Vor wenigen Tagen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Empfehlung für Anbieter geschäftsmäßiger Telemedien veröffentlicht. Der Leitfaden mit dem Titel „Absicherung von Telemediendiensten nach Stand der Technik“ richtet sich an die Adressaten des § 13 Abs. 7 TMG und gibt Empfehlungen, welche Maßnahmen nach dem Stand der Technik durch das IT-Sicherheitsgesetz gefordert werden.

PROVIDER TYPEN

Die Empfehlung beschreibt die vier, unter dem Begriff des Telemedienanbieters zu fassenden, Provider-Typen und erklärt anhand von Beschreibungen und Beispielen wann bzw. durch welchen Service ein Unternehmen einem bestimmten Provider-Typ zugeordnet werden kann. Die vier Typen sind Content-, Host-, Access- und Cacheprovider. Während der Content Provider typischerweise eigene Inhalte anbietet (z. B. Unternehmenswebseite) zeichnet sich der Access Provider dadurch aus, dass er den Zugang zu Inhalten vermittelt (z. B. Bereitstellung eines Kommunikationsnetzes oder Rechenzentrums).

MASSNAHMEN ZUR ABSICHERUNG

Im zweiten Schritt findet sich in den Empfehlungen eine Zuordnung von Basis- bzw. Standard-Maßnahmen zu den jeweiligen Provider-Typen. Wobei hier gilt: „Basis-Maßnahmen MÜSSEN grundsätzlich umgesetzt werden. Standard-Maßnahmen SOLLTEN zusätzlich umgesetzt werden. Bei der Umsetzung der Maßnahmen ist die für den jeweiligen verantwortlichen Provider wirtschaftliche Zumutbarkeit zu beachten. Die Zumutbarkeit muss im Einzelfall beurteilt werden.“ Die Sicherheitsmaßnahmen und ihre Beschreibungen werden dabei mit einer Vielzahl von Beispielen verdeutlicht. So heißt es z. B. zur Zugriffskontrolle: „Der Zugriff auf Software und Hardware des Telemediendienstes muss geregelt werden. Zugriffsrechte (z. B. Lesen, Schreiben, Ausführen) auf Daten sind von der Rolle abhängig, die eine Person im Rahmen des Telemediendienstes (z. B. Betreiber, Mitarbeiter, Kunde, Gast) wahrnimmt. Generell muss nach dem ‚principle of least privilege‘ gehandelt werden, d. h., dass eine Person nur die Zugriffsrechte besitzt, die sie auch tatsächlich für ihre Arbeit benötigt. Die Zugriffsrechte müssen durch die Rechteverwaltung des Systems umgesetzt werden.“ Wobei dies für Content Provider bedeuten kann, Zugriffsrechte für Blog-Redakteure festzulegen, für Access Provider aber wiederum die Trennung bestimmter Netzwerksegmente zu gewährleisten.

KRITIK VON TELETRUST

Rechtsanwalt Karsten U. Bartels, seines Zeichens Vorstand bei TeleTrusT und Leiter der Arbeitsgruppe „Recht“, ist jedoch wenig begeistert. Es fehle die Verhältnismäßigkeitsprüfung im Rahmen des § 13 Abs. 7 TMG zur Gänze. So seien Telemedienanbieter zur Anwendung der ermittelten Vorkehrungen nach dem Stand der Technik nur verpflichtet, wenn dies „technisch möglich“ und „wirtschaftlich zumutbar“ ist. Laut Bartels sei es „eine zentrale Frage“, unter welchen Voraussetzungen der objektive Stand der Technik aus subjektiven Gründen unterschritten werden darf. Gerade hierzu sei seiner Auffassung nach eine Meinungsäußerung des BSI aus praktischer Sicht unabdingbar. Bartels hat hierzu selber eine Handreichung zum Stand der Technik im Sinne des IT-Sicherheitsgesetzes veröffentlicht, die Unternehmen und Anbietern gleichermaßen bei der Bestimmung des „Standes der Technik“ helfen soll.