Security

IT-Sicherheitsgesetz bereitet Umsetzungs-Probleme

Seit dem neuen IT-Sicherheitsgesetz droht Betreibern einer unsicheren oder veralteten Webseite eine Abmahnung durch Mitbewerber von bis zu 50.000 Euro. Eine Lösung will nun ein neues Startup parat haben.

02.05.2016 Susanne Gillner
IT-Sicherheitsgesetz -01
Das neue IT-Sicherheitsgesetz soll für Verbesserungen im Datenschutz sorgen. (Foto: deepadesigns / Shutterstock.com)

Startup verspricht Hilfe

Sicherheit scheitert oft an der Umsetzung: Im Juli 2015 trat das neue IT-Sicherheitsgesetz in Kraft. Es verpflichtet Betreiber besonders gefährdeter Infrastrukturen (kritische Infrastrukturen) wie Energie, Wasser, Gesundheit und Telekommunikation dazu, ihre Netze besser vor Hacker-Attacken zu schützen. Alle zwei Jahre müssen die Unternehmen nun nachweisen, dass sie die Anforderungen erfüllen.

Betreibern einer unsicheren oder technologisch veralteten Webseite droht damit nicht nur die eigentliche Gefahr eines Angriffs, sondern außerdem eine Abmahnung durch Mitbewerber in Höhe von bis zu 50.000 Euro - und das sogar unabhängig davon, ob eine Attacke auf die Webseite stattgefunden hat oder nicht.

Von dieser Problematik will nun ein neues Startup profitieren, dessen Name alleine schon Vertrauen erwecken soll. Die "4D - Deutsche Gesellschaft für Datensicherheit" bringt ein neues Produkt auf den Markt, den 4D Security Scan. Dieser soll Webseiten- und Shop-Betreibern die Sorge um mangelhaften Schutz der Webseiten nehmen.

"Gerade kleinere Unternehmen haben oft gar nicht das Wissen und die Ressourcen, ihren Internetauftritt permanent auf Aktualität und Sicherheit zu überprüfen, dafür ist die IT-Branche einfach zu schnelllebig - durchschnittlich 50 Sicherheits-Updates alleine bei Typo3 pro Monat sind hier ein schönes Beispiel", sagt Daniel Rink, Geschäftsführer von 4D - Deutsche Gesellschaft für Datensicherheit.

Gefahr erkannt, Gefahr gebannt

Die Funktionsweise des Monitoring Tools: Auf www.deutsche-datensicherheit.de kann der Betreiber seine Webseite oder Domain für den "SecurityScan" anmelden. Dafür gibt er unter anderem die Domain an, für die die Prüfung durchgeführt werden soll. Im Hintergrund werden dann über 150 Sicherheitsscans auf der Webseite beziehungsweise im Online-Shop durchgeführt.

Es wird beispielsweise überprüft, ob die verwendete Datenbank aktuell und vor SQL-Infections geschützt ist, ob der Webserver mit Administratorenrechten läuft, die phpinfo einsehbar und die Version des Webservers aktuell ist.

Daneben checkt der 4D Security Scan kontinuierlich, ob die genutzte Software in der eingesetzten Version öffentlich als gefährdet gelistet ist. Hierzu findet ein Abgleich beispielsweise mit der "National Vulnerability"-Datenbank und der "Malware Domain List" statt.

Eine Installation von Software oder ähnlichem ist bei der Nutzung des Scans nicht nötig, so das Unternehmen. Nach der Überprüfung erhält der Kunde ein Protokoll mit potenziellen Sicherheitslücken sowie Tipps und Informationen, wie diese zu schließen sind. Die Prüfung wird mehrmals im Monat wiederholt.

