Wer künftig für geschäftsmäßige Webseiten keine ausreichenden technisch-organisatorischen Sicherheitsmaßnahmen umsetzt, nimmt nicht nur gehackte Web-Server und Imageverluste, sondern seit 25. Juli dieses Jahres auch Bußgelder in Höhe von 50.000 € in Kauf. Standen bislang weitgehend Betreiber so genannter kritischer Infrastrukturen (u.a. Energieversorger, Krankenhäuser, Logistikunternehmen) im Fokus des kürzlich in Kraft getretenen IT-Sicherheitsgesetzes, so spricht sich langsam rum, dass hiervon auch sämtliche geschäftsmäßig betriebenen Webseiten betroffen sind. In unseren datenschutz notizen vom 16. Juli hatten wir hierüber erstmalig berichtet.
Was besagt die Neuregelung?
Wörtlich heißt es im neuen § 13 Abs. 7 Telemediengesetz, der durch das IT-Sicherheitsgesetz erweitert wurde:
„Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“
Geschäftsmäßig ist gemäß Gesetzesbegründung „ein Angebot dann, wenn es auf einer nachhaltigen Tätigkeit beruht, es sich also um eine planmäßige und dauerhafte Tätigkeit handelt. Bei einem entgeltlichen Dienst liegt dies regelmäßig vor, so z.B. bei werbefinanzierten Webseiten. Das nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine wird demgegenüber nicht erfasst.“
Die technisch-organisatorischen Maßnahmen müssen folglich dem Stand der Technik entsprechen, wirtschaftlich vertretbar sein, dem angestrebten Schutzzweck gerecht werden und sollen den unerlaubten Zugriff auf den Web-Server, Störungen des Betriebs durch externe Angreifer sowie das Auslesen von personenbezogenen Daten verhindern. Explizit wird der Einsatz von sicheren Verschlüsselungsverfahren gefordert.
Lag es bislang weitgehend im eigenen Interesse von Unternehmen, sichere Webseiten zu betreiben, so bestehen durch die gesetzliche Neuregelung zusätzliche Pflichten, deren Verletzung eine Ordnungswidrigkeit darstellen kann. Allerdings nicht bußgeldbewehrt ist der Verstoß gegen Störungen durch äußere Angriffe. Ordnungswidrig handelt dagegen derjenige, der den übrigen in § 13 Abs. 7 TMG genannten Pflichten nicht nachkommt und es beispielsweise versäumt, technisch-organisatorische Sicherheitsmechanismen einzusetzen, die nicht dem Stand der Technik entsprechen.
Letzteres ist nicht ganz einfach und erfordert detaillierte Sachkenntnis von sich stetig verändernden Sicherheitsprotokollen und -produkten.
Welche technisch-organisatorischen Maßnahmen sollten umgesetzt werden?
Im Hinblick auf den Betrieb einer sicheren Webseite empfehlen wir generell folgende Maßnahmen:
- Sofern personenbezogene Daten verarbeitet werden, sollten diese per SSL/TLS verschlüsselt übertragen werden. Hierbei sollten SSL/TLS-Zertifikate mit ausreichender Schlüssellänge (zurzeit 2048 Bit) von vertrauenswürdigen Trust-Centern verwendet werden, deren Authentisierungs-Zertifikate in den Standard-Browsern bereits hinterlegt sind.
- Updates der eingesetzten Software-Versionen sollten zeitnah eingespielt werden.
- Angriffe auf den Web-Server sollten durch Firewall- und Intrusion Detection Systeme erkannt und entsprechend blockiert werden.
- Web-Applikationen mit Zugriff auf Datenbanken sollten vor der Freigabe differenzierten Penetrationstests unterzogen werden.
Wie schnelllebig anerkannte Sicherheitsmechanismen sind, zeigt sich sehr gut am Beispiel SSL/TLS: Da das SSL-Protokoll auch in der Version 3.0 nicht mehr als sicher gilt, sollte möglichst TLS in der Version 1.2 oder 1.1 eingesetzt werden, übergangsweise in der Version 1.0. Auch bei der Konfiguration des TLS-Servers sollte darauf geachtet werden, dass sichere Algorithmen zur Verbindungsverschlüsselung verwendet werden. Weitere Hinweise gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in „Empfehlung: IT im Unternehmen – TLS/SSL Best Practice“, BSI-CS 012.
Sofern die Webseiten nicht selbst gehostet und administriert werden, was in aller Regel der Fall ist, empfiehlt es sich, nur solche Hosting-Provider mit dem Betrieb der Webseite zu beauftragen, die die oben genannten Sicherheitsanforderungen erfüllen und diese auch vertraglich garantieren können. Sofern auf den Webseiten personenbezogene Daten verarbeitet werden, sollten mit den Providern Verträge zur Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz geschlossen werden, die den ordnungsgemäßen und sicheren Betrieb der extern gehosteten Webseite detailliert regeln.