News - Cyper-Konzept

Ist das Urteil des EuGH gegen das Safe Harbor Abkommen wirklich so unerwartet?

Nein, ist es nicht: z.B. Schaut man sich das Datum des inkrafttreten des IT-Sicherheitsgesetzes am 25.07.2015 (gültig in Deutschland) in seiner neuen Fassung. Man konnte den Eindruck haben, Amerika und ihr lascher Umgang mit Datensicherheit, wird vom Rest der Welt hingenommen. So ist es aber nicht, denn:

Diesem Gesetz des BSI (Bundesamt für Sicherheit in der Informationstechnik) unterliegen folgende Anbieter: Betreiber von Webangeboten, Telekommunikationsunternehmen, Betreiber Kritischer Infrastrukturen.

Natürlich wurden die Befugnisse und der Handlungsspielraum des BSI gleichmal mit erweitert. Was das im Detail für Konsequenzen hat, wird die Zeit zeigen.

Aktueller Stand der Technik - Was bedeutet das?

Der Gesetzgeber hat bewußt auf das definieren von Sicherheitsstandarts konkret verzichtet und die Umschreibung "aktueller Stand der Technik" im Gesetztext aufgenommen. Begründet mit dem ständigen Anpassen des Gesetztextes an dem Stand der Technik.

Unsere Arbeit zeigt, dass der Stand der Technik bei sehr vielen Unternehmen auf einem Stand ist, als das Internet noch eine sichere und schöne virtuelle Welt war, lang lang ist es her.

Wen betrifft es?

Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseiten-Betreiber technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern. Das BSI stellt oftmals fest, dass auf Webservern veraltete und angreifbare Softwareversionen laufen. Eine grundlegende und wirksame Maßnahme ist daher das regelmäßige und rasche Einspielen von Software-Updates und Sicherheitspatches, die jeder Anbieter eines Telemediendienstes beachten sollte.

Müssen IT-Sicherheitsstandards jetzt sofort erfüllt werden? Droht unmittelbar ein Bußgeld, wenn sie nicht sofort erfüllt werden?

"Die Pflicht zur Einhaltung von IT-Sicherheitsstandards (Stand der Technik), zu denen Betreiber Kritischer Infrastrukturen mit dem IT-Sicherheitsgesetz verpflichtet werden, besteht erst zwei Jahre nach Inkrafttreten der Verordnung, aus der der Kreis der konkret Betroffenen ermittelt werden kann. Konsequenterweise drohen auch erst dann Bußgelder, wenn der Pflicht nicht nachgekommen wird."

An dieser Formulierung erkennt man deutlich, dass jetzt die Grundlage für eine Verfolgung gelegt wurde, aber die Verfolgung der Sicherheitsstandart im Detail noch nicht erfolgt ist, denn Millionen von Website in Deutschland wollen erstmal kontrolliert werden.

All diese Ereignisse in jüngster Zeit zeigen nur eins, viele Unternehmer müssen ihren medialen Vertrieb, beginnend bei der Serverlandschaft bis zu Sicherheitsmechanismen bei Interaktion mit Kunden, überdenken.

Quelle: https://www.bsi.bund.de/SharedDocs/FAQs/DE/BSI/IT-SiGesetz/faq_node.htm