IT-Sicherheitsgesetz

Andynium · 18. Dezember 2014 13:12

Für DE ist ja ein IT-Sicherheitsgesetz in der Pipeline. Nach dem bisherigen Entwurf müssen die Betreiber garantieren, dass auf ihre Server nicht unerlaubt zugegriffen werden kann, und sie gegen äußere Störungen gesichert sind.

Im einfachsten Fall kann er das nur, wenn er die jeweils aktuelle Version des Systems einsetzt, auf dem seine Webseite basiert. Im schlimmsten Fall könnte daraus eine Verpflichtung von Sicherheits-Audits erwachsen, die dann wohl an den "Machern" der Webseiten (also an uns) hängen blieben.

Das dürfte IMHO eine ganze Reihe von zusätzlichen Aufgaben bzw. Verpflichtungen für jeden Webdesigner/Admin zur Folge haben, beginnend bei der Beratung bis hin zur Wartung bzw. nachgehenden Betreuung.

So müsste ich mir z.Bsp. von jedem Kunden bestätigen lassen, dass er entgegen meiner Empfehlung sein System nicht aktualisieren lassen möchte (und sei der Versionssprung noch so klein).

Oh man, ich sehe schon wieder Horden von "Spezial-Anwälten" mit Website-Scannern a la Acunetics hantieren und Abmahnungen verteilen ... oder sehe ich da schon wieder zu schwarz?

Was meint ihr?

rage_all · 18. Dezember 2014 14:02

Naja, das ist ja leider immer so oder so verständlich - die Bandbreite der möglichen Auslegung eben. Evtl. trifft das viel weniger uns direkt, sondern die Kunden und die Hoster. Es gibt z.B. einen großen gelben Hoster in D, der ein Produkt anbietet, welches nach bekannten Sicherheitslücken wie SQL-Injection, Cross-Site-Scripting, etc. sucht.
Die Qualität dieses Tools, vor allem im Vergleich mit einem 'richtigen' IT-Sicherheitsexperten der auch mal kreative Angriffe versucht, sei mal dahingestellt. Aber ich kann mir vorstellen, dass so etwas schon genügen kann.
Frei nach dem Motto: Ich bezahle meinem Hoster 100,- € extra pro Jahr für eine Form Virenscan, was soll ich denn noch tun? Denn oft genug sind Webdesigner gleichzeitig Firmeninhaber, bzw. kleine Angestellte. Wenn das Gesetz so raus käme wie ich Deine Beschreibung davon jetzt auslegen könnte, könnten wir genausogut von Bäckern verlangen tatsächlich backen zu können - oder von Politikern uns tatsächlich zu regieren... big_smile

Ich glaube es geht mal wieder nur ums Geld. Digitale Signaturen auf Rechnungen sind ja jetzt auch schon passé (das wurde ja innerhalb weniger Monate schon auf nonsens-Niveau geschwächt) und so wird auch das kommen und gehen.
Du bist Deutschland. wink

Dancer62 · 19. Dezember 2014 16:10

Die Frage ist doch erstmal, was der Gesetzentwurf unter "Betreiber" versteht. IMHO fallen darunter eher die Hoster, als die Web-Designer (es sei denn, sie betreiben einen eigenen Server). Und auch dann müsste noch evaluiert werden, welche Umgebung (Betriebssystem, Hardware, Software etc.) denn als "sicher" eingestuft wird. Das BSI gibt regelmäßig Listen heraus, auf denen zertifizierte Hard- und Software aufgelistet wird. Diese Komponenten garantieren einen bestimmten (eben den zertifizierten) Schutzlevel, z.B. nach CC oder ITSEC.

