17.07.2015

Auswirkungen des IT-Sicherheitsgesetzes auf Webseitenbetreiber

Unverbindliches Erstgespräch vereinbaren

Inhalt

Ihr ISiCO-Experte für das Thema:
Dr. Jan Scharfenberg
Partner

Das IT-Sicherheitsgesetz bringt nicht nur Neuerungen für Anbieter von kritischen Infrastrukturen

Am 10.07.2015 hat der Bundesrat das IT-Sicherheitsgesetz gebilligt, das einen Monat zuvor durch den Bundestag verabschiedet wurde. Allgemein bekannt ist, dass das Gesetz Meldepflichten für Betreiber kritischer Infrastrukturen – wie Energieversorger oder Einrichtungen des Gesundheitswesens – vorsieht und diese verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten. Weniger bekannt ist jedoch, dass das IT-Sicherheitsgesetz Regelungen für „normale“ Webseitenbetreiber enthält:

Informationssicherheit, die schützt – und weiterdenkt

Wir sichern nicht nur Ihre Systeme – wir stärken Ihre Strukturen. Mit durchdachten IT-Sicherheitslösungen, die zu Ihrem Unternehmen passen und sich mitentwickeln.

Jetzt Termin vereinbaren

App- und Webseitenanbieter

Anbieter von Telemedien werden nun verpflichtet, die Sicherung ihrer technischen Einrichtungen durch Maßnahmen nach dem Stand der Technik zu ergreifen. Diese Vorgabe richtet sich an alle Webseiten und App-Anbieter, die geschäftsmäßig Dienste erbringen. Damit fallen nicht kommerziellen Angebote, wie viele Blogs oder private Foren, aus dem Anwendungsbereich des Gesetzes heraus. Vorsicht ist jedoch angebracht, wenn ein nachhaltiger Gewinn durch Werbeanzeigen erwirtschaftet wird. Geschäftsmäßige Anbieter müssen den unerlaubten Zugriff auf ihre Webseiten unterbinden und ihre Plattformen gegen Angriffe absichern.

Verhältnismäßigkeit und Stand der Technik

Dabei treffen die Pflichten nicht alle Anbieter gleichermaßen, sondern es findet an zwei Stellen eine Abwägung statt: Zum einen sind die Maßnahmen zu ergreifen, die technisch möglich und wirtschaftlich zumutbar sind. Damit findet eine Verhältnismäßigkeitsprüfung statt, der zufolge etwa nur Verschlüsselungsverfahren eingesetzt werden müssen, die wirtschaftlich tragbar und für den Anbieter realisierbar sind. Zum anderen wird an den Stand der Technik angeknüpft. Damit wird der Betreiber verpflichtet, seine Sicherheitsvorkehrungen regelmäßig zu überprüfen und, wenn erforderlich, der technischen Entwicklung anzupassen. Eine ähnliche Regelung findet sich schon in der Anlage zu § 9 Bundesdatenschutzgesetz.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zu Datenschutz, Informationssicherheit, KI und Datenstrategien einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 6 und 1?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Was ist zu tun?

Bislang lag die Absicherung der eigenen Online-Plattform hauptsächlich im eigenen Interesse bzw. des der eigenen Kunden. Nun gibt es eine gesetzliche Pflicht zum Schutz von personenbezogenen Daten und der Absicherung gegen Störungen. Diese ist obenhin bußgeldbewehrt. Webseitenbetreiber sollten spätestens jetzt anerkannte Verschlüsselungsverfahren (z.B. aktuelle TLS-Version mit Perfect Forward Secrecy) beim Umgang mit personenbezogenen Daten und sichere Authentifizierungsverfahrens einsetzen. Ein nachlässiges Einspielen von Sicherheitspatches (etwa bei einer Heartbleed vergleichbaren Sicherheitslücke) kann nun zu Ordnungswidrigkeiten und Bußgeldern bis zu 50.000,00 EUR führen. Das IT-Sicherheitsgesetz bringt also keineswegs nur Neuerungen für Anbieter von kritischen Infrastrukturen. Zu beachten ist, dass das Gesetz erst nach der Unterschrift durch den Bundespräsidenten in Kraft tritt.

Zurück zur Newsübersicht

Weitere Neuigkeiten

22.09.2025

Privacy by Design: Die 10 wichtigsten Maßnahmen

Privacy by Design heißt: Datenschutz muss von Beginn an Teil von Produkt‑, Prozess‑ und IT‑Design sein. Entscheidend sind klare Zwecke und Datenflüsse, echte Datenminimierung mit Löschregeln, datenschutzfreundliche Defaults sowie praktikable Prozesse für Sicherheit, Betroffenenrechte und Dienstleister. Dieser Beitrag zeigt die zehn wichtigsten Maßnahmen für eine schlanke, prüfbare Umsetzung.

Weiterlesen …

18.09.2025

KI und Ransomware: Wie Cyberkriminelle Künstliche Intelligenz zur Waffe machen

Ransomware bleibt eine der disruptivsten Cyberbedrohungen für Unternehmen weltweit. Was einst als einfache Schadsoftware begann, die Dateien für schnelles Lösegeld verschlüsselte, hat sich zu einer milliardenschweren kriminellen Industrie entwickelt. Der neueste Trend, der Ransomware noch gefährlicher macht, ist der Einsatz von Künstlicher Intelligenz (KI) durch Cyberkriminelle. KI ist längst nicht mehr nur ein Werkzeug der Verteidiger – Angreifer lernen, ihre Fähigkeiten auszunutzen, um schneller, ausgefeilter und wirkungsvoller anzugreifen.

Weiterlesen …

09.09.2025

Risikomanagement nach ISO 27005 in 6 Schritten umsetzen

Risikomanagement ist das Herzstück eines wirksamen Informationssicherheits-Managementsystems (ISMS). Die ISO/IEC 27005 liefert dafür einen praxistauglichen Leitfaden – flexibel, skalierbar und direkt anschlussfähig an ISO/IEC 27001. In diesem Beitrag zeigen wir, wie Sie strukturiert vorgehen und welche Vorteile sich daraus für Ihr Unternehmen ergeben.

Weiterlesen …