• IT-Karriere:
  • Services:

Innenminister de Maizière: Jeder kleine Webshop muss sicher sein

Das IT-Sicherheitsgesetz soll eigentlich die kritische Infrastruktur schützen. Neue Vorschriften gibt es aber auch für alle kommerziellen Betreiber von Internetseiten wie Webshops und Medien. Noch bleiben viele Fragen offen.

Artikel veröffentlicht am ,
Innenminister de Maizière fordert Sicherheitsstandards von jeder kommerziellen Website.
Innenminister de Maizière fordert Sicherheitsstandards von jeder kommerziellen Website. (Bild: John Macdougall/AFP/Getty Images)

Das geplante IT-Sicherheitsgesetz sieht neue technische Auflagen für alle Betreiber von kommerziellen Webseiten vor. Der Schutz der Bürger werde auch dadurch geschehen, dass Telemediendienste, Webserver bis hin zu Onlineshops dazu verpflichtet würden, ihre Netze sicher zu betreiben, sagte Bundesinnenminister Thomas de Maizière (CDU) bei der Vorstellung des Gesetzentwurfs am Mittwoch in Berlin. Dem Entwurf zufolge müssen die Betreiber garantieren, dass auf ihre Server nicht unerlaubt zugegriffen werden kann, und sie gegen äußere Störungen gesichert sind.

Stellenmarkt
  1. SICOS BW GmbH, Stuttgart
  2. monari GmbH, Gronau

Für die Telemediendienste gelten ausdrücklich nicht dieselben Auflagen wie für die Betreiber kritischer Infrastrukturen. Allerdings betreffen diese Regelungen voraussichtlich nur rund 2.000 Unternehmen in Deutschland aus den Bereichen Energie, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen. Die Auflagen für Telemediendienste gelten hingegen für sämtliche geschäftsmäßig betriebenen Webseiten in Deutschland, was hunderttausende sein könnten. "Wir wollen alle dazu verpflichten, damit man sich auf seinem eigenen Computer nicht durch das Ansurfen von unsicheren Diensten Trojaner oder Viren einfängt", sagte de Maizière. Ein Online-Shop, und sei er noch so klein, "kann zu erheblichen, verheerenden Auswirkungen bei anderen führen".

Sicherheit muss Stand der Technik entsprechen

Das sei an sich eine Selbstverständlichkeit, denn auch bei einem Kauf in einem Supermarkt erwarte man, dass bei Schnee und Eis gestreut werde, und man nicht davor ausrutsche. "Wir verlangen von jedem Gewerbe, dass für die Nutzer keine Gefahr ausgeht", sagte der Minister zur Begründung und fügte hinzu: "Wir holen etwas nach, was in der realen Welt längst gilt".

Die im Entwurf verlangten Vorkehrungen zur IT-Sicherheit müssten "den Stand der Technik berücksichtigen" und "wirtschaftlich zumutbar" sein. Eine solche Vorkehrung sei "insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens". Laut de Maizière ist der Stand der Technik "das Normale, was man machen muss". Das sei ein "eingeübter Fachbegriff" und entspreche dem "niedrigsten Standard" in Sicherheitsfragen. Die Auflagen sollen mit Inkrafttreten des Gesetzes gelten, was im zweiten Halbjahr 2015 der Fall sein könnte.

Was droht bei Sicherheitslücken?

Unklar ist jedoch, ob und wie die Behörden die Einhaltung der Vorschriften prüfen wollen. Ebenfalls ist offen, ob eine Installation, die nicht dem Stand der Technik entspricht, abgemahnt werden kann. Das heißt, wer derzeit beispielsweise noch kommerziell eine Wordpress-Version 3.x benutzt, könnte damit die Sicherheit seines Systems gefährden. Dies wäre auch der Fall, wenn Lücken in Verschlüsselungsstandards nicht beseitigt beziehungsweise gar keine Verschlüsselungsverfahren angeboten würden.

