Im August 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Die meisten Regelungen betreffen nur die Betreiber sogenannter „kritischer Infrastrukturen“ wie Energieversorger oder Banken. Allerdings verpflichtet das Gesetz auch Betreiber sonstiger Online-Dienste dazu, Sicherheitsvorsorge zu betreiben. Bei Verstößen drohen empfindliche Bußgelder und Abmahnungen.

Die neue Bestimmung findet sich in § 13 Abs. 7 S. 2 Telemediengesetz (TMG). Sie verpflichtet dazu, dass „geschäftsmäßig angebotene Telemedien“ bestimmte Sicherheitsstandards erfüllen müssen. Dies betrifft auch die Betreiber von Webseiten, Online-Shops, Online-Games, Umfrageportalen, App-Anbieter und auch uns als Blogger. Zwar ist noch unklar, ab welcher Stufe ein Telemediendienst geschäftsmäßig ist, allerdings setzt die Gesetzesbegründung einen strengen Maßstab an. Lediglich nicht-kommerzielle Angebote durch Private und Idealvereine werden demnach nicht erfasst. Ansonsten genügt es bereits, wenn auf einer Website Werbung geschaltet wird.

Die Diensteanbieter müssen nun sicherstellen, dass keine unerlaubten Zugriffe erfolgen, die personenbezogenen Daten geschützt werden und Störungen von außen vermieden werden. Das Gesetz gibt aber nicht vor, wie dies technisch umzusetzen ist. Es wird lediglich darauf verwiesen, dass auch Verschlüsselungstechniken einzusetzen sind. Darunter fallen sicherlich Übertragungsverschlüsselungen wie TLS/SSL. Zudem müssen regelmäßig Sicherheitspatches eingespielt werden, um schadhaften Angriffen wie „Distributed Denial of Service“-Attacken (DDoS) auf den eigenen Dienst zu begegnen. Die Online-Anbieter müssen stets die Maßnahme vornehmen, die dem aktuellen Stand der Technik entspricht. Dazu muss regelmäßig auf Aktualisierungen der Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) geachtet werden.

Die neuen Sicherheitsbestimmungen trifft Diensteanbieter aber nur, wenn die Anpassung der Sicherheitstechnik für das jeweilige Unternehmen „technisch möglich“ und „wirtschaftlich zumutbar“ ist. Es muss jeweils im Einzelfall geprüft werden, ob dies der Fall – auch unter Einschluss der einschlägigen Rechtsprechung.

Verstoßen Anbieter gegen diese Regelung drohen Bußgelder bis zu einer Höhe von 50.000 €. Dies gilt nur nicht für Störungen von außen wie DDoS-Attacken. Ob auch Mitbewerber oder Verbraucher bei einem Verstoß klagen können, ist noch weitgehend unklar. Es ist aber wahrscheinlich, dass Unternehmen versuchen werden, über diesen Weg Konkurrenten das Anbieten ihrer Telemediendienste untersagen zu lassen.