Bau­trä­ger und Gene­ral­un­ter­neh­mer betrei­ben regel­mä­ßig Web­sei­ten, um für Ihre Immo­bi­li­en­an­ge­bo­te zu wer­ben und Kon­tak­te zu Inter­es­sen­ten her­zu­stel­len. Betrei­ber von Web­sei­ten sind gemäß § 13 Abs. 7 Tele­me­di­en­ge­setz (TMG) ver­pflich­tet, dem Stand der Tech­nik ange­mes­se­ne IT-Sicher­heits­grund­la­gen umzu­set­zen. Wer die­se Ver­pflich­tung ver­letzt, ris­kiert ein Buß­geld von bis zu 50.000 Euro. Auch Bau­trä­ger und Gene­ral­un­ter­neh­mer müs­sen des­halb sicher­stel­len, dass ein uner­laub­ter Zugriff Drit­ter auf die für ihre Web­sei­te genutz­ten tech­ni­schen Ein­rich­tun­gen aus­ge­schlos­sen ist.

Vor allem klei­ne­re Bau­trä­ger und Gene­ral­un­ter­neh­mer ver­wen­den für ihre Web­prä­senz häu­fig sog. Web Con­tent Manage­ment Sys­te­me (CMS). Bei die­sen Sys­te­men han­delt es sich um preis­güns­ti­ge oder kos­ten­lo­se Web­sei­ten­bau­käs­ten, die mit ihren vor­ge­fer­tig­ten Bau­stei­nen die ein­fa­che Ein­rich­tung, Pfle­ge, Dar­stel­lung und Nut­zung unter­schied­lichs­ten Zwe­cken die­nen­der Web­sei­ten ermög­li­chen. Der­ar­ti­ge Bau­stein­sys­te­me sind aus sicher­heits­tech­ni­scher Sicht beson­ders kri­tisch. Denn weil die Bau­stei­ne in immer glei­cher Wei­se ein­ge­setzt wer­den, gefähr­det eine bekannt gewor­de­ne Sicher­heits­lü­cke stets vie­le Web­sei­ten gleich­zei­tig. Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) hat die­se Gefahr bereits im Jah­re 2013 am Bei­spiel eini­ger weit ver­brei­te­ter Open-Source-CMS, näm­lich den Sys­te­men Drup­al, Joom­la!, Plo­ne, TYPO3 und Word­Press, unter­sucht; es hat deren Sicher­heits­lü­cken auf­ge­deckt und die erfor­der­li­chen Sicher­heits­maß­nah­men aufgelistet.

Bei einer vom Bau­trä­ger oder Gene­ral­un­ter­neh­mer ange­bo­te­nen Immo­bi­lie wer­den die gesetz­li­chen Sicher­heits­vor­ga­ben des Tele­me­di­en­ge­set­zes von den prin­zi­pi­ell unsi­che­ren CMS-Sys­te­men jeden­falls dann nicht erfüllt, wenn ein Zugriff Drit­ter auf Geschäfts­pro­zes­se zwi­schen Unter­neh­mer und Kun­den nicht wirk­sam aus­ge­schlos­sen ist. Ein wirk­sa­mer Aus­schluss setzt ins­be­son­de­re vor­aus, dass Web­ser­ver, CMS, Daten­bank und Hin­ter­grund­sys­te­me des Unter­neh­mers kon­zep­tio­nell gegen­ein­an­der abge­si­chert sind. Ist dies nicht der Fall, dro­hen den Erwer­bern beim Zugriff Drit­ter auf geschäfts- und kun­den­be­zo­ge­ne Daten, z.B. bei allen For­men des Iden­ti­täts­dieb­stahl, erheb­li­che Gefah­ren. Die erfor­der­li­che Absi­che­rung ist, das hat die Stu­die des BSI gezeigt, mit einem fort­wäh­ren­den, nicht uner­heb­li­chen tech­ni­schen und per­so­nel­len Auf­wand ver­bun­den. Klei­ne­re Bau­trä­ger und Gene­ral­un­ter­neh­mer, die über kei­ne eige­ne IT-Abtei­lung ver­fü­gen, wer­den die­sen Auf­wand regel­mä­ßig scheu­en. Denn die erfor­der­li­che, regel­mä­ßi­ge Betreu­ung durch exter­ne IT-Bera­ter ist sehr kos­ten­auf­wen­dig. Des­halb ist jeder am Bau mit Bau­trä­ger oder Gene­ral­un­ter­neh­mer Inter­es­sier­te gut bera­ten, wenn er vor Abschluss des Bau­trä­ger- oder Gene­ral­un­ter­neh­mer­ver­tra­ges die IT-Sicher­heits­vor­keh­run­gen des Unter­neh­mers erfragt. Denn mit Abschluss und Durch­füh­rung des jewei­li­gen Ver­tra­ges legt der Erwer­ber dem Unter­neh­mer not­wen­dig eine Viel­zahl sen­si­bler, per­so­nen­be­zo­ge­ner Daten offen.