Im Falle von Heartbleed ergaben Kontrollen, dass einige Unternehmen die Lücke nicht gepatcht hatten. Allerdings wurden deswegen keine Bußgelder verhängt. Nicht von dem Gesetz betroffen ist das "nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine", wie es in der Gesetzesbegründung heißt.

Nachtrag vom 18. Dezember 2014, 10:50 Uhr

Das Bundesinnenministerium ergänzte auf Nachfrage von Golem.de, dass die vorgesehenen Regelungen im Telemediengesetz und Telekommunikationsgesetz bereits bestehende Sorgfaltspflichten der Provider erweiterten und konkretisierten. Schon heute seien die Anbieter bei Verletzungen gegenüber dem Betroffenen schadenersatzpflichtig. "Die Stärkung der Providerverantwortlichkeit soll bewirken, dass tatsächlich geeignete Maßnahmen getroffen werden, die den Nutzern insgesamt zu Gute kommen", teilte das Ministerium mit.

Ob ein Sachverhalt im Einzelfall zu einer Abmahnung berechtige, bemesse sich nach den hierfür geltenden allgemeinen Vorschriften. Das IT-Sicherheitsgesetz selbst ändere diese nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 36,99€
  2. (-67%) 9,99€
  3. (-91%) 2,20€

Kaffeetasse 30. Sep 2015

Richtig, denke ich auch. Eine solche Versicherung eignet sich in jedem Fall. Ich kann in...

FreiGeistler 16. Jan 2015

Suchterme: virus zentrifugen iran Gib diese in die Suchmaske bei z.B. www.google.de ein...

hansenhawk 18. Dez 2014

Als ob deutsche Behörden überhaupt in der Lage wären IT Infrastuktur fachgerecht zu...

.NET 18. Dez 2014

Das ist in der Tat ein Unding und der Entwurf sollte schnellstens vom Tisch - vollkommen...

.NET 18. Dez 2014

Wie kommst du da drauf? Hier wurde nirgends gefordert, dass du den Quellcode deiner...


Folgen Sie uns
       


Dell Latitude 7220 - Test

Das Latitude 7220 ist so stabil wie es aussieht: Es hält Wasser, Blumenerde und sogar mehrere Stürze hintereinander aus.

Dell Latitude 7220 - Test Video aufrufen
Echo Auto im Test: Tolle Sprachsteuerung und neue Alexa-Funktionen
Echo Auto im Test
Tolle Sprachsteuerung und neue Alexa-Funktionen

Im Auto ist die Alexa-Sprachsteuerung noch praktischer als daheim. Amazon hat bei Echo Auto die wichtigsten Einsatzzwecke im Fahrzeug bedacht.
Ein Test von Ingo Pakalski

  1. Echo Auto Amazon bringt Alexa für 60 Euro ins Auto
  2. Echo Flex mit zwei Modulen im Test Gut gedacht, mäßig gemacht
  3. Amazon Zahlreiche Echo-Modelle nicht mehr bis Weihnachten lieferbar

Kotlin, Docker, Kubernetes: Weitere Online-Workshops für ITler
Kotlin, Docker, Kubernetes
Weitere Online-Workshops für ITler

Wer sich praktisch weiterbilden will, sollte erneut einen Blick auf das Angebot der Golem Akademie werfen. Online-Workshops zu den Themen Kotlin und Docker sind hinzugekommen, Kubernetes und Python werden wiederholt.

  1. React, Data Science, Agilität Neue Workshops der Golem Akademie online
  2. In eigener Sache Golem Akademie hilft beim Einstieg in Kubernetes
  3. Golem Akademie Data Science mit Python für Entwickler und Analysten

Außerirdische Intelligenz: Warum haben wir noch keine Aliens gefunden?
Außerirdische Intelligenz
Warum haben wir noch keine Aliens gefunden?

Seit Jahrzehnten gucken wir mit Teleskopen tief ins All. Außerirdische haben wir zwar bisher nicht entdeckt, das ist aber kein Grund, an ihrer Existenz zu zweifeln.
Von Miroslav Stimac


      •  /