Allerdings weiß ich aus eigener Erfahrung, dass eine derartige Zertifizierung

a) langwierig und
b) kostenintensiv

ist. mad Und mit dem Einsatz der zertifizierten Komponenten wäre es ja auch nicht getan. Der Betreiber müsste ja schon im Voraus wissen, welchen Schritt die "bösen Buben" als nächstes machen werden, um entsprechende Gegenmassnahmen ergreifen zu können. Und das scheint mir doch sehr an den Haaren herbeigezogen. Außerdem wie cyberman schon schrieb

cyberman schrieb:

Im schlimmsten Fall könnte daraus eine Verpflichtung von Sicherheits-Audits erwachsen

Wer sollte die ganzen IT-Sicherheits-Audits denn bezahlen ? Wieviele zig-Tausend private Webseiten gibt es, die dann ja ebenfalls unter diesen Entwurf fallen würden - und deren Betreiber mit Sicherheit die Kosten nicht stemmen könnten (vom "Wollen" wollen wir hier gar nicht erst reden...).

Im Übrigen schreibt das BSI gerne mal einige Sicherheitsmassnahmen vor und auf die Frage, ob denn schon entsprechende Produkte auf dem Markt verfügbar wären, heißt es schlicht und einfach : "Nöö" hmm !

Letztendlich sollten wir uns vielleicht an die alte Weisheit erinnern "Nichts wird so heiß gegessen, wie es gekocht wird", uns entspannt zurücklehnen und der Dinge harren, die da (hoffentlich oder auch nicht) kommen werden... big_smile

NaN · 19. Dezember 2014 16:22

Praktisch macht sich dann jeder Betreiber strafbar, der Opfer einer Hacker-Attacke wurde.
Wie geil ...

rage_all · 19. Dezember 2014 16:35

<sarcasm>
Ich bin mir sicher, dass ein solches Gesetz die vergangenen Angriffe wie z.B. auf Sony oder Vodafone gänzlich ausschließt. Also, hätte es das früher gegeben, wären die doch wesentlich vorsichtiger mit ihren Systemen umgegangen, nicht wahr?
Wir brauchen nur ein paar Politiker die voll Ahnung von etwas haben, und schon läuft's.
</sarcasm>

Dancer62 · 19. Dezember 2014 16:37

NaN schrieb:

Praktisch macht sich dann jeder Betreiber strafbar, der Opfer einer Hacker-Attacke wurde.
Wie geil ...

...und was glaubst Du, wie sich dann die Strafverfolgungsbehörden erst freuen werden - die dürfen dann Überstunden schieben bis zum geht-nicht-mehr (mit allen Konsequenzen, die das nach sich zieht...).

Dancer62 · 19. Dezember 2014 17:00

So, ich habe mir jetzt mal den Entwurf durchgelesen und kann wie schon oben gesagt feststellen:

Dancer62 schrieb:

"Nichts wird so heiß gegessen, wie es gekocht wird"

Damit meine ich folgendes (Auszug aus dem Entwurf) :
"...Besondere Bedeutung kommt im Bereich der IT-Sicherheit denjenigen Infrastrukturen zu, die für das Funktionieren unseres Gemeinwesens zentral sind. Der Schutz der IT-Systeme von solchen Kritischen Infrastrukturen und der für den Infrastrukturbetrieb nötigen Netze ist daher von größter Wichtigkeit..."

Sofern also keiner so größenwahnsinnig ist, zu glauben, sein privates Netz sei von besonderer Wichtigkeit für das Funktionieren des Gemeinwesens lol können wir uns also gaaaaanz entspannt zurücklehnen. Und auch weiterhin heißt es :

"...E.1 Erfüllungsaufwand für Bürgerinnen und Bürger
Für die Bürgerinnen und Bürger entsteht kein Erfüllungsaufwand.
E.2 Erfüllungsaufwand für die Wirtschaft
Hinsichtlich des Erfüllungsaufwands für die Wirtschaft ist zu unterscheiden zwischen Genehmigungsinhabern nach dem Atomgesetz, Betreibern von Energieversorgungsnetzen und Energieanlagen, bestimmten Telekommunikationsanbietern, sonstigen Betreibern Kritischer Infrastrukturen sowie bestimmten Telemediendiensteanbietern..."

