Das IT-Sicherheitsgesetz – auch Ihr Webangebot ist betroffen!
Mittwoch, 12. Oktober 2016

Das IT-Sicherheitsgesetz – auch Ihr Webangebot ist betroffen!

Im Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten, mit welchem die Bundesregierung Ihren Beitrag dazu leistet, die IT-Systeme und digitalen Infrastrukturen in Deutschland sicherer zu machen.

Mit der dabei erfolgten Änderung des Telemediengesetzes (TMG) sind Betreiber von kommerziellen Webangeboten (Webseiten und Shops) direkt betroffen und viel stärker in der Pflicht, für Datenschutz und Datensicherheit zu sorgen.

Was ist das IT-Sicherheitsgesetz?

Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, kurz IT-Sicherheitsgesetz, ging aus der im Februar 2011 beschlossenen Cyber-Sicherheitsstrategie des Bundesinnenministeriums hervor. Neben den bestehenden, auf freiwilliger Basis beruhenden Verfahren zur Absicherung von IT-Infrastrukturen und zur Meldung von Vorfällen sollen damit auch gesetzlich vorgeschriebene Rahmenbedingungen geschaffen werden, um insbesondere kritische Infrastrukturen abzusichern und ein verpflichtendes Meldewesen im Fall von IT-Sicherheitsvorfällen einzuführen.

Wer ist vom IT-Sicherheitsgesetz direkt betroffen?

Im Kern zielt das Gesetz auf die Betreiber besonders gefährdeter Infrastrukturen, sogenannter kritischer Infrastrukturen (KRITIS) wie Energie, Ernährung, Wasser, Gesundheit, Finanzen, Informationstechnik und Telekommunikation ab. Dies sind allesamt Sektoren, bei welchen ein Verlust der Verfügbarkeit oder Sicherheit dramatische Folgen für Wirtschaft, Staat und Gesellschaft in Deutschland haben könnte.

Wieso sind Unternehmer und Onlinehändler ebenfalls betroffen?

IT-Sicherheitsgesetz

Ausdrücklich gehören zu den Zielen des IT-Sicherheitsgesetzes auch die Verbesserung der IT-Sicherheit bei Unternehmen sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet. Aus diesem Grund gelten verschiedene Regelungen des IT-Sicherheitsgesetzes für Betreiber von kommerziellen Webangeboten (Unternehmenspräsentationen ebenso wie Onlineshops und Handelsplattformen) sowie für Telekommunikationsunternehmen. Hier geht es zum einen um die Absicherung der Onlineangebote und der nötigen Infrastruktur und zum anderen um die Warnung von Kunden verbunden mit möglichen Maßnahmen, wenn ein Missbrauch vorgefallen ist.

Telemediengesetz

Im Zusammenspiel mit dem IT-Sicherheitsgesetz wurden auch Änderungen innerhalb des Telemediengesetzes vorgenommen. Diese Änderungen nehmen die Betreiber von „geschäftsmäßig angebotenen Telemedien“ bei der Absicherung Ihrer IT-Systeme noch stärker in die Verantwortung (vgl. § 13 Abs. 7 TMG):

„Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

Das Telemediengesetz trägt in seiner geänderten Fassung die Regelungen des IT-Sicherheitsgesetzes in die tägliche Praxis von Unternehmen, die sich im Internet präsentieren. Ebenso wichtig wie auch heikel ist dabei aus unserer Sicht die Formulierung „Stand der Technik“.

Wie werden die Betreiber von Webangeboten kategorisiert?

Wie oben erläutert, gelten für Betreiber von Webangeboten (im Folgenden auch Provider) nach IT-Sicherheitsgesetz und TMG sogenannte „erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen“, die dem Schutz ihrer Kundendaten und der von diesen genutzten IT-Systemen dienen.

Die Anforderungen und Maßnahmen ergeben sich aus der Kategorie, in welche der Provider (Betreiber) fällt:

  • Content Provider: Anbieten eigener Inhalte (z.B. Webseiten oder Shops)
  • Host Provider: Speichern fremder Inhalte (z.B. Hosting-Dienstleister)
  • Access Provider: Vermitteln des Zugangs zu Inhalten (z.B. Rechenzentren)
  • Cache Provider: Zwischenspeichern fremder Inhalte (z.B. Content Delivery Networks)

Wenn Sie als Unternehmen eine Webseite oder einen Onlineshop betreiben, fallen Sie mindestens in die Kategorie des Content Providers, wodurch Sie in Zusammenhang mit IT-Sicherheitsgesetz und TMG als Unternehmen eine stärker als bisher ausgeprägte Verpflichtung für die Sicherheit Ihrer Systeme haben.

