Laut Gesetz haben Betreiber „kritischer Infrastrukturen“ in Deutschland einige Melde- und Nachweispflichten.
Bis vor kurzem war die Einstufung, welche Teile der Infrastruktur in diesem Sinne „kritisch“ sind, mehr oder weniger den Betreibern überlassen.
Das hat sich mit einer Verordnung des Bundesinnenministeriums geändert. Beispiel: Die DNS-Server, die die DENIC betreibt, fallen damit auf jeden Fall unter „kritische Infrastruktrur“.
Die besagte Verordnung basiert auf dem BSI-Gesetz. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) untersteht dem Bundesinnenministerium.
Die Einrichtung und die Aufgaben, die das Amt hat, sind im BSI-Gesetz geregelt. Die letzte größere Aktualisierung war 2015.
Störungen und Meldungen
Nach diesem Gesetz müssen Betreiber sogenannter „Kritischer Infrastrukturen“ die Einhaltung von IT-Sicherheit nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen.
Falls Sicherheitsmängel gefunden werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung auch anordnen.
Und: Betreiber kritischer Infrastrukturen müssen dem BSI wie es heißt, „erhebliche Störungen“ melden.
Was als „kritisch“ gilt
Erst seit kurzem gibt es eine Verordnung des Bundesinnenministeriums, das definiert, was „kritische Infrastrukturen“ sind.
Dies betrifft Versorgungsdienste wie Strom, Wasser, Telefon, aber auch IT-Dienstleister wie Rechenzentren oder DNS-Resolver.
Um als „kritisch“ zu gelten, müssen, je nach Kategorie, in dieser Verordnung festgelegte Schwellenwerte überschritten werden.
Wer beispielsweise DNS-Auflösungen anbietet, betriebt dann eine kritische Infrastruktur, wenn 2,6 Millionen IP-Adressen oder mehr pro Tag damit aufgelöst werden.
Ebenso, wer DNS-Server betreibt, die für mehr als 250.000 Domains autoritativ sind – und dies betrifft eben die DENIC.
Um auf diese Schwellenwerte zu kommen, wird ein Bedarf von 500.000 bei 80 Millionen Einwohnern angenommen.
Wenn also ein Dienst so groß ist, dass wenn der Service für eine halbe Million Einwohner ausfallen würde, dann ist der Dienst im Sinne dieser Verordnung ein Teil der kritischen Infrastruktur.
Für die Betreiber bedeutet das, dass sie Nachweispflichten in Punkto Sicherheit und Meldepflichten haben.
Fazit
Du fragst dich möglicherweise, was habe ich als Webhosting-Kunde mit der DENIC oder dem BSI zu tun?
Nun, wenn du Inhaber einer .de-Domain bist, hast du auch eine vertragliche Beziehung mit der DENIC, mit Rechten und Pflichten. Dazu gehört zum Beispiel, dass die Inhaberdaten mit Anschrift korrekt sein sollen.
Und das BSI ist ein Bundesamt, das auf Grundlage gesetzlicher Vorschriften existiert und sich mit einigen Infos zur Computersicherheit auch an normale Bürger wendet.
Diese Infos und gegebenenfalls Warnung sind übrigens für Webseitenbetreiber sehr nützlich, da auch auf Sicherheitsprobleme mit Browsern, Betriebssystemkomponenten und Open Source Webapplikationen eingegangen wird.
Angegliedert an das BSI ist das Computer Emergency Response Team (CERT), das sehr viele Meldungen herausgibt, die die IT-Sicherheit betreffen. Man kann sich einen Bürger-CERT-Newsletter mit relevanten Warnungen bestellen (kostenlos).
Die DENIC sieht sich in Sachen IT-Sicherheit gut gerüstet, wie es in einer Mitteilung heißt.
Mehr über die DENIC im entsprechenden »goneo-Glossarbeitrag.
Als Kunde von goneo bist du von solchen Meldepflichten natürlich nicht betroffen. Die Verordnung nimmt dafür die Betreiber in die Pflicht, nicht die Nutzer.
Alle, das BSI, Browserhersteller, wir als Webhoster, genauso wie WordPress, Joomla oder Drupal können warnen und auf Gefahren durch veraltete Software oder neue Bedrohungen hinweisen.
Letzlich jedoch bist es du als Webseitenbetreiber, der diese Bedrohung ausschalten kann, indem du ein Update fährst oder alte Softwareversionen nicht mehr verwendet.