"Momentan ist unser Produkt einzigartig"

IT-Sicherheitsgesetz -02
Daniel Rink, Geschäftsführer 4D - Deutsche Gesellschaft für Datensicherheit (Foto: 4D - Deutsche Gesellschaft für Datensicherheit)

Das Produkt ist dem Startup zufolge derzeit einzigartig auf dem Markt. Warum das Unternehmen keine Angst vor Konkurrenz hat und was die häufigsten Sicherheitslücken sind, erklärt Geschäftsführer Daniel Rink.

Wer genau ist Ihre Zielgruppe?

Daniel Rink: Durch die Änderungen im IT-Sicherheitsgesetz ist nun jeder Gewerbetreibende gesetzlich verpflichtet, seine Webseite aktuell und sicher zu halten. Somit gehört jeder, der einen gewerblichen Internetauftritt hat, zu unserer Zielgruppe. Ganz egal, ob es eine einfache Webseite von einem Handwerksbetrieb oder ein komplexer Online-Shop ist.

Wie sieht das Preismodell aus? Sprechen Sie auch KMUs an?

Rink: Unser Basispaket kann schon ab 15 Euro im Monat gebucht werden. Das Premiumpaket liegt bei 45,00 Euro im Monat. Dabei können alle Pakete 30 Tage lang kostenlos und unverbindlich getestet werden. Unsere Produkte und den Leistungsumfang werden wir kontinuierlich erweitern. Geplant sind auch Enterprise-Lösungen zur Überwachung der gesamten IT-Infrastruktur in großen Unternehmen.

Ihr Scan läuft ja bereits im Beta-Test. Wie ist das bisherige Fazit? Wo sitzen die größten Probleme, was sind die häufigsten Sicherheitslücken?

Rink: Wir beobachten, dass es unterschiedliche Kategorien von Webseiten gibt, welche ganz unterschiedliche Probleme haben. Anbieter, die sich beispielsweise kaum um ihre Seiten kümmern, scheitern schon an einer unsicheren Umgebung, sprich einer unserer Serverkonfigurationen. Webseiten, die von Agenturen oder vom Anbieter selbst programmiert werden, scheitern häufiger an einer schlechten Entwicklung (das wohl geläufigste Problem sind SQL-Injections).

Ganz besonders häufig haben wir festgestellt, dass wenn fertige Software verwendet wird, wie etwa CMS- oder Shop-Systeme, diese häufig veraltet und somit öffentliche bekannte Sicherheitslücken nicht geschlossen sind. Das ist aber kaum verwunderlich, wenn man beobachtet, dass viele Systeme bis zu 50 sicherheitsrelevante Updates pro Monat herausbringen.

Was ist aktuell ihr Wettbewerberfeld? Sind Virenscanner und Co ein Problem?

Rink: Momentan ist unser Produkt unseres Wissens nach einzigartig auf dem Markt. Alle am Markt vorhandenen Security-Lösungen wie Virenscanner, Firewalls und Co setzen lediglich darauf, die interne Hardware eines Unternehmens zu schützen. Einfach zu nutzende und zudem noch günstige Lösungen zum Schutz der öffentlich zugänglichen Internetportale gab es bisher noch nicht.

Auch wenn es derzeit eventuell noch nicht viele Konkurrenten gibt, ist ja mit Umsetzung des neuen IT-Sicherheitsgesetzes davon auszugehen, dass die Idee noch mehrere Firmen haben. Wie wollen Sie sich langfristig behaupten auf dem Markt?

Rink: Unser Experten-Team kommt größtenteils aus dem Hosting-Bereich und beschäftigt sich bereits seit 15 Jahren mit den Themen Datenschutz, Datensicherheit und Datenverschlüsselung bei IT- und Online-Projekten. Neben dem technischen Know-how haben wir zudem noch Anwälte mit dem Schwerpunkt IT-Recht und Datenschutz mit an Bord. In unserer Lösung ist also schon jetzt ein enormes Know-how und somit ein Wissensvorsprung gebündelt, den so schnell niemand aufholen können wird.

Security Security RSS Feed abonnieren