Aus diesem Grund gehen wir im weiteren Verlauf des Beitrags auf die Betreiber-Kategorie Content Provider ganz detailliert ein.

Welche Maßnahmen zur Absicherung Ihrer Systeme werden von Ihnen erwartet?

Für Content Provider, also Betreiber von kommerziellen Webangeboten, ergeben sich aus den Anforderungen des TMG verschiedene Maßnahmen, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) konkret ausformuliert wurden [2]. Dabei wird unterschieden zwischen Basis-Maßnahmen, welche grundsätzlich umgesetzt werden müssen, und Standardmaßnahmen, welche umgesetzt werden sollten. Beides ist wiederum jeweils kontinuierlich auf den aktuellen Stand der Technik zu prüfen und gegebenenfalls anzupassen.

Basis-Maßnahmen

Die folgenden Punkte beschreiben die vom BSI formulierten MUSS-Maßnahmen [2], die Sie als Content Provider zur Absicherung Ihres Webangebots treffen müssen:

  • M.01 Sichere Passwörter
    Wenn Sie für Ihre Blog-, CMS- oder Shopsysteme Passwörter zur Authentifizierung einsetzen, z.B. für Benutzer und Administratoren), müssen sichere Passwörter eingesetzt werden, welche durch geeignete Richtlinien hinreichend stark gegen Brute-Force und andere Angriffe abgesichert sind.
  • M.02 Sicherheits-Updates
    Angreifer können Schwachstellen der eingesetzten Software-Komponenten (z.B. CMS-System) ausnutzen. Hier ist neben der Auswahl eines geeigneten Systems auch entscheidend, dass Sie immer die verfügbaren Sicherheitsupdates eingespielt haben (Stand der Technik).
  • M.03 Gehärtete Konfiguration
    Unter dem Begriff „gehärtete Konfiguration“ versteht man die Deaktivierung sämtlicher Funktionen und Komponenten, die von Ihrem System (also Ihrem CMS oder Shopsystem) zur Erfüllung des vorgesehenen Zwecks nicht benötigt werden. Ebenso gehört dazu die optimale Konfiguration der darunterliegenden Systeme, so dass auch über Fehlermeldungen keine sicherheitsrelevanten Informationen preisgegeben werden.
  • M.04 Datensicherung
    Die Inhalte Ihres Systems müssen zur Vermeidung von Datenverlusten und zur Sicherstellung der Verfügbarkeit des Angebots regelmäßig, wenn möglich automatisiert, gesichert werden. Die Sicherungen müssen auch offline, also ohne permanenten Schreibzugriff, vorgehalten werden.
  • M.05 Virenschutz
    Zum Schutz Ihres Angebots und dessen Benutzer von Schadsoftware ist es erforderlich, dass auf den Rechnern, von welchen Inhalte auf Ihr Webangebot überspielt werden, ein aktuelles Virenschutz-Programm eingesetzt wird.
  • M.06 Firewall
    Als Erweiterung zum Virenschutz (M.05) ist auf den Arbeitsplätzen, die Inhalte auf den Webspace hochladen, eine Personal Firewall einzusetzen, um Angriffe aus dem Intranet oder dem Internet zu verhindern.
  • M.07 Verschlüsselung
    Überall dort, wo vertrauliche oder sensible Informationen übertragen oder gespeichert werden, besteht eine erhöhte Gefahr, dass diese in unbefugte Hände gelangen und/oder manipuliert werden. Aus diesem Grund ist an diesem Stellen (z.B. Onlineshops oder Administrationsbereich des CMS) ein Verschlüsselungsverfahren nach dem aktuellen Stand der Technik einzusetzen.
  • M.08 Anwendungssicherheit
    Auch die serverseitig eingesetzten Hintergrundanwendungen und Datenbanksysteme sind potentiellen Angriffen ausgesetzt. Aus diesem Grund müssen diese sicher konfiguriert werden.
  • M.17 Zugriffskontrolle
    Die Zugriffsrechte auf Ihre Systeme müssen geregelt sein (z.B. Lesen, Schreiben, Ausführen). Dies geschieht im Normalfall auf Basis der Rolle des jeweiligen Anwenders (z.B. Administrator, Kunde, Gast) und innerhalb der Rechteverwaltung des eingesetzten Systems.

