Kurz vor Jahreswechsel hat Innenminister de Maizière noch etwas Lustiges Trauriges zum Thema E-Commerce und IT-Sicherheit gesagt. So plant die Bundesregierung ein IT-Sicherheitsgesetz, mit dem die kritische Infrastruktur des Internets geschützt werden soll. Innenminister de Maizière erklärte bei der Vorstellung des Gesetzesentwurfs, dass aber auch jeder Online-Shop in Zukunft mit neuen Vorschriften konfrontiert werde.
Schließlich könne laut de Maizière, jeder Online-Shop, also auch der kleinste unter den Kleinen, zu erheblichen, verheerenden Auswirkungen bei anderen führen. Nämlich dann, wenn man sich durch das Ansurfen von unsicheren Diensten Trojaner oder Viren einfängt.
Das neue IT-Sicherheitsgesetz könnte im zweiten Halbjahr 2015 in Kraft treten und damit die neuen Auflagen für Online-Shopbetreiber bringen. Grundlegend gelte es, dass ein Online-Shop auf dem „Stand der Technik“ gehalten werden müsse. So sollen Online-Händler, die einen eigenen Shop betreiben, die Sicherheit ihrer Kunden gewährleisten.
Die im Entwurf verlangten Vorkehrungen zur IT-Sicherheit müssten „den Stand der Technik berücksichtigen“ und „wirtschaftlich zumutbar“ sein. Eine solche Vorkehrung sei „insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens“.
Soweit, so gut und sogar nachvollziehbar. Aber wie soll dies überprüft werden und was ist denn „Stand der Technik“?. Golem hat dies anhand des Beispiels WordPress veranschaulicht. Die noch weit verbreitete Version 3 ist bekanntermaßen sicherheitsgefährdet. Kann also jeder abgemahnt werden, der WordPress nicht auf dem aktuellsten Stand hält? Wer soll das überprüfen und abmahnen?
Dürfen da am Ende Abmahnanwälte ran? – aber ich möchte ja nicht den Teufel an die Wand malen. Zumal dieser Punkt ja eben absolut unklar ist.
Nicht von dem Gesetz betroffen sind übrigens „nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine“, wie es in der Gesetzesbegründung heißt. Die sind ja vor Hackerangriffen geschützt und können daher keine Viren und Trojaner weiterverbreiten, wie wir alle wissen.
Mal ganz ehrlich – mir scheint das ja im Kern nicht falsch zu sein, dass Unternehmen für die Sicherheit Ihrer Webpräsenz verantwortlich sind. Da aber die Umsetzung für mein Verständnis komplett offen ist, klingt es für mich eher nach „Gewäsch“ denn nach Plan.