netz98 Blog

Der E-Commerce &
Magento Blog

IT Sicherheitesgesetz

Was bedeutet das IT-Sicherheitsgesetz für den Onlinehandel?

Am 25. Juli trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Es soll die Sicherheit von IT-Systemen und Telemediendiensten erhöhen. Doch scheint es derzeit eher zur Unsicherheit über die neu bestehenden Pflichten beizutragen. Insbesondere für die E-Commerce-Branche stellt sich jetzt die Frage, ob und was neu zu beachten ist.

 

Wer ist von den Neuregelungen betroffen?

Neben den großen Playern – wie etwa die Inhaber von Genehmigungen nach dem Atomgesetz oder die Betreiber von Telekommunikationsnetzen – sind von dem IT-Sicherheitsgesetz auch „Anbieter von geschäftsmäßig erbrachten Telemediendiensten“ betroffen. Hierunter fallen insbesondere auch Onlineshopbetreiber, und zwar unabhängig von der Größe des Shops.

 

Was ist von Shopbetreibern jetzt zu beachten?

Shopbetreiber müssen seit Inkrafttreten des IT-Sicherheitsgesetzes technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern, soweit dies technisch möglich und wirtschaftlich zumutbar ist. Für die Erfüllung dieser Vorgabe wird auf die Anwendung anerkannter Verschlüsselungsverfahren verwiesen. Dabei ist zu beachten, dass der Onlinehandel sofort tätig werden muss, denn das IT-Sicherheitsgesetz sieht für Betreiber „üblicher Telemediendienste“ keine Übergangsfrist vor. Im Gegensatz wurde Betreiber von „kritischen Infrastrukturen“ eine solche Übergangsfrist gewährt, da hier die Details erst noch in einer gesonderten Verordnung zu klären sind.

 

To do-Liste für Shopbetreiber

Das bedeutet für Shopbetreiber konkret:

 

  • Die Software des Onlineshops muss immer aktuell gehalten werden und Updates regelmäßig eingespielt werden.
  • Die Seite sollte verschlüsselt werden. Ungeklärt ist jedoch noch, ob das weit verbreitete Secure Sockets Layer (SSL) -Protokoll den Anforderungen des IT-Sicherheitsgesetzes genügt. Das Protokoll ist zwar weit verbreitet und könnte somit als „aktueller Stand der Technik“ angesehen werden. Allerdings sind auch einige Schwachstellen bekannt. Daher könnte die Verwendung des Nachfolgeprotokolls Transport Layer Security (TLS) verpflichtend sein. Es gibt jedoch zahlreiche Zertifizierungsdienstleister in diesem Bereich mit unterschiedlichen Konditionen, so dass die Implementierung keine allzu große Hürde darstellen sollte.
  • E-Mails, die Kundendaten enthalten, dürfen nicht mehr unverschlüsselt verschickt werden. Hier ist nicht nur an Bestätigungsmails im Rahmen der Bestellung zu denken, sondern auch an Mails mit Login-Daten aufgrund des Anlegens von Kundenkonten. Auch Benutzername und/oder Passwörter dürfen nicht mehr in Reintext an die Kunden versendet werden.

 

IT-Sicherheitsgesetz_Anforderungen

 

Was droht bei Nichtbeachtung?

Mit dem IT-Sicherheitsgesetz wurden auch erweiterte Bußgeldvorschriften erlassen. Konkret wurden die Bußgeldvorschriften des Telemediengesetzes (TMG) erweitert auf Verstöße gegen die IT-Sicherheit. Damit wurden Verstöße gegen Tatbestände der neuen Regelungen auf eine Ebene mit solchen gegen den Datenschutz gestellt. Die Verstöße können damit mit Bußgeldern bis zu 50.000,- Euro belegt werden.

 

Wichtig ist: Onlinehändler können sich in Sachen IT-Sicherheit nicht nur auf ihren Hoster verlassen, da sie selbst direkt per Gesetz verpflichtet sind, sämtliche technischen und organisatorischen Maßnahmen zu treffen. Die Grenze liegt nur bei solchen Sicherheitsmaßnahmen, die ausschließlich im Bereich des Hosters liegen oder die wirtschaftlich unzumutbar bzw. technische unmöglich sind. Wie weit die Pflichten in der Praxis gehen, wird sich erst erweisen müssen. In jedem Falle sollten Shopbetreiber im Zweifel alles ihnenselbst  mögliche im Bereich IT-Sicherheit in die Wege leiten.

 

Sollten Sie sich nicht sicher sein, wie Sie die Anforderungen des neuen IT-Sicherheitsgesetzes umsetzen können, können Sie sich gerne an RESMEDIA wenden.

 

Regalsprecher-Redaktion:

Einen interessanten Beitrag zum Schutz vor Angriffen und Datenverlusten beim Einsatz von WordPress finden Sie hier: http://sichtbar-im-netz.de/5-gruende-warum-sie-ihre-wordpress-seite-immer-aktuell-halten-sollten

Über den Autor / die Autorin

Comments (4)

  • Oliver Fischer

    Hallo Frau Heukrodt-Bauer,

    sehr informativer Artikel über das neue IT-Sicherheitsgesetz. Eine Frage zu Webshops und dem Versand von E-Mails habe ich dennoch: Bedeutet „verschlüsselter“ Versand von E-Mails, dass der Inhalt der E-Mail komplett verschlüsselt sein muss, oder ist auch hier eher die Verschlüsselung auf Transportebene bei der Übertragung der E-Mail gemeint.

    Vielen Dank für eine kurze Erläuterung.

  • Alexander

    Wie ist das gedacht: EMails nur verschlüsselt? S/MIME? PGP?

  • Sabine Heukrodt-Bauer

    Vielen Dank für das Interesse.

    Pauschal ist das nicht so einfach zu beantworten. Das Gesetz verweist einerseits auf die „Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens“, andererseits aber auch darauf, dass die Maßnahmen „technisch möglich und wirtschaftlich zumutbar“ sein müssen.
    Eine Verschlüsselung mittels PGP wäre dabei optimal, realistisch aber kaum umsetzbar. Denn dann würden Shopbetreiber PGP-Schlüssel aller Kunden benötigen. Tatsächlich ist die PGP-Verschlüsselung jedoch kaum verbreitet, weshalb dies momentan wohl noch unzumutbar ist.

    Sie sollten jedoch darauf achten, dass E-Mails zumindest zwischen Ihnen und dem Provider stets per TLS verschlüsselt sind und ggf. darauf verzichten, besonders wichtige Daten per Mail zu versenden. Einige Shops versenden Passwörter nach der Registrierung als Erinnerung, bzw., wenn diese vergessen wurden als Reintext per E-Mail. Dies ist nach dem IT-Sicherheitsgesetz jedenfalls unzulässig.

Kommentar hinterlassen

*Pflichtfeld