IT-Sicher­heits­gesetz - 27. Oktober 2016

Anforderungen verschärft

Anwalts- und Steuerberaterkanzleien sollten den eigenen Internetauftritt einer Prüfung unterziehen. Grund ist eine neue gesetzliche Regelung zum Schutz vertraulicher Daten.

Im vergangenen Jahr verabschiedete der Gesetzgeber das IT-Sicherheitsgesetz. In diesem Zuge wurde auch das Telemediengesetz (TMG) um die Bestimmungen des § 13 Abs. 7 TMG ergänzt. Durch diese Neuregelung müssen alle Anbieter von Websites, also auch Steuerberatungs- beziehungsweise Anwaltskanzleien, beim Betrieb einer eigenen Website oder einer eigenen Kanzlei-App hohe Anforderungen umsetzen. Kanzleien, die eine eigene Website betreiben, sind durch die Neuregelung verpflichtet, mithilfe von technisch-organisatorischen Maßnahmen sicherzustellen, dass

  • kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und diese
  • gegen Verletzungen des Schutzes personenbezogener Daten und
  • gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind.

Der Gesetzgeber schränkt ein, dass die zu treffenden technisch-organisatorischen Maßnahmen „technisch möglich und wirtschaftlich zumutbar“ sein müssen. Besonderen Wert legt der Gesetz­geber auf kryptographische Sicherungsmaßnahmen.

Wie ist eine Website technisch aufgebaut?

Moderne Websites wirken auf ihre Besucher simpel. In Wirklichkeit sind sie ein komplexes Zusammenspiel verschiedenster, komplizierter Techniken. Zur Darstellung einer einfachen Web-Seite müssen unterschiedliche Technologien eingesetzt werden: ein Rechner mit Internet-Zugang, ein Betriebssystem, ein Web-Server, ein Mail-Server, sehr wahrscheinlich auch server­seitig Programmiersprachen, Datenbanken, Programme zur Website-Pflege und eventuell auch eigene Programmierungen. Meist werden dann von fremden Rechnern noch Schriften, Pro­gramm­bi­blio­theken, Bilder oder soziale Medien eingebunden. Dieses Technik-Konglomerat wird aufgrund der Komplexität in der Regel nicht von einem Techniker betreut, sondern von mehreren Spezialisten. Überdies teilen sich die meisten Websites einen Rechner mit anderen Websites. In diesem Fall laufen auf einem Rechner mehrere virtuelle Server. Hier wird der Technikeinsatz noch komplizierter.

Pflicht zur Aktualisierung

Ein Hauptgrund für den unerlaubten Zugriff auf Websites (§ 13 Abs. 7 Nr. 1 TMG) ist in den meisten Fällen veraltete Software. Beim Betrieb von Software im Internet durch die Kanzleien sind Hosting-Verträge so zu schließen, dass für die einzelnen Software-Module auch Pflegeverträge abgeschlossen werden. Hier sind die unterschiedlichen Zuständigkeiten zu beachten. Häufig ist der Provider für die Aktualisierung des Betriebssystems, des Web-Servers und der Mail-Server zuständig. Abhängig von dem jeweiligen Hosting-Paket der Kanzlei kann es sein, dass auch die Server-seitigen Programmiersprachen und Datenbanken vom Provider bereitgestellt werden. In einem Hosting-Vertrag einer Steuerberatungs- oder Anwaltskanzlei muss geregelt sein, dass alle diese Systeme vom Provider aktuell gehalten werden. Ferner empfiehlt es sich, vertraglich zu regeln, dass die einzelnen Software-Module vom Provider sicher konfiguriert und installiert werden. Zur Pflege von Websites werden Content-Management-Systeme (CMS) oder auch Blog-Software eingesetzt. Aus Kostengründen wird hier häufig auf freie oder auch kostenlose Software zurückgegriffen. Diese Software wird meist durch den Website-Programmierer ausgewählt und installiert. Kanzleien ist zu empfehlen, mit dem Website-Programmierer mittels eines War­tungs­ver­trags zu regeln, dass die Installation der CMS- oder Blog-Software gemäß den Richtlinien der Entwickler-Community der Software sicher erfolgt (Konfigurationsmanagement), ein per­ma­nen­tes Beobachten etwaiger Schwachstellen der eingesetzten Software erfolgt (Schwach­stel­len­ma­nage­ment) und auf Schwachstellen oder Updates umgehend mit Ak­tua­li­sie­run­gen und ent­spre­chen­den Konfigurationen reagiert wird (Patch-Management).