IMHO geht es hier also ausschließlich um Unternehmen, die sich z.B. mit Kritischer Infrastruktur beschäftigen (betreibt einer von Euch ein Energieunternehmen ? Nein ? Prima, dann braucht Ihr auch nichts weiter zu tun wink ) bzw. Telekommunikationsanbieter.

Beitrag geändert von Dancer62 (19. Dezember 2014 17:01)

Andynium · 13. Januar 2015 08:12

Dancer62 schrieb:

Wer sollte die ganzen IT-Sicherheits-Audits denn bezahlen ?

Na wer wohl - im Zweifelsfall der Betreiber.

Und ganz so fremd und neu ist die Idee derartiger Sicherheits-Audits ja nicht - ich sag da nur TÜV/DEKRA - und da mosert auch keiner (mehr) rum.

Andynium · 13. Januar 2015 08:21

Dancer62 schrieb:

E.2 Erfüllungsaufwand für die Wirtschaft
... sowie bestimmten Telemediendiensteanbietern..."

Genau lesen - das Problem liegt in vorgenanntem Nachsatz. Das kleine Wörtchen "bestimmten" fühlt sich sehr gummiartig an.

Ein Telemediendienstgesetz gibt es bereits - ich zitier hier einfach mal

http://de.wikipedia.org/wiki/Telemediengesetz schrieb:

Telemedien ist ein Rechtsbegriff für elektronische Informations- und Kommunikationsdienste. Der Begriff wurde erstmals im Jugendmedienschutz-Staatsvertrag gebraucht. Zu den im TMG geregelten Telemedien gehören (nahezu) alle Angebote im Internet, beispielsweise Webshops, Online-Auktionshäuser, Suchmaschinen, Webmail-Dienste, Informationsdienste (z. B. zu Wetter, Verkehrshinweisen), Podcasts, Chatrooms, Dating-Communitys und Webportale. Auch private Websites und Blogs gelten als Telemedien.

Und schon sind wieder alle mit im Boot roll ...

Dancer62 · 13. Januar 2015 08:41

cyberman schrieb:

Genau lesen - das Problem liegt in vorgenanntem Nachsatz. Das kleine Wörtchen "bestimmten" fühlt sich sehr gummiartig an.
Und schon sind wieder alle mit im Boot ...

Richtig, aber das Wörtchen "bestimmten" bedeutet auch, dass eben nicht alle betroffen sind. Die alles entscheidende Frage ist natürlich: wer gehört zu diesen Ausnahmen - und wer nicht ? neutral

Andynium · 13. Januar 2015 08:59

Wenn ich jetzt einfach mal auf die Impressumspflicht nach dem TMG abstelle, dürften vermutlich sämtliche gewerbliche Webseiten betroffen sein.

Dancer62 · 13. Januar 2015 09:04

cyberman schrieb:

Wenn ich jetzt einfach mal auf die Impressumspflicht nach dem TMG abstelle, dürften vermutlich sämtliche gewerbliche Webseiten betroffen sein.

Das sehe ich genauso, aber zusätzlich offenbar auch noch die von Dir zitierten "privaten Websites und Blogs". Und das wäre wahrscheinlich für alle Internetnutzer der absolute GAU.

Andynium · 13. Januar 2015 14:18

Wäre ja nicht das erste Mal, dass die Politik versucht, dem freien Internet ihren Willen aufzuzwingen - siehe Zensursula ...

Andynium · 15. Januar 2015 03:02

Und diese Meldung passt doch ganz gut in diesen Kontext yikes

http://www.golem.de/news/bsi-rechner-mi … 11700.html

NaN · 15. Januar 2015 10:29

Und diese Meldung passt doch ganz gut in de Kontext

BSI will Zwangstrennung infizierter Rechner vom Internet

Das klingt für mich nach dem Beginn des "Internet-Kill-Switch.de".
(Gilt das dann eigentlich auch für Bundestrojaner?)

