strafbewehrtes Unrecht. Verstöße sind nunmehr Bußgeldbewehrt.

Das Nicht-Einspielen eines Updates im Server oder der Blog-Software hat also ähnliche Konsequenzen wie die Übertretung einer Verkehrsregel. Verwarnungen mit Bußgeld sind hier die Regel. Diese Bußgelder können vier bis sechsstellig ausfallen.

Des weiteren eröffnet sich ein neues Feld für Abmahner und zivilrechtliche Klagen. Zumindest theoretisch könnte ein Wettbewerber die fehlende IT-Sicherheit des Konkurrenten auf Grundlage des Gesetzes abmahnen. Die laufende Rechtssprechung zeigt, das Gerichte zunehmend dazu tendieren, solche Verstöße (Nachlässigkeiten in der IT-Sicherheit) als unerlaubten Vorteil gegenüber Wettbewerbern ernst zu nehmen und zu verfolgen. Damit wird daraus auch gleich noch ein Wettbewerbsverstoß.

IT-Sicherheits-Gesetz

Das seit Mitte 2015 in Kraft getretene IT-Sicherheitsgesetz hat weitreichende Folgen für viele Unternehmen und Internetanbieter wie Blogger.

Wir beraten Sie und planen mit Ihnen sichere Investitionen in eine Gesetzeskonforme IT-Infrastruktur.

Lesen sie hier weiter -->