Abhorchen des Datenverkehrs

Anwalts- und Steuerberatungskanzleien sind durch § 13 Abs. 7 Nr. 2 Buchst. a) TMG verpflichtet, den eigenen Web-Auftritt gegen das Abhorchen des Datenverkehrs abzusichern. Auf jeden Fall wird dieses Problem virulent, sofern auf der Kanzlei-Website eigene Kontaktformulare betrieben werden. Das Abhorchen der Kommunikation des Website-Besuchers bei Nutzung des Web-Formulars (Man-in-the-Middle-Angriff) ist bei ungesicherten Websites gar nicht unwahrscheinlich. Ruft ein Website-Besucher eine ungesicherte Web-Seite über einen öffentlichen Hotspot oder einen zugriffsbeschränkten Hotel-Hotspot auf, kann ein solcher Angriff sogar sehr einfach durchgeführt werden. Simple Anleitungen für einen solchen Angriff können zum Beispiel auf YouTube unter den Begriffen Network- oder Password-Sniffing gefunden werden. Um ein solches Abhorchen des Datenverkehrs zu unterbinden, empfiehlt es sich, die Website der Kanzlei unter dem verschlüsselten https-Protokoll zu betreiben und nicht unter dem ungesicherten http-Protokoll. Entsprechende Zertifikate konnten bisher gegen eine Gebühr in Höhe von etwa 100 Euro/Jahr erworben werden. Inzwischen gibt es Krypto-Kampagnen, von denen entsprechende Zertifikate kostenlos ausgegeben werden. Ein Beispiel hierfür ist die Kampagne „Let’s encrypt“. Durch Um- und Einsetzen eines https- oder eines ftps-Protokolls ist das Absichern der eigenen Website gegen Abhorchen so einfach wie nie zuvor.
Die eigenen Websites werden von den Kanzleien inzwischen auch häufig als Do­ku­men­ten­aus­tausch­portale zur Kommunikation mit Mandanten oder auch Website-Besuchern genutzt. So ist es zum Beispiel nicht ungewöhnlich, dass Kanzleien auf ihren Web-Servern eigene Bewerberportale betreiben. Die erläuterte und als ein sicheres anerkanntes Verschlüsselungsverfahren geltende https-Verbindung sollte sowohl dem Bewerber beim Hochladen seiner Bewerbungsunterlagen, als auch der Kanzlei beim Abrufen dieser Unterlagen oder Dokumente von Mandanten zur Verfügung stehen.

Absicherung von E-Mails gegen Abhorchen

Steuerberatungs- und Anwaltskanzleien sollten unbedingt darauf achten, dass die eigenen E-Mail-Server auf Basis der aktuellen Empfehlungen der Landesdatenschutzbehörden, be­zie­hungs­weise des Bundesamts für Sicherheit in der Informationstechnik, konfiguriert sind. Die Daten­schutz­auf­sichts­be­hörden haben bereits anlasslose Prüfungen von Mail-Servern durch­ge­führt. So ver­öf­fent­licht das LDA Bayern auf seinen Websites: „Insgesamt wurden [im September 2014] 2236 verantwortliche Stellen […] in ganz Bayern geprüft.“ Es wurde unter anderem geprüft, ob die Verschlüsselungsprotokolle SSL/TLS beziehungsweise STARTTLS eingesetzt werden.

Folgen bei Datenabfluss

Eine Pflicht zu einer strafbefreienden Selbstanzeige gegenüber der zuständigen Landes­da­ten­schutz­be­hörde bestand bisher bei einem Datenabfluss von sensiblen personenbezogenen Daten, Bank- oder Kontodaten und Daten, die einem Berufsgeheimnis unterliegen oder die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehungsweise den Verdacht auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen, und einer möglichen Kenntnisnahme dieser Daten durch Dritte und dem Drohen schwerwiegender Folgen für die Rechte oder schutz­wür­di­gen Interessen der Betroffenen. Zusätzlich musste der Datenabfluss auch den Betroffenen an­ge­zeigt werden. Diese Auflistung wurde durch § 15a TMG auf die vom Diensteanbieter ge­speicherten Bestands- oder Nutzungsdaten (zum Beispiel die IP-Adresse des Nutzers) erweitert.

Fotos: by_nicholas, Jaunty Junto / Getty Images, Luis Carlos Torres / Shutterstock.com

Zum Autor

Stephan Rehfeld

Geschäftsführer bei scope & focus, Service-Gesellvschaft Freie Berufe mbH, Hannover, sowie Datenschutzbeauftragter (TÜV®) und Datenschutz-​Auditor der DQS GmbH, Mitarbeiter des Arbeitskreises Identitätsmanagement und Datenschutz-Technologien des DIN e.V.

Weitere Artikel vom Autor