Am 25.7.2015 ist das IT Sicherheitsgesetz (BT-Drucks. 18/4096 und BT-Drucks. 18/5121) in Kraft getreten. Ziel ist die signifikante Verbesserung des IT-Sicherheitsniveaus für Deutschland. Nur am Rande sei der Funfact angemerkt, dass es nicht für die Abgeordneten des deutschen Bundestages und dessen Verwaltung gilt. Sprich: es nehmen sich mal wieder die aus, die es beschlossen haben und die just zum Zeitpunkt der Beratung Opfer einer der größten Hackerattacken in Deutschland jemals wurden. Offenbar ist unsere Demokratie keine »kritische Infrastruktur« :-o.
Neben den Betreiber der erwähnten kritischen Infrastruktur – also Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen – leiten sich auch für Betreiber von Webangeboten Pflichten aus dem IT-Sicherheitsgesetz ab:
#ITSicherheitsgesetz Absicherung einer Webseite ist Pflicht. Verstösse kosten bis zu 50.000 € Klick um zu TweetenBetreiber von Webangeboten sind verpflichtet, ausreichende, dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme zu ergreifen.
Webangebote sind grundsätzlich sämtliche Webseiten des Internets. Der Stand der Technik – zumindest bei der Absicherung von WordPress Installationen – ist das, was wir mit unserem Angebot umreissen:
- Starke Passwörter vergeben und per Policy durchsetzen
- Brute-Force Attacken unterbinden
- Updates zeitnah einpflegen um erkannte Sicherheitslücken zu schliessen
- laufendes Monitoring der Seiten um Angriffe zu detektieren und Abwehrmassnahmen zu ergreifen
Auch wer als Kleinstunternehmer (bis 10 Mitarbeiter und max 2 Mio. € Umsatz oder Bilanzsumme) von dem Gesetz ausgenommen ist, hat zumindest unabhängig von diesem Gesetz ein vitales Eigeninteresse am Schutz der Kundendaten und seiner Infrastruktur. Für alle anderen kann es darüber hinaus auch noch teuer werden. Verstösse gegen das IT-Sicherheitsgesetz sind mit Bußgeldern von bis zu 50.000 € sanktioniert.