Standard-Maßnahmen

Die nachfolgenden Punkte sind vom BSI formulierte SOLL-Maßnahmen [2], die Sie zur Absicherung Ihres Webangebots treffen sollten:

  • M.09 Monitoring
    Protokollierung der Zugriffe auf Ihr Webangebot, um mögliche Angriffe auf Ihre Systeme erkennen und nachverfolgen zu können (gesetzlichen Datenschutz beachten!).
  • M.10 Kompatibilitätstest
    Testen von selbst entwickelten Funktionen, vorzugsweise Einsatz eines generellen Testsystems und Ausrollen neuer Inhalte erst nach erfolgreichen Tests.
  • M.11 Redundanz
    Bereitstellen eines Ersatz-Systems oder Prüfung des Hosting-Dienstleisters zum Thema Ausfallsicherheit und Verfügbarkeit.
  • M.14 Mitarbeiter-Sensibilisierung
    Vermeidung von Sicherheitsvorfällen durch unsachgemäßes Verhalten der eigenen Mitarbeiter.
  • M.15 Regelung der Verantwortlichkeiten
    Verbindliche Vereinbarungen zum Zuständigkeitsbereich und zur Verantwortung sowohl der eigenen Mitarbeiter als auch von externen Dienstleistern treffen.
  • M.16 Hersteller-Unterstützung
    Schnellstmögliche Behebung von Sicherheitslücken, z.B. durch einen Supportvertrag mit dem Hersteller des Systems oder der betreuenden Agentur, gewährleisten.

Welcher Aufwand kommt bei einer TMG-konformen Absicherung Sie mich zu?

Bei der Betrachtung der obenstehenden Basis- und Standard-Maßnahmen werden Sie feststellen, dass Sie als Betreiber manche Themenblöcke technisch oder organisatorisch selbst abdecken können und bei anderen Punkten Ihr Dienstleister Sorge für die Erfüllung der Anforderungen tragen muss oder zumindest besser dazu geeignet ist.

Bei einer guten Organisation Ihrer eigenen Abläufe ist für die verbleibenden Maßnahmen ein entscheidender Punkt, dass Sie kompetente Partner in der Entwicklung (Webagentur) und im Hosting wählen. Diese sollten standardmäßig nach den beschriebenen Kriterien arbeiten oder zumindest geeignete Lösungen anbieten können.

Wir empfehlen Ihnen folgende Vorgehensweise

Erstellen Sie eine Checkliste mit allen oben aufgeführten Maßnahmen und sprechen Sie diese gemeinsam mit Ihrem Dienstleister durch. Der zeitliche Aufwand dafür hält sich in Grenzen und etwaige Schwachstellen sind schnell lokalisiert.

Außerdem legen wir Ihnen nahe, sich nicht rein auf die MUSS-Maßnahmen zu beschränken, sondern auch die Standard-Maßnahmen von Beginn mit gleicher Wertigkeit zu berücksichtigen, da diese aus unserer Sicht einen mindestens genauso großen Einfluss auf die Sicherheit Ihres Webangebots haben.

An einigen Stellen dieses Beitrags kommt die Formulierung „Aktueller Stand der Technik“ vor. Obwohl sich dieser Ausdruck unkonkret und weich liest, ist eines zur Erfüllung dieses Kriteriums unabdingbar: Halten Sie Ihr System stets innerhalb der vom Hersteller unterstützen Versionen und spielen Sie verfügbare Sicherheitsupdates für Ihr CMS oder Shopsystem so zeitnah wie möglich ein.

Am Beispiel des CMS TYPO3 haben wir Ihnen auf der Seite „Veraltete TYPO3 Versionen schaden Ihrem Unternehmen!“ einige negative Auswirkungen zusammengeschrieben, die außerhalb der reinen Sicherheit noch entstehen und für andere CMS und Shopsysteme ebenso gelten.

Nehmen Sie Kontakt mit uns auf, wenn Sie Fragen zum IT-Sicherheitsgesetz oder zum Telemediengesetz und die Auswirkungen auf Ihr Webangebot haben. Gerne sind wir Ihnen auch dabei behilflich, den aktuellen Sicherheitsstatus Ihrer Webseite oder Ihres Onlineshops zu bestimmen.  

Dr. Oliver Gmelch
Ihr Ansprechpartner:
Dr. Oliver Gmelch - Informationssicherheit und IT-Security
Kontaktaufnahme »

Weiterführende Informationen

Weitere Beiträge in dieser Kategorie: