Am 25. Juli trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Es soll die Sicherheit von IT-Systemen und Telemediendiensten erhöhen. Doch scheint es derzeit eher zur Unsicherheit über die neu bestehenden Pflichten beizutragen. Insbesondere für die E-Commerce-Branche stellt sich jetzt die Frage, ob und was neu zu beachten ist.
Wer ist von den Neuregelungen betroffen?
Neben den großen Playern – wie etwa die Inhaber von Genehmigungen nach dem Atomgesetz oder die Betreiber von Telekommunikationsnetzen – sind von dem IT-Sicherheitsgesetz auch „Anbieter von geschäftsmäßig erbrachten Telemediendiensten“ betroffen. Hierunter fallen insbesondere auch Onlineshopbetreiber, und zwar unabhängig von der Größe des Shops.
Was ist von Shopbetreibern jetzt zu beachten?
Shopbetreiber müssen seit Inkrafttreten des IT-Sicherheitsgesetzes technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern, soweit dies technisch möglich und wirtschaftlich zumutbar ist. Für die Erfüllung dieser Vorgabe wird auf die Anwendung anerkannter Verschlüsselungsverfahren verwiesen. Dabei ist zu beachten, dass der Onlinehandel sofort tätig werden muss, denn das IT-Sicherheitsgesetz sieht für Betreiber „üblicher Telemediendienste“ keine Übergangsfrist vor. Im Gegensatz wurde Betreiber von „kritischen Infrastrukturen“ eine solche Übergangsfrist gewährt, da hier die Details erst noch in einer gesonderten Verordnung zu klären sind.
To do-Liste für Shopbetreiber
Das bedeutet für Shopbetreiber konkret:
- Die Software des Onlineshops muss immer aktuell gehalten werden und Updates regelmäßig eingespielt werden.
- Die Seite sollte verschlüsselt werden. Ungeklärt ist jedoch noch, ob das weit verbreitete Secure Sockets Layer (SSL) -Protokoll den Anforderungen des IT-Sicherheitsgesetzes genügt. Das Protokoll ist zwar weit verbreitet und könnte somit als „aktueller Stand der Technik“ angesehen werden. Allerdings sind auch einige Schwachstellen bekannt. Daher könnte die Verwendung des Nachfolgeprotokolls Transport Layer Security (TLS) verpflichtend sein. Es gibt jedoch zahlreiche Zertifizierungsdienstleister in diesem Bereich mit unterschiedlichen Konditionen, so dass die Implementierung keine allzu große Hürde darstellen sollte.
- E-Mails, die Kundendaten enthalten, dürfen nicht mehr unverschlüsselt verschickt werden. Hier ist nicht nur an Bestätigungsmails im Rahmen der Bestellung zu denken, sondern auch an Mails mit Login-Daten aufgrund des Anlegens von Kundenkonten. Auch Benutzername und/oder Passwörter dürfen nicht mehr in Reintext an die Kunden versendet werden.
Was droht bei Nichtbeachtung?
Mit dem IT-Sicherheitsgesetz wurden auch erweiterte Bußgeldvorschriften erlassen. Konkret wurden die Bußgeldvorschriften des Telemediengesetzes (TMG) erweitert auf Verstöße gegen die IT-Sicherheit. Damit wurden Verstöße gegen Tatbestände der neuen Regelungen auf eine Ebene mit solchen gegen den Datenschutz gestellt. Die Verstöße können damit mit Bußgeldern bis zu 50.000,- Euro belegt werden.
Wichtig ist: Onlinehändler können sich in Sachen IT-Sicherheit nicht nur auf ihren Hoster verlassen, da sie selbst direkt per Gesetz verpflichtet sind, sämtliche technischen und organisatorischen Maßnahmen zu treffen. Die Grenze liegt nur bei solchen Sicherheitsmaßnahmen, die ausschließlich im Bereich des Hosters liegen oder die wirtschaftlich unzumutbar bzw. technische unmöglich sind. Wie weit die Pflichten in der Praxis gehen, wird sich erst erweisen müssen. In jedem Falle sollten Shopbetreiber im Zweifel alles ihnenselbst mögliche im Bereich IT-Sicherheit in die Wege leiten.
Sollten Sie sich nicht sicher sein, wie Sie die Anforderungen des neuen IT-Sicherheitsgesetzes umsetzen können, können Sie sich gerne an RESMEDIA wenden.
Regalsprecher-Redaktion:
Einen interessanten Beitrag zum Schutz vor Angriffen und Datenverlusten beim Einsatz von WordPress finden Sie hier: http://sichtbar-im-netz.de/5-gruende-warum-sie-ihre-wordpress-seite-immer-aktuell-halten-sollten