Andynium · 15. Januar 2015 16:44

Klingt für mich so - ja

BSI-Präsident Michael Hange will mit Trojanern und anderen Schadprogrammen infizierte Rechner zwangsweise durch die Internet-Provider vom Netz nehmen lassen.

Trojaner bleibt Trojaner, ob nun gut oder "böse" - woher soll der Provider das wissen.

Verdächtige Aktivität auf dem Rechner -> und wech damit wink ...

Andynium · 15. Februar 2015 18:14

"IT-Sicherheitsgesetz mangelhaft und nicht verfassungsgemäß" tongue

http://www.heise.de/newsticker/meldung/ … 48808.html

Andynium · 04. Mai 2016 22:07

Ja, auf dem Thema wird immer noch herum gekaut - heute ist die erste Verordnung zur Umsetzung des IT-Sicherheitsgesetzes in Kraft getreten.

Und die gute Nachricht - einzelne Webseitenbetreiber sind von diesem Gesetz NICHT betroffen. Es richtet sich vielmehr ausschließlich an wirklich große Unternehmen

Im Bereich Housing fallen Rechenzentren mit einer vertraglich vereinbarten Leistung von durchschnittlich 5 MW unter das IT-Sicherheitsgesetz, beim IT-Hosting Serverfarmen mit 25.000 laufenden Instanzen sowie Content Delivery Networks mit einem ausgelieferten Datenvolumen von 75.000 TByte/Jahr. Bei den Vertrauensdiensten unterliegen Trust-Center, die 500.000 personengebundene Zertifikate oder 10.000 TLS-Zertifikate ausgeben, der neuen Meldepflicht.
Zu den Internet-Anlagen, die unter das IT-Sicherheitsgesetz fallen, gehören zum Beispiel Internetknoten (IXPs) mit mindestens 300 angeschlossenen autonomen Systemen. Betroffen sind auch DNS-Resolver, die im Jahresdurchschnitt von mindestens 2.500.000 IP-Adressen Anfragen pro Tag erhalten und Autoritative DNS-Server, die für 250.000 Domains zuständig sind.

Forum für CMS/made simple

#1 18. Dezember 2014 13:12

IT-Sicherheitsgesetz

#2 18. Dezember 2014 14:02

Re: IT-Sicherheitsgesetz

#3 19. Dezember 2014 16:10

Re: IT-Sicherheitsgesetz

#4 19. Dezember 2014 16:22

Re: IT-Sicherheitsgesetz

#5 19. Dezember 2014 16:35

Re: IT-Sicherheitsgesetz

#6 19. Dezember 2014 16:37

Re: IT-Sicherheitsgesetz

#7 19. Dezember 2014 17:00

Re: IT-Sicherheitsgesetz

#8 13. Januar 2015 08:12

Re: IT-Sicherheitsgesetz

#9 13. Januar 2015 08:21

Re: IT-Sicherheitsgesetz

#10 13. Januar 2015 08:41

Re: IT-Sicherheitsgesetz

#11 13. Januar 2015 08:59

Re: IT-Sicherheitsgesetz

#12 13. Januar 2015 09:04

Re: IT-Sicherheitsgesetz

#13 13. Januar 2015 14:18

Re: IT-Sicherheitsgesetz

#14 15. Januar 2015 03:02

Re: IT-Sicherheitsgesetz

#15 15. Januar 2015 10:29

Re: IT-Sicherheitsgesetz

#16 15. Januar 2015 16:44

Re: IT-Sicherheitsgesetz

#17 15. Februar 2015 18:14

Re: IT-Sicherheitsgesetz

#18 04. Mai 2016 22:07

Re: IT-Sicherheitsgesetz

Fußzeile des Forums