Auch in diesem Jahr waren wir auf dem Deutschen IT-Rechtstag aktiv. Im letzten Jahr hat Sven Venzke-Caprarese zum Thema Google Universal Analytics sowie ibeacon gesprochen.
In diesem Jahr durften wir zum Thema Cybersecurity – Technische Voraussetzungen der „Maßnahme“ nach § 13 Abs. 7 TMG sprechen. Hierzu hatten wir bereits im Blog berichtet. Neben dem zum IT-Rechtstag veröffentlichten Artikel im IT-Rechtsberater (Mai 2016, S. 116 ff.), finden Sie folgend eine kurze Zusammenfassung des Vortrags:
Jede Webseite ist betroffen!
Der Gesetzgeber hat mit dem IT-Sicherheitsgesetz (in Kraft seit Mitte 2015) in vielen Bereichen Anforderungen an die IT-Sicherheit formuliert. Mediale Beachtung hat das Gesetz vor allem für den Bereich der Kritischen Infrastrukturen erhalten. Es zeichnet sich jedoch ab, dass nur wenige Unternehmen unter diesen Begriff fallen werden.
Wenig beachtet und diskutiert blieben hingegen die Änderungen im Telemediengesetz (§ 13 Abs. 7 TMG). Zusammengefasst werden dort geschäftsmäßig angebotene Telemediendienste, d.h. z.B. jede Unternehmenswebseite, verpflichtet, ein bestimmtes Niveau an IT-Sicherheit einzuhalten. Hierbei ist es unerheblich, ob personenbezogene Daten über die Webseite verarbeitet werden. Auch bloße Visitenkarten im Netz sind betroffen. Wer gegen das Gesetz verstößt, sieht sich einem hohem Haftungsrisiko ausgesetzt, z.B.:
- Ordnungswidrigkeit: 50.000,- Euro (§ 16 TMG),
- Schadensersatzansprüche der Webseitennutzer (§ 280 BGB; § 823 Abs. 2 BGB i.V.m. § 13 Abs. 7 TMG),
- Wegfall des Versicherungsschutzes (§ 81 Abs. 2 VVG),
- Reputationsverlust.
Auch die persönliche Haftung von Geschäftsführung und Vorständen mit dem Privatvermögen droht (§ 43 GmbHG, §§ 91, 93, 116 AktG).
Welche Anforderungen formuliert die Norm an die IT-Sicherheit?
Was ist der Stand der Technik?
Eine Webseite muss technische und organisatorische Vorkehrungen nach dem „Stand der Technik“ treffen. Hierbei sind insbesondere anerkannte Verschlüsselungsverfahren einzusetzen.
Das stellt jeden Webseitenbetreiber vor Herausforderungen, da das Gesetz nicht klar definiert, was unter diesem Begriff verstanden wird. Weder wird auf Richtlinien des Bundesamts für Sicherheit in der Informationstechnik, noch auf andere Leitfäden Bezug genommen.
Anforderungen an die IT-Sicherheit einer Webseite dürfen mit dem Begriff des Stands der Technik nicht unterschätzt werden. Nicht ausreichend sind demnach Maßnahmen nach den „allgemein anerkannten Regeln der Technik“. Der Stand der Technik verlangt über die allgemeine Anerkennung und die praktische Bewährung hinaus eine technische Fortschrittlichkeit der Maßnahme (vgl. Bundesverfassungsgericht zum Bundesimmissionsschutzgesetz Beschluss v. 08.08.1978 – 2 BvL 8/77). Vom Webseitenbetreiber wird damit eine detaillierte Sachkenntnis von sich stetig verändernden Sicherheitsprotokollen und –produkten verlangt, die sich an der Front der technischen Entwicklung bewegen.
Schwerpunkt: Die wirtschaftliche Zumutbarkeit
Um ein angemessenes und wirtschaftlich vertretbares Schutzniveau für eine Webseite zu definieren, reicht der Blick auf den Stand der Technik daher nicht aus. Das hat auch der Gesetzgeber erkannt und die Maßnahmen unter die Bedingung der wirtschaftlichen Zumutbarkeit gestellt. Unternehmen haben daher für die IT-Sicherheit eine umfassende Kosten/Nutzen-Abwägung vorzunehmen. Anhand welcher Leitplanken und Maßstäbe dies zu erfolgen hat, wird im Gesetz nicht definiert. Empfehlenswert ist ein Blick auf die neuen Regelungen zu IT-Sicherheit innerhalb der Datenschutz-Grundverordnung. Eine Schutzbedarfsprüfung ist unter Berücksichtigung folgender Punkte durchzuführen:
Checkliste: Sicherheits-Basics für Webseitenbetreiber
Grundsätzlich haben Unternehmen daher das IT-Sicherheitsniveau in einer konkreten, dokumentierten Schutzbedarfsanalyse festzulegen. Als erste Richtschnur lässt sich aber folgende Checkliste aufstellen, die wirklich jede Webseite umzusetzen hat:
- OWASP Top Ten (u.A. sichere Ausgestaltung von Authentifizierung und Session-Management, Verhinderung von Cross-Site Scriptingund Injections),
- TLS 1.2, statt SSL (wo eine Verschlüsselung möglich und sinnvoll ist, sollte stets verschlüsselt werden),
- Passwortmanagement (z.B. hinreichende Komplexität, Sperrung bei gehäuften fehlerhaften Anmeldeversuchen, sichere Speicherung der Passwörter mit Hashverfahren)
- Sicherheit des Webservers (z.B. Einspielen von aktuellen Sicherheitspatches und Softwareupdates),
- Erkennung und Abwehr von Angriffen durch Firewall- und Intrusion-Detection/Prevention-Systeme,
- Ausreichend vertragliche Bindung Dritter (z.B.: Vereinbarungen zur Auftragsdatenverarbeitung mit dem Host-Provider – einschließlich Überprüfung der Umsetzung, Schutzmaßnahmen von Werbedienstleistern gegen kompromittierte Werbebanner, Mitarbeiter-Sensibilisierung),
- Durchführung von Aktualitätsmaßnahmen (z.B.: Prozesse für Recherche, einschlägige Verteiler, regelmäßige Überprüfung).
Weitere Maßnahmen, je nach Datenverarbeitung, Funktionalitäten der Webseite und Unternehmensgröße können z.B. sein:
- die Durchführung von Penetrationstests,
- Benennung eines IT-Sicherheitsbeauftragten,
- die System-Zertifizierung,
- und, und, und.
Es sollte vor Inbetriebnahme der Webseite oder neuer Funktionen geprüft werden, ob diese Grundlagen ausreichen oder weitere Maßnahmen erforderlich sind.
Fazit
Auch wenn die Anforderungen an die IT-Sicherheit von Webseiten nicht klar definiert sind und die Haftungsrisiken nicht unterschätzt werden sollten, können Unternehmen Risiken beherrschbar gestalten, sofern bestimmte Grundsätze eingehalten werden. Welches Sicherheitsniveau darüber hinaus erforderlich ist, hängt von verschiedenen Faktoren ab (z.B. Art der Daten, Schadenrisiko, Kosten), die durch eine konkrete Schutzbedarfsanalyse ermittelt werden sollten.