Glück gehabt LinkedIn?!

Der durch das IT-Sicherheitsgesetz (BGBl. I S. 1324) eingeführte Absatz 7 des § 13 TMG lautet wie folgt:

„Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

Wie wichtig diese Vorschrift ist, zeigt eine aktuelle Meldung: Im Jahr 2012 wurde LinkedIn Opfer eines Website-Hacks. Dabei wurden nicht nur wie damals behauptet 6.000.000 Passwörter geklaut, sondern es werden derzeit über 100.000.000 Passwörter im Untergrund, dem sogenannten Darknet, gehandelt. Wie sich herausstellte, waren die Passwörter damals zwar gehasht, dies aber ohne Salt, sodass ein Knacken des Passwortes relativ leicht ist. Dem Stand der Technik hat diese Passwortspeicherung bereits im Jahr 2012 nicht mehr entsprochen und es ist erschreckend, dass das größte berufliche soziale Netzwerk der Welt so schlampige Sicherheitsmaßnahmen einsetzt. Nach dem IT-Sicherheitsgesetz müssen die Vorkehrungen im Stand der Technik entsprechen. Bei LinkedIn war dies nicht der Fall.

Was ist die Konsequenz einer Verletzung dieser Vorschrift? Nach § 16 Abs. 2 Nr. 3, Abs. 3 TMG kann die Verletzung mit einer Geldbuße von bis zu 50.000 € geahndet werden. Gut so. Leider gilt die Regelung nur für deutsche Diensteanbieter. Glück gehabt, LinkedIn!