Der Bundestag verabschiedet das IT-Sicherheitsgesetz. Das Thema ist spannend genug, um die 66-Seiten-PDF selbst zu lesen. Interessant sind die Details, die nicht im einfachen Newsticker stehen:<\/p>\n
F\u00fcr die gro\u00dfen Unternehmen d\u00fcrfte das jetzt nicht so die Besonderheit sein, ein ISMS zu betreiben und dies nach ISO 27001 zertifizieren zu lassen. Von einem Betreiber Kritischer Infrastruktur kann man das schon erwarten. Die Meldepflicht finde ich auch in Ordnung, die Meldung von erheblichen St\u00f6rungen k\u00f6nnte zentral verwaltet von Vorteil sein, wenn das in der Praxis gut umgesetzt wird.\u00a0Daf\u00fcr erscheinen mir die Auswirkungen der \u00c4nderungen vom Telemediengesetz eher von gro\u00dfer Bedeutung zu sein:<\/p>\n
„(7) Diensteanbieter haben, soweit dies technisch m\u00f6glich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit f\u00fcr gesch\u00e4ftsm\u00e4\u00dfig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
\n1. kein unerlaubter Zugriff auf die f\u00fcr ihre Telemedienangebote genutzten technischen Einrichtungen m\u00f6glich ist und
\n2. diese
\na) gegen Verletzungen des Schutzes personenbezogener Daten und
\nb) gegen St\u00f6rungen, auch soweit sie durch \u00e4u\u00dfere Angriffe bedingt sind,
\ngesichert sind. Vorkehrungen nach Satz 1 m\u00fcssen den Stand der Technik ber\u00fccksichtigen. Eine Ma\u00dfnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschl\u00fcsselungsverfahrens.“<\/p><\/blockquote>\nIn der Erl\u00e4uterung dazu steht:<\/p>\n
„Wegen der zunehmenden Verbreitung von Schadsoftware \u00fcber Telemediendienste werden die bestehenden Pflichten f\u00fcr Telemediendiensteanbieter, die ihre Telemedien gesch\u00e4ftsm\u00e4\u00dfig anbieten, um technische und organisatorische Ma\u00dfnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor St\u00f6rungen erg\u00e4nzt. Gesch\u00e4ftsm\u00e4\u00dfig ist ein Angebot dann, wenn es auf einer nachhaltigen T\u00e4tigkeit beruht, es sich also um eine planm\u00e4\u00dfige und dauerhafte T\u00e4tigkeit handelt. Bei einem entgeltlichen Dienst liegt dies regelm\u00e4\u00dfig vor, so z.B. bei werbefinanzierten Webseiten. Das nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine wird demgegen\u00fcber nicht erfasst.“<\/p><\/blockquote>\n
An Bu\u00dfgeld wurde auch gedacht:<\/p>\n
„Die Aufnahme eines Versto\u00dfes gegen die in \u00a7 13 Absatz 7 Satz 1 Nummer 1 oder\u00a0Nummer 2 Buchstabe a des Telemediengesetzes geregelte Pflicht des Diensteanbieters\u00a0zum Einsatz technischer und organisatorischer Schutzma\u00dfnahmen zur Gew\u00e4hrleistung\u00a0von IT-Sicherheit der f\u00fcr Dritte angebotenen Inhalte in die Bu\u00dfgeldvorschriften des \u00a7 16\u00a0Absatz 2 Nummer 3 entspricht der Bu\u00dfgeldbewehrung eines Versto\u00dfes gegen die weiteren\u00a0in \u00a7 13 Absatz 4 geregelten Pflichten des Diensteanbieters. Bu\u00dfgeldbewehrt ist\u00a0damit auch der Einsatz technischer und organisatorischer Ma\u00dfnahmen durch den\u00a0Diensteanbieter, die nicht den Stand der Technik ber\u00fccksichtigen“<\/p><\/blockquote>\n
Das ist ein Hammer, das gab es vorher nicht. Demn\u00e4chst k\u00f6nnten selbst Mini-Kommerziellen-Onlinediensten oder -Webseiten ein Bu\u00dfgeld bis zu 50.000\u20ac (\u00a716 TMG) aufgedr\u00fcckt bekommen, wenn Sie ihre Dienste nicht angemessen nach dem Stand der Technik sch\u00fctzen. Sicherlich wird nicht jeder gleich das maximale Bu\u00dfgeld zahlen m\u00fcssen. Aber: Diensteanbieter m\u00fcssen sich um ihr Sicherheitsnievau k\u00fcmmern, unabh\u00e4ngig vom BDSG.<\/p>\n
Die PDF:
\nhttps:\/\/www.bmi.bund.de\/SharedDocs\/Downloads\/DE\/Nachrichten\/Kurzmeldungen\/entwurf-it-sicherheitsgesetz.pdf?__blob=publicationFile<\/p>\n","protected":false},"excerpt":{"rendered":"Der Bundestag verabschiedet das IT-Sicherheitsgesetz. Das Thema ist spannend genug, um die 66-Seiten-PDF selbst zu lesen. Interessant sind die Details, die nicht im einfachen Newsticker stehen: Das Gesetz gilt nur f\u00fcr Betreiber Kritischer Infrastrukturen, z.B. Atomkraftwerke, Energieversorgern, Betreiber von\u00a0Telekommunikationsnetzen, aber auch bestimmten Diensteanbietern im Sinne des Telemediengesetz Die Betreiber werden verpflichtet, alle kritischen Komponenten angemessen … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[65],"tags":[],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-1692","6":"format-standard","7":"category-netzpolitik"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1692","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=1692"}],"version-history":[{"count":23,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1692\/revisions"}],"predecessor-version":[{"id":1715,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1692\/revisions\/1715"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=1692"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=1692"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=